Rapports

Désignations des administrateurs dans les rapports

Dans les rapports de Specops Password Auditor, les utilisateurs sont classés comme administrateurs en fonction du groupe auquel ils appartiennent dans Active Directory. Les utilisateurs suivants sont désignés comme administrateurs:

Le groupe d'administrateurs intégrés avec le SID bien connu S-1-5-32-544
Le groupe d'administrateurs de domaine qui contient le SID de domaine et se termine par 512
Le groupe d'administrateurs d'entreprise qui contient le SID de domaine et se termine par 519
Le groupe d'administrateurs de schéma qui contient le SID de domaine et se termine par 518

Rapport d'écran

Lorsque vous avez exécuté l'analyse (comme décrit dans la section principale Administration) et cliqué sur Afficher les résultats, vous aurez un aperçu des rapports interactifs contenant des informations sur les utilisateurs et la politique de mot de passe. Les rapports individuels peuvent être consultés en cliquant dessus pour révéler des informations supplémentaires et plus détaillées.

Mots de passe vides

Ce rapport identifie les comptes d'utilisateurs avec des mots de passe vides. Ces comptes sont affectés par une politique sans exigence de mot de passe.

Mots de passe compromis

Ce rapport identifie les comptes d'utilisateurs avec des mots de passe connus pour être compromis (lorsqu'ils sont analysés par rapport à la liste de mots de passe compromis que vous téléchargez lors de l'initiation d'une analyse de Password Auditor). Les comptes de cette liste devraient être invités à changer leur mot de passe.

Remarque

Le rapport sur les mots de passe compromis n'utilise pas de mots de passe en clair. Les hachages MD4 des mots de passe compromis sont comparés aux hachages des mots de passe du domaine. Les hachages ne sont pas stockés, ils sont lus et conservés en mémoire par Specops Password Auditor.

Mots de passe identiques

Utilisez ce rapport pour identifier les groupes de comptes d'utilisateurs qui ont le même mot de passe. Les utilisateurs administrateurs qui utilisent le même mot de passe pour leurs comptes d'utilisateur normaux et leurs comptes administrateurs augmentent leur surface d'attaque. Les comptes de cette liste devraient être invités à changer leur mot de passe. En cliquant sur n'importe quelle cellule de la liste, vous révélerez un tableau avec tous les comptes de ce groupe particulier.

Comptes administrateurs

Fournit une liste tabulée des comptes avec des privilèges administratifs. Utilisez ce rapport pour identifier si les privilèges administratifs sont utilisés de manière appropriée (accordés aux utilisateurs effectuant des tâches qui s'étendent sur les domaines Active Directory, ou des activités nécessitant des permissions élevées). Supprimez les comptes administrateurs inutiles et envisagez un modèle de sécurité Active Directory délégué pour suivre les meilleures pratiques.

Comptes administrateurs déléguables

Ce rapport répertorie tous les comptes administrateurs qui n'ont pas été protégés contre la délégation. La délégation dans Active Directory est une fonctionnalité permettant aux comptes d'utilisateurs d'usurper d'autres comptes, éventuellement de privilèges plus élevés. Il est recommandé d'empêcher la délégation des comptes administrateurs en les marquant comme sensibles ou en les ajoutant au groupe de sécurité Utilisateurs protégés.

Comptes administrateurs obsolètes

Affiche une liste tabulée des comptes administrateurs qui n'ont pas été accédés pendant une période spécifique. Pour ajuster la période depuis la dernière activité (de 30 à 360 jours à partir du présent), utilisez le curseur en haut. Utilisez ce rapport pour auditer les comptes inutilisés. Les comptes dormants devraient être supprimés car ils peuvent être exploités par des attaquants pour accéder aux ressources sans être remarqués.

Comptes d'utilisateurs obsolètes

Affiche une liste tabulée des comptes d'utilisateurs qui n'ont pas été accédés pendant une période spécifique. Pour ajuster la période depuis la dernière activité (de 30 à 360 jours à partir du présent), utilisez le curseur en haut. Utilisez ce rapport pour auditer les comptes inutilisés. Les comptes dormants devraient être supprimés car ils peuvent être exploités par des attaquants pour accéder aux ressources sans être remarqués.

Mot de passe non requis

Affiche une liste tabulée des comptes d'utilisateurs qui ont soit le drapeau de contrôle pour ne pas exiger de mot de passe configuré, soit sont affectés par une politique de mot de passe qui ne spécifie pas une longueur minimale de mot de passe. Les comptes de cette liste indiquent des failles de sécurité graves au sein de votre organisation.

Mot de passe n'expire jamais

Fournit un aperçu des comptes dont les mots de passe sont configurés pour ne jamais expirer. Ceux-ci peuvent être plus vulnérables aux attaques si l'utilisateur réutilise ce mot de passe ailleurs.

