Specops Password Auditor
Specops Password Auditor analyse votre Active Directory et détecte les faiblesses liées à la sécurité, spécifiquement en rapport avec les paramètres de mot de passe. Les informations collectées sont utilisées pour afficher plusieurs rapports interactifs contenant des informations sur les utilisateurs et les politiques de mot de passe. Les rapports incluent, entre autres, un résumé des comptes utilisant des mots de passe compromis, des mots de passe dupliqués, des comparaisons des paramètres de mot de passe de votre organisation avec les normes industrielles et les meilleures pratiques selon plusieurs standards officiels.
Specops Password Auditor ne lira que les informations de l'Active Directory, il ne fera aucun changement. Il lira la Default Domain Password Policy, toutes les Fine-Grained Password Policies, ainsi que toutes les Specops Password Policies (si installées).
Remarque
Pour pouvoir lire les Fine-Grained Password Policies, et les hachages de mots de passe pour les rapports Breached Password Protection, Identical Passwords ou Blank Password, vous aurez besoin des privilèges d'administrateur de domaine dans Active Directory.
Les attributs de compte utilisateur suivants seront également lus:
- pwdLastSet
- userAccountControl
- lastLogonTimestamp
Rapports
La liste suivante est une liste de rapports que vous pouvez visualiser/exporter à partir de l'outil Specops Password Auditor.
Mots de passe vides
Ce rapport identifie les comptes d'utilisateurs avec des mots de passe vides. Ces comptes sont affectés par une politique sans exigence de mot de passe.
Mots de passe compromis
Ce rapport identifie les comptes d'utilisateurs avec des mots de passe connus pour être compromis (lorsqu'ils sont analysés par rapport à la liste de mots de passe compromis que vous téléchargez lors de l'initiation d'une analyse Password Auditor). Les comptes de cette liste devraient être invités à changer leur mot de passe.
Remarque
Le rapport des mots de passe compromis n'utilise pas de mots de passe en clair. Les hachages MD4 des mots de passe compromis sont comparés aux hachages des mots de passe du domaine. Les hachages ne sont pas stockés, ils sont lus et conservés en mémoire par Specops Password Auditor.
Mots de passe identiques
Utilisez ce rapport pour identifier les groupes de comptes d'utilisateurs qui ont le même mot de passe. Les utilisateurs administrateurs qui utilisent le même mot de passe pour leurs comptes d'utilisateur normaux et leurs comptes administrateurs augmentent leur surface d'attaque. Les comptes de cette liste devraient être invités à changer leur mot de passe. En cliquant sur n'importe quelle cellule de la liste, vous révélerez un tableau avec tous les comptes de ce groupe particulier.
Comptes administrateurs
Fournit une liste tabulée des comptes avec des privilèges d'administrateur. Utilisez ce rapport pour identifier si les privilèges d'administrateur sont utilisés de manière appropriée (accordés aux utilisateurs effectuant des tâches qui s'étendent sur plusieurs domaines Active Directory, ou des activités nécessitant des permissions élevées). Supprimez les comptes administrateurs inutiles et envisagez un modèle de sécurité Active Directory délégué pour suivre les meilleures pratiques.
Comptes administrateurs déléguables
Ce rapport liste tous les comptes administrateurs qui n'ont pas été protégés contre la délégation. La délégation dans Active Directory est une fonctionnalité permettant aux comptes d'utilisateurs d'usurper d'autres comptes, éventuellement avec des privilèges plus élevés. Il est recommandé d'empêcher la délégation des comptes administrateurs en les marquant comme sensibles ou en les ajoutant au groupe de sécurité Protected Users.
Comptes administrateurs obsolètes
Affiche une liste tabulée des comptes administrateurs qui n'ont pas été accédés pendant une période spécifique. Pour ajuster la période depuis la dernière activité (de 30 à 360 jours à partir du présent), utilisez le curseur en haut. Utilisez ce rapport pour auditer les comptes inutilisés. Les comptes dormants devraient être supprimés car ils peuvent être exploités par des attaquants pour accéder à des ressources sans être remarqués.
