Specops Password Auditor
Specops Password Auditor escanea su Active Directory y detecta debilidades relacionadas con la seguridad, específicamente relacionadas con la configuración de contraseñas. La información recopilada se utiliza para mostrar múltiples informes interactivos que contienen información sobre usuarios y políticas de contraseñas. Los informes incluyen, entre otros, un resumen de cuentas que utilizan contraseñas comprometidas, contraseñas duplicadas, comparaciones de la configuración de contraseñas de su organización con estándares de la industria y mejores prácticas según múltiples estándares oficiales.
Specops Password Auditor solo leerá información de Active Directory, no realizará ningún cambio. Leerá la Política de Contraseña de Dominio Predeterminada, cualquier Política de Contraseña de Grano Fino, así como cualquier Política de Contraseña de Specops (si está instalada).
Nota
Para poder leer Políticas de Contraseña de Grano Fino, y los hashes de contraseñas para los informes de Breached Password Protection, Contraseñas Idénticas o Contraseña en Blanco, necesitará privilegios de administrador de dominio en Active Directory.
Los siguientes atributos de la cuenta de usuario también se leerán:
- pwdLastSet
- userAccountControl
- lastLogonTimestamp
Informes
La siguiente es una lista de informes que puede ver/exportar desde la herramienta Specops Password Auditor.
Contraseñas en Blanco
Este informe identifica cuentas de usuario con contraseñas en blanco. Estas cuentas están afectadas por una política sin requisito de contraseña.
Contraseñas Comprometidas
Este informe identifica cuentas de usuario con contraseñas que se sabe que están comprometidas (cuando se analizan contra la lista de contraseñas comprometidas que descarga al iniciar un escaneo de Password Auditor). Las cuentas en esta lista deben ser solicitadas para cambiar su contraseña.
Nota
El informe de Contraseñas Comprometidas no utiliza contraseñas en texto claro. Los hashes MD4 de las contraseñas comprometidas se comparan con los hashes de las contraseñas del dominio. Los hashes no se almacenan, se leen y se mantienen en memoria por Specops Password Auditor.
Contraseñas Idénticas
Utilice este informe para identificar grupos de cuentas de usuario que tienen la misma contraseña. Los usuarios administradores que usan la misma contraseña para sus cuentas de usuario normales y sus cuentas de administrador aumentan su superficie de ataque. Las cuentas en esta lista deben ser solicitadas para cambiar su contraseña. Al hacer clic en cualquier celda de la lista se revelará una tabla con todas las cuentas en ese grupo particular.
Cuentas de Administrador
Proporciona una lista tabulada de cuentas con privilegios de administrador. Utilice este informe para identificar si los privilegios de administrador se utilizan adecuadamente (otorgados a usuarios que realizan tareas que abarcan dominios de Active Directory, o actividades que requieren permisos elevados). Elimine cuentas de administrador innecesarias y considere un modelo de seguridad delegado de Active Directory para seguir las mejores prácticas.
Cuentas de Administrador Delegables
Este informe lista todas las cuentas de administrador que no han sido protegidas de la delegación. La delegación en Active Directory es una característica que permite a las cuentas de usuario suplantar a otras cuentas, posiblemente de mayor privilegio. Se recomienda prevenir la delegación de cuentas de administrador marcándolas como sensibles o agregándolas al grupo de seguridad de Usuarios Protegidos.
Cuentas de Administrador Inactivas
Muestra una lista tabulada de cuentas de administrador que no han sido accedidas por un período específico de tiempo. Para ajustar el período de tiempo desde la última actividad (de 30 a 360 días desde el presente), use el control deslizante en la parte superior. Utilice este informe para auditar cuentas no utilizadas. Las cuentas inactivas deben ser eliminadas ya que pueden ser aprovechadas por atacantes para acceder a recursos sin ser detectadas.
Cuentas de Usuario Inactivas
Muestra una lista tabulada de cuentas de usuario que no han sido accedidas por un período específico de tiempo. Para ajustar el período de tiempo desde la última actividad (de 30 a 360 días desde el presente), use el control deslizante en la parte superior. Utilice este informe para auditar cuentas no utilizadas. Las cuentas inactivas deben ser eliminadas ya que pueden ser aprovechadas por atacantes para acceder a recursos sin ser detectadas.
Contraseña No Requerida
Muestra una lista tabulada de cuentas de usuario que tienen el indicador de control para no requerir una contraseña configurado, o están afectadas por una política de contraseña que no especifica una longitud mínima de contraseña. Las cuentas en esta lista indican serios agujeros de seguridad dentro de su organización.
Contraseña Nunca Expira
Proporciona una visión general de las cuentas que tienen sus contraseñas configuradas para nunca expirar. Estas pueden ser más vulnerables a ataques si el usuario está reutilizando esta contraseña en otros lugares.
Contraseñas a Punto de Expirar
Proporciona una lista de todas las cuentas con información sobre cuándo la contraseña de la cuenta está configurada para expirar dentro de un cierto marco de tiempo. El tiempo hasta la expiración se puede ajustar moviendo el control deslizante en la parte superior, de 10 a 365 días desde la generación del informe. La lista se puede ver como una tabla o un gráfico. Cambie entre las dos vistas seleccionando la vista deseada en el menú desplegable de Vista en la parte superior. Anticiparse a la expiración con un plan de contingencia puede ser efectivo para reducir las llamadas de restablecimiento de contraseña.
Contraseñas Expiradas
Proporciona una lista tabulada de todas las contraseñas que han expirado por un período prolongado de tiempo. Las contraseñas que han expirado por un período prolongado de tiempo pueden indicar cuentas inactivas. Por defecto, las cuentas con el indicador “El usuario debe cambiar la contraseña en el próximo inicio de sesión” configurado están excluidas de la lista. Para incluir estas cuentas, seleccione el botón de opción en la parte superior.
Edad de la Contraseña
Este informe muestra una lista tabulada de todas las contraseñas con una columna que muestra cuándo se cambió la contraseña por última vez. Esto puede ser útil al intentar determinar qué cuentas han cambiado su contraseña después de una violación conocida.
Políticas de Contraseña
Utilice este informe para obtener una visión general de sus políticas de contraseña, incluyendo el intervalo de cambio, la aplicación de diccionario, así como la entropía (fuerza relativa). La visión general muestra políticas de contraseña por dominio y GPO. La entropía mide la efectividad de la política en resistir ataques de fuerza bruta.
Los siguientes ajustes se utilizan para determinar la entropía máxima.
- Longitud mínima = 16 caracteres
- Al menos uno de cada uno de los siguientes:
- Minúsculas
- Mayúsculas
- Dígito
- Carácter Especial
Cualquier política con configuraciones tan fuertes o más fuertes se mostrará como de “máxima” fuerza.
Consulte nuestra entrada de blog sobre la entropía de contraseñas para obtener más información.
Uso de la Política de Contraseña
Informe que proporciona una visión gráfica de los usuarios afectados por cada política de contraseña.
Cumplimiento de la Política de Contraseña
Utilice este informe para medir sus políticas de contraseña contra las recomendaciones de la industria y de cumplimiento. El informe proporciona una tabla con una fila por dominio y GPO, con indicadores para cada estándar de la industria importante, como MS Research, NIST y NCSC. Se identifican tres niveles de cumplimiento (No Cumple, Parcialmente Cumple y Cumple Totalmente). Al hacer clic en el icono de cumplimiento podrá comparar sus reglas de política individuales con las reglas en el estándar. Consulte la página de Estándares de Cumplimiento para obtener más información.