Mots de passe expirants

Fournit une liste de tous les comptes avec des informations sur la date d'expiration du mot de passe du compte dans un certain délai. Le temps jusqu'à l'expiration peut être réglé en ajustant le curseur en haut, de 10 à 365 jours à partir de la génération du rapport. La liste peut être consultée sous forme de tableau ou de graphique. Basculez entre les deux vues en sélectionnant la vue souhaitée dans le menu déroulant Vue en haut. Anticiper l'expiration avec un plan de contingence peut être efficace pour réduire les appels de réinitialisation de mot de passe.

Mots de passe expirés

Fournit une liste tabulée de tous les mots de passe qui ont expiré depuis une période prolongée. Les mots de passe qui ont expiré depuis une période prolongée peuvent indiquer des comptes obsolètes. Par défaut, les comptes avec le drapeau "L'utilisateur doit changer le mot de passe à la prochaine connexion" configuré sont exclus de la liste. Pour inclure ces comptes, sélectionnez le bouton radio en haut.

Âge du mot de passe

Ce rapport affiche une liste tabulée de tous les mots de passe avec une colonne indiquant la date du dernier changement de mot de passe. Cela peut être utile pour déterminer quels comptes ont changé leur mot de passe après une violation connue.

Politiques de mot de passe

Utilisez ce rapport pour obtenir un aperçu de vos politiques de mot de passe, y compris l'intervalle de changement, l'application du dictionnaire, ainsi que l'entropie (force relative). L'aperçu montre les politiques de mot de passe par domaine et GPO. L'entropie mesure l'efficacité de la politique à résister aux attaques par force brute.

Les paramètres suivants sont utilisés pour déterminer l'entropie maximale.

Longueur minimale = 16 caractères
Au moins un de chacun des éléments suivants:
- Minuscule
- Majuscule
- Chiffre
- Caractère spécial

Toute politique avec des paramètres aussi forts ou plus forts sera affichée comme ayant une force "maximale".

Voir notre article de blog sur l'entropie des mots de passe pour plus d'informations.

Utilisation des politiques de mot de passe

Rapport fournissant un aperçu graphique des utilisateurs affectés par chaque politique de mot de passe.

Conformité des politiques de mot de passe

Utilisez ce rapport pour mesurer vos politiques de mot de passe par rapport aux recommandations de l'industrie et de conformité. Le rapport fournit un tableau avec une ligne par domaine et GPO, avec des indicateurs pour chaque norme industrielle majeure, telles que MS Research, NIST et NCSC. Trois niveaux de conformité sont identifiés (Non conforme, Partiellement conforme et Entièrement conforme). En cliquant sur l'icône de conformité, vous pourrez comparer vos règles de politique individuelles avec les règles de la norme. Voir la page des normes de conformité pour plus d'informations.

Remarque

Specops Password Auditor vérifiera à la fois les politiques Windows intégrées ainsi que celles créées avec Specops Password Policy (avec Specops Breached Password Protection).

Par exemple, les normes qui exigent que les utilisateurs n'utilisent pas de mots du dictionnaire (Interdire les mots de passe du dictionnaire) seront marquées comme non conformes si Specops Password Policy n'est pas utilisé, ou si la politique dans Specops Password Policy n'est pas configurée pour satisfaire le critère.

Rapports CSV

Pour chaque rapport individuel généré après une analyse, une exportation .csv peut être générée. Pour générer un rapport .csv, procédez comme suit:

Cliquez sur le rapport pour lequel vous souhaitez créer un rapport.
Cliquez sur Exporter en haut.
Naviguez vers l'endroit où vous souhaitez enregistrer le rapport sur votre système, fournissez un nom pour le fichier, et cliquez sur Enregistrer.

Rapports PDF

En plus des exportations .csv pour les rapports individuels, un rapport PDF peut être généré pour l'ensemble de l'analyse.

Sur la page d'aperçu du rapport, cliquez sur Obtenir le rapport PDF en bas.
Indiquez le chemin de fichier correct où le rapport doit être enregistré sur votre système en cliquant sur le bouton Parcourir et en naviguant vers l'endroit correct.
Choisissez votre taille de papier (A4 ou Lettre)
Choisissez le type de rapport:
- Complet: donne un aperçu sommaire de tous les rapports en plus des rapports individuels. Tous les rapports individuels sont également accompagnés d'un résumé.
- Résumé: ne donne qu'un rapport sommaire de tous les rapports.
Cliquez sur Générer.

Les clients SPP ont la possibilité de générer des rapports planifiés. Plus d'informations peuvent être trouvées sur la page de planification des rapports.