Comptes d'utilisateurs obsolètes
Affiche une liste tabulée des comptes d'utilisateurs qui n'ont pas été accédés pendant une période spécifique. Pour ajuster la période depuis la dernière activité (de 30 à 360 jours à partir du présent), utilisez le curseur en haut. Utilisez ce rapport pour auditer les comptes inutilisés. Les comptes dormants devraient être supprimés car ils peuvent être exploités par des attaquants pour accéder à des ressources sans être remarqués.
Mot de passe non requis
Affiche une liste tabulée des comptes d'utilisateurs qui ont soit le drapeau de contrôle pour ne pas exiger de mot de passe activé, soit sont affectés par une politique de mot de passe qui ne spécifie pas une longueur minimale de mot de passe. Les comptes de cette liste indiquent des failles de sécurité graves au sein de votre organisation.
Mot de passe n'expire jamais
Fournit un aperçu des comptes dont les mots de passe sont configurés pour ne jamais expirer. Ceux-ci peuvent être plus vulnérables aux attaques si l'utilisateur réutilise ce mot de passe ailleurs.
Mots de passe expirants
Fournit une liste de tous les comptes avec des informations sur la date d'expiration du mot de passe du compte dans un certain délai. Le délai jusqu'à l'expiration peut être réglé en ajustant le curseur en haut, de 10 à 365 jours à partir de la génération du rapport. La liste peut être visualisée sous forme de tableau ou de graphique. Basculez entre les deux vues en sélectionnant la vue souhaitée dans le menu déroulant Vue en haut. Anticiper l'expiration avec un plan de contingence peut être efficace pour réduire les appels de réinitialisation de mot de passe.
Mots de passe expirés
Fournit une liste tabulée de tous les mots de passe qui ont expiré depuis une période prolongée. Les mots de passe qui ont expiré depuis une période prolongée peuvent indiquer des comptes obsolètes. Par défaut, les comptes avec le drapeau "L'utilisateur doit changer le mot de passe lors de la prochaine connexion" activé sont exclus de la liste. Pour inclure ces comptes, sélectionnez le bouton radio en haut.
Âge du mot de passe
Ce rapport montre une liste tabulée de tous les mots de passe avec une colonne indiquant la dernière modification du mot de passe. Cela peut être utile pour déterminer quels comptes ont changé leur mot de passe après une violation connue.
Politiques de mot de passe
Utilisez ce rapport pour obtenir un aperçu de vos politiques de mot de passe, y compris l'intervalle de changement, l'application du dictionnaire, ainsi que l'entropie (force relative). L'aperçu montre les politiques de mot de passe par domaine et GPO. L'entropie mesure l'efficacité de la politique à résister aux attaques par force brute.
Les paramètres suivants sont utilisés pour déterminer l'entropie maximale.
- Longueur minimale = 16 caractères
- Au moins un de chacun des éléments suivants:
- Minuscule
- Majuscule
- Chiffre
- Caractère spécial
Toute politique avec des paramètres aussi forts ou plus forts sera affichée comme ayant une force "maximale".
Voir notre article de blog sur l'entropie des mots de passe pour plus d'informations.
Utilisation des politiques de mot de passe
Rapport fournissant un aperçu graphique des utilisateurs affectés par chaque politique de mot de passe.
Conformité des politiques de mot de passe
Utilisez ce rapport pour mesurer vos politiques de mot de passe par rapport aux recommandations de l'industrie et de conformité. Le rapport fournit un tableau avec une ligne par domaine et GPO, avec des indicateurs pour chaque standard industriel majeur, tels que MS Research, NIST et NCSC. Trois niveaux de conformité sont identifiés (Non conforme, Partiellement conforme et Entièrement conforme). En cliquant sur l'icône de conformité, vous pourrez comparer vos règles de politique individuelles avec les règles du standard. Voir la page des standards de conformité pour plus d'informations.