Présentation

Specops Password Auditor analyse votre Active Directory et détecte les faiblesses liées à la sécurité, en particulier celles liées aux paramètres de mot de passe. Les informations recueillies seront utilisées pour afficher plusieurs rapports interactifs contenant des informations relatives aux stratégies d’utilisateurs et de mot de passe. Les rapports incluent, entre autres, un récapitulatif des comptes utilisant des mots de passe compromis, des mots de passe en double, des comparaisons des paramètres de mot de passe de votre organisation par rapport aux normes du secteur, et les meilleures pratiques selon plusieurs normes officielles.

Specops Password Auditor ne lit que les informations d’Active Directory et n’apporte aucune modification. Celui-ci lira la stratégie de mot de passe de domaine par défaut, toutes les stratégies de mot de passe détaillées, ainsi que toutes les stratégies de mot de passe Specops (si installées).

REMARQUE
Afin de pouvoir lire les Stratégies de mot de passe affinées, et les hachages de mot de passe pour Breached Password Protection, les rapports sur les mots de passe identiques ou les mots de passe vides, des privilèges d’administrateur de domaine dans Active Directory sont nécessaires.

Les attributs de compte d’utilisateur suivants seront également lus :

  • pwdLastSet
  • userAccountControl
  • lastLogonTimestamp

Rapports


Voici une liste de rapports que vous pouvez afficher/exporter à partir de l’outil Specops Password Auditor.

Mots de passe vides

Ce rapport identifie les comptes d’utilisateurs avec des mots de passe vides. Ces comptes sont concernés par une stratégie sans exigence de mot de passe.

Mots de passe divulgués

Ce rapport identifie les comptes d’utilisateurs dont les mots de passe sont connus pour avoir été compromis (lorsqu’ils sont analysés par rapport à la liste des mots de passe divulgués que vous téléchargez lors du lancement d’une analyse de Password Auditor). Les comptes sur cette liste doivent être invités à modifier leur mot de passe.

REMARQUE
Le rapport Mots de passe piratés n’utilise pas de mots de passe en texte clair. Les hachages MD4 des mots de passe compromis sont comparés aux hachages des mots de passe du domaine. Les hachages ne sont pas stockés, ils sont lus et gardés en mémoire par Specops Password Auditor.

Mots de passe identiques

Utilisez ce rapport pour identifier les groupes de comptes d’utilisateurs ayant le même mot de passe. Les utilisateurs administrateurs qui utilisent le même mot de passe pour leurs comptes d’utilisateurs ordinaires et leurs comptes d’administrateur augmentent leur surface d’attaque. Les comptes sur cette liste doivent être invités à modifier leur mot de passe. Cliquer sur n’importe quelle cellule de la liste révélera un tableau avec tous les comptes de ce groupe particulier.

Comptes d’administrateur

Fournit une liste tabulée de comptes ayant des privilèges d’administrateur. Utilisez ce rapport pour déterminer si les privilèges d’administrateur sont utilisés de manière appropriée (accordés aux utilisateurs effectuant des tâches qui s’étendent sur plusieurs domaines Active Directory ou des activités nécessitant des autorisations élevées). Supprimez les comptes d’administrateur inutiles et envisagez un modèle de sécurité Active Directory délégué pour suivre les meilleures pratiques.

Comptes d’administrateur délégables

Ce rapport répertorie tous les comptes d’administrateur qui n’ont pas été protégés de la délégation. La délégation dans Active Directory est une fonctionnalité permettant aux comptes d’utilisateurs d’emprunter l’identité d’autres comptes, éventuellement avec des privilèges plus élevés. Il est recommandé d’empêcher la délégation des comptes d’administrateur en les marquant comme sensibles ou en les ajoutant au groupe de sécurité Utilisateurs protégés.

Comptes d’administrateur obsolètes

Affiche une liste tabulée des comptes d’administrateur n’ayant pas été consultés depuis une période de temps spécifique. Pour régler la période de temps depuis la dernière activité (de 30 à 360 jours à partir du présent), utiliser le curseur en haut. Utilisez ce rapport pour vérifier les comptes non utilisés. Les comptes inactifs doivent être supprimés car ils peuvent être exploités par des attaquants pour accéder à des ressources sans que cela ne soit remarqué.

