Informes

Designaciones de administrador en los informes

En los informes de Specops Password Auditor, los usuarios se clasifican como administradores dependiendo de a qué grupo pertenecen en Active Directory. Los siguientes usuarios están designados como administradores:

El grupo de administradores integrados con el SID bien conocido S-1-5-32-544
El grupo de administradores de dominio que contiene el SID de dominio y termina en 512
El grupo de administradores de empresa que contiene el SID de dominio y termina en 519
El grupo de administradores de esquema que contiene el SID de dominio y termina en 518

Informe de pantalla

Cuando hayas ejecutado el escaneo (como se describe en la sección principal de Administración) y hayas hecho clic en Mostrar resultados, se te presentará una visión general de informes interactivos que contienen información de usuario y de políticas de contraseña. Los informes individuales se pueden acceder haciendo clic en ellos para revelar información adicional más detallada.

Contraseñas en blanco

Este informe identifica cuentas de usuario con contraseñas en blanco. Estas cuentas están afectadas por una política sin requisito de contraseña.

Contraseñas comprometidas

Este informe identifica cuentas de usuario con contraseñas que se sabe que están comprometidas (cuando se analizan contra la lista de contraseñas comprometidas que descargas al iniciar un escaneo de Password Auditor). Las cuentas en esta lista deben ser solicitadas para cambiar su contraseña.

Nota

El informe de Contraseñas Comprometidas no utiliza contraseñas en texto claro. Los hashes MD4 de las contraseñas comprometidas se comparan con los hashes de las contraseñas del dominio. Los hashes no se almacenan, se leen y se mantienen en memoria por Specops Password Auditor.

Contraseñas idénticas

Utiliza este informe para identificar grupos de cuentas de usuario que tienen la misma contraseña. Los usuarios administradores que usan la misma contraseña para sus cuentas de usuario normales y sus cuentas de administrador aumentan su superficie de ataque. Las cuentas en esta lista deben ser solicitadas para cambiar su contraseña. Hacer clic en cualquier celda de la lista revelará una tabla con todas las cuentas en ese grupo particular.

Cuentas de administrador

Proporciona una lista tabulada de cuentas con privilegios de administrador. Utiliza este informe para identificar si los privilegios de administrador se utilizan adecuadamente (otorgados a usuarios que realizan tareas que abarcan dominios de Active Directory, o actividades que requieren permisos elevados). Elimina cuentas de administrador innecesarias y considera un modelo de seguridad delegado de Active Directory para seguir las mejores prácticas.

Cuentas de administrador delegables

Este informe lista todas las cuentas de administrador que no han sido protegidas de la delegación. La delegación en Active Directory es una característica que permite a las cuentas de usuario suplantar a otras cuentas, posiblemente de mayor privilegio. Se recomienda prevenir la delegación de cuentas de administrador marcándolas como sensibles o agregándolas al grupo de seguridad de Usuarios Protegidos.

Cuentas de administrador obsoletas

Muestra una lista tabulada de cuentas de administrador que no han sido accedidas durante un período específico de tiempo. Para ajustar el período de tiempo desde la última actividad (de 30 a 360 días desde el presente), utiliza el control deslizante en la parte superior. Utiliza este informe para auditar cuentas no utilizadas. Las cuentas inactivas deben ser eliminadas ya que pueden ser aprovechadas por atacantes para acceder a recursos sin ser detectadas.

Cuentas de usuario obsoletas

Muestra una lista tabulada de cuentas de usuario que no han sido accedidas durante un período específico de tiempo. Para ajustar el período de tiempo desde la última actividad (de 30 a 360 días desde el presente), utiliza el control deslizante en la parte superior. Utiliza este informe para auditar cuentas no utilizadas. Las cuentas inactivas deben ser eliminadas ya que pueden ser aprovechadas por atacantes para acceder a recursos sin ser detectadas.

Contraseña no requerida

Muestra una lista tabulada de cuentas de usuario que tienen el indicador de control para no requerir una contraseña configurado, o están afectadas por una política de contraseña que no especifica una longitud mínima de contraseña. Las cuentas en esta lista indican serios agujeros de seguridad dentro de tu organización.

Contraseña nunca expira

Proporciona una visión general de las cuentas que tienen sus contraseñas configuradas para nunca expirar. Estas pueden ser más vulnerables a ataques si el usuario está reutilizando esta contraseña en otros lugares.

