Programación de Informes

Los clientes de Specops Password Policy tienen la posibilidad de programar informes que contienen información de usuario y de la política de contraseñas.

Requisitos previos

La programación de informes debe ejecutarse en una computadora donde esté instalada la herramienta de administración de dominio de Specops Password Policy.
Se recomienda ejecutar la programación de informes utilizando una cuenta de administrador de dominio dedicada.

Informes

Existen dos tipos diferentes de informes: informes de escaneo periódico, que se generan por defecto, e informes PDF, que pueden ser generados por los administradores.

Informes de escaneo periódico: Por defecto, el escaneo periódico en el Servicio Sentinel de Specops Password Policy se ejecuta cada noche en el emulador PDC. Durante el escaneo periódico, se realizan acciones para, por ejemplo, expirar contraseñas y manejar contraseñas comprometidas. Specops Password Policy Sentinel guarda la información del escaneo periódico. La herramienta de administración de dominio puede mostrar esta información, pero también es posible obtener la información utilizando CmdLets de Windows PowerShell 5.1 si se prefiere la automatización.
Informes de Password Auditor: Specops Password Auditor es básicamente una herramienta para generar informes PDF, listando riesgos alrededor de las políticas de contraseñas y cuentas de usuario en Active Directory. Además de generar informes manualmente en Specops Password Auditor, los usuarios de Specops Password Policy pueden generar informes (programados) utilizando un CmdLet de Windows PowerShell 5.1.

Informes de escaneo periódico vs informes de Password Auditor

Existe una diferencia fundamental entre los informes de escaneo periódico y los informes PDF generados a través de Specops Password Auditor. Los informes generados a partir del escaneo periódico en Specops Password Policy contienen información sobre acciones realizadas en los usuarios en el escaneo periódico, como contraseñas encontradas comprometidas. Es el resultado de un escaneo periódico realizado previamente en un momento determinado. Los informes generados a partir de Specops Password Auditor, por otro lado, contienen un conjunto de información diferente, relacionado con riesgos alrededor de usuarios y políticas de contraseñas. Es una instantánea de la información recopilada, pero no se han realizado acciones en los usuarios.

Informes de escaneo periódico

El módulo PowerShell de la herramienta de administración SPP contiene los siguientes cmdlets relacionados con el escaneo periódico:

Get-SppPeriodicScanningResultList: lista los resultados de escaneo periódico disponibles del controlador de dominio.
Get-SppPeriodicScanningResult: devuelve información resumida del último escaneo periódico, o, si se especifica, un id de conteo de usuario específico. No se proporciona información de usuario en este conjunto de resultados.
Get-SppPeriodicScanningResultUsers: devuelve información de los usuarios del último escaneo periódico, o si se especifica, un id de conteo de usuario específico.

Tenga en cuenta que los cmdlets anteriores devuelven información de un escaneo periódico que se ha realizado, pero no inician un nuevo escaneo periódico.

Informes de Specops Password Auditor

El módulo PowerShell de la herramienta de administración SPP contiene el siguiente cmdlet relacionado con la generación de informes PDF de Password Auditor:

New-SpaReport: escanea información de Active Directory y genera un informe PDF. Se recomienda considerar cuidadosamente con qué frecuencia y cuándo ejecutar este comando, ya que causa carga en el controlador de dominio.

Con este comando es posible, por ejemplo, generar un informe que se puede enviar por correo electrónico a un CISO para proporcionar un estado semanal.

Mientras que la herramienta SPA escanea usuarios con contraseñas comprometidas encontradas en la lista Express, esos informes no son parte del PDF generado desde el cmdlet. Si la información sobre usuarios con contraseñas comprometidas es de interés, se recomienda utilizar el cmdlet Get-SppPeriodicScanningResultUsers. Tenga en cuenta que esto no genera un informe PDF de Specops Password Auditor, sino un informe de escaneo periódico en Specops Password Policy.

Programación de informes desde Specops Password Auditor

Usando el cmdlet anterior y el programador de tareas de Windows es posible programar la generación de informes.

A continuación se muestra un script de ejemplo de un informe PDF generado enviado como un correo electrónico al CISO de la organización.

Cree un archivo de script llamado reporting.ps1. Para este ejemplo, el archivo se guarda aquí: C:\pdf_reports\scripts\reporting.ps1

Incluya el siguiente código en el archivo de script:

$out_folder = 'C:\pdf_reports\out'
$pdf_report_path = New-SpaReport
  -OutputDirectory $out_folder
  -Verbose 4 > $out_folder\log.txt
Send-MailMessage
  -Subject 'SPA report'
  -To 'ciso@acme.org'
  -From 'automated-reporting@acme.org'
  -SmtpServer 'smtp.acme.org'
  -Port 587
  -Attachments $pdf_report_path

Asegúrese de establecer su ruta de salida preferida para $out_folder, y de ingresar los parámetros de correo electrónico correctos para su configuración.

Nota

Se recomienda ejecutar esto en un servidor que no sea un controlador de dominio.

Cree una tarea programada en el programador de tareas de Windows.
1. Seleccione Acción > Crear tarea básica
2. Déle un nombre.
3. En la sección Disparador, establezca su intervalo preferido.
4. En la sección Acción, seleccione Iniciar un programa:
  - Programa: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
  - Agregar argumento: C:\pdf_reports\scripts\reporting.ps1
Nota

Dado que algunos de los informes contienen información relacionada con contraseñas, se requieren permisos administrativos de dominio.