Comptes d’utilisateur obsolètes

Affiche une liste tabulée des comptes d’utilisateur n’ayant pas été consultés depuis une période de temps spécifique. Pour régler la période de temps depuis la dernière activité (de 30 à 360 jours à partir du présent), utiliser le curseur en haut. Utilisez ce rapport pour vérifier les comptes non utilisés. Les comptes inactifs doivent être supprimés car ils peuvent être exploités par des attaquants pour accéder à des ressources sans que cela ne soit remarqué.

Mot de passe non obligatoire

Affiche une liste tabulée des comptes d’utilisateurs ayant soit un indicateur de contrôle activé pour ne pas exiger de mot de passe, soit étant affectés par une stratégie de mot de passe qui ne spécifie pas de longueur minimale de mot de passe. Les comptes sur cette liste indiquent des failles de sécurité sérieuses au sein de votre organisation.

Le mot de passe n’expire jamais

Fournit un récapitulatif des comptes dont les mots de passe sont configurés pour ne jamais expirer. Ceux-ci peuvent être plus vulnérables aux attaques si l’utilisateur réutilise ce mot de passe ailleurs.

Mots de passe en cours d’expiration

Fournit une liste de tous les comptes ayant des informations sur le délai d’expiration du mot de passe du compte. Le délai d’expiration peut être défini en ajustant le curseur en haut, de 10 à 365 jours à compter de la génération du rapport. La liste peut être affichée sous forme de tableau ou de graphique. Basculez entre les deux modes d’affichage en sélectionnant celui souhaitée dans la liste déroulante Affichage en haut. Anticiper l’expiration avec un plan d’urgence peut être efficace pour limiter les appels de réinitialisation de mot de passe.

Mots de passe expirés

Fournit une liste tabulée de tous les mots de passe ayant expiré depuis longtemps. Les mots de passe ayant expiré depuis un certain temps peuvent indiquer un compte obsolète. Par défaut, les comptes avec l’indicateur « L’utilisateur doit changer le mot de passe à la prochaine ouverture de session » sont exclus de la liste. Pour inclure ces comptes, sélectionnez la case d’option en haut.

Âge du mot de passe

Ce rapport affiche une liste tabulée de tous les mots de passe avec une colonne indiquant quand le mot de passe a été changé pour la dernière fois. Ceci peut être utile lorsque vous tentez de déterminer quels comptes ont changé leur mot de passe suite à une infraction connue.

Stratégies de mots de passe

Utilisez ce rapport pour obtenir un récapitulatif de vos stratégies de mot de passe, dont l’intervalle de changement, l’application du dictionnaire, ainsi que l’entropie (force relative). L’aperçu affiche les stratégies de mot de passe par domaine et objet de stratégie de groupe. L’entropie mesure l’efficacité de la stratégie à résister aux attaques par force brute.

Les paramètres suivants sont utilisés pour déterminer l’entropie maximale.

  • Longueur minimale = 16 caractères
  • Au moins un de chacun des éléments suivants :
    • Minuscule
    • Majuscule
    • Chiffre
    • Caractère spécial

Toute stratégie avec des paramètres aussi forts ou plus forts sera affichée comme ayant une force « maximale ».

Consultez notre article de blog sur l’entropie des mots de passe pour plus d’informations.

Utilisation de la stratégie de mot de passe

Rapport fournissant un aperçu graphique des utilisateurs concernés par chaque stratégie de mot de passe.

Conformité à la stratégie de mot de passe

Utilisez ce rapport pour évaluer vos stratégies de mot de passe par rapport aux recommandations du secteur et de conformité. Le rapport fournit un tableau avec une ligne par domaine et objet de stratégie de groupe, avec des indicateurs pour chaque norme majeure du secteur, comme MS Research, NIST et NCSC. Trois niveaux de conformité sont identifiés (non conforme, partiellement conforme et entièrement conforme). En cliquant sur l’icône de conformité, vous pourrez comparer vos règles de stratégie individuelles avec les règles de la norme. Pour plus d’informations, veuillez consulter la page Normes de conformité.