Contraseñas por expirar

Proporciona una lista de todas las cuentas con información sobre cuándo la contraseña de la cuenta está configurada para expirar dentro de un cierto marco de tiempo. El tiempo hasta la expiración se puede configurar ajustando el control deslizante en la parte superior, de 10 a 365 días desde la generación del informe. La lista se puede ver como una tabla o un gráfico. Alterna entre las dos vistas seleccionando la vista deseada en el menú desplegable de Vista en la parte superior. Anticiparse a la expiración con un plan de contingencia puede ser efectivo para reducir las llamadas de restablecimiento de contraseña.

Contraseñas expiradas

Proporciona una lista tabulada de todas las contraseñas que han expirado durante un período prolongado de tiempo. Las contraseñas que han expirado durante un período prolongado de tiempo pueden indicar cuentas obsoletas. Por defecto, las cuentas con el indicador “El usuario debe cambiar la contraseña en el próximo inicio de sesión” configurado están excluidas en la lista. Para incluir estas cuentas, selecciona el botón de opción en la parte superior.

Edad de la contraseña

Este informe muestra una lista tabulada de todas las contraseñas con una columna que muestra cuándo se cambió la contraseña por última vez. Esto puede ser útil al intentar determinar qué cuentas han cambiado su contraseña después de una violación conocida.

Políticas de contraseña

Utiliza este informe para obtener una visión general de tus políticas de contraseña, incluyendo el intervalo de cambio, la aplicación de diccionario, así como la entropía (fuerza relativa). La visión general muestra las políticas de contraseña por dominio y GPO. La entropía mide la efectividad de la política para resistir ataques de fuerza bruta.

Los siguientes ajustes se utilizan para determinar la entropía máxima.

Longitud mínima= 16 caracteres
Al menos uno de cada uno de los siguientes:
- Minúscula
- Mayúscula
- Dígito
- Carácter especial

Cualquier política con configuraciones tan fuertes o más fuertes se mostrará como de “máxima” fuerza.

Consulta nuestra entrada de blog sobre la entropía de contraseñas para más información.

Uso de la política de contraseña

Informe que proporciona una visión gráfica de los usuarios afectados por cada política de contraseña.

Cumplimiento de la política de contraseña

Utiliza este informe para medir tus políticas de contraseña contra las recomendaciones de la industria y de cumplimiento. El informe proporciona una tabla con una fila por dominio y GPO, con indicadores para cada estándar de la industria importante, como MS Research, NIST y NCSC. Se identifican tres niveles de cumplimiento (No Cumple, Parcialmente Cumple y Cumple Totalmente). Hacer clic en el icono de cumplimiento te permitirá comparar tus reglas de política individuales con las reglas en el estándar. Consulta la página de Estándares de Cumplimiento para más información.

Nota

Specops Password Auditor verificará tanto las políticas integradas de Windows como aquellas creadas con Specops Password Policy (con Specops Breached Password Protection).

Por ejemplo, los estándares que requieren que los usuarios no usen palabras del diccionario (Prohibir contraseñas del diccionario) se marcarán como no cumplidos si no se utiliza Specops Password Policy, o si la política en Specops Password Policy no está configurada para satisfacer los criterios.

Informes CSV

Para cada informe individual generado después de un escaneo, se puede generar una exportación .csv. Para generar un informe .csv haz lo siguiente:

Haz clic en el informe para el que deseas crear un informe.
Haz clic en Exportar en la parte superior.
Navega al lugar donde deseas guardar el informe en tu sistema, proporciona un nombre para el archivo y haz clic en Guardar.

Informes PDF

Además de las exportaciones .csv para informes individuales, se puede generar un informe PDF para todo el escaneo.

En la página de visión general del informe, haz clic en Obtener informe PDF en la parte inferior.
Indica la ruta de archivo correcta donde el informe debe ser guardado en tu sistema haciendo clic en el botón Examinar y navegando al lugar correcto.
Elige el tamaño de papel (A4 o Carta)
Elige el tipo de informe:
- Completo: proporciona una visión general de todos los informes además de los informes individuales. Todos los informes individuales también van acompañados de un resumen.
- Resumen: solo proporciona un informe resumen de todos los informes.
Haz clic en Generar.

Programación de los informes PDF

Los clientes de Specops Password Policy (SPP) tienen la posibilidad de generar informes programados. Se puede encontrar más información en la página de Programación de Informes de SPP.

Nota

Para generar informes programados desde Specops Password Auditor, se requiere una licencia de Specops Password Policy.