Voici une liste de rapports que vous pouvez afficher/exporter à partir de l’outil Specops Password Auditor.
Mots de passe vides
Ce rapport identifie les comptes d’utilisateurs avec des mots de passe vides. Ces comptes sont concernés par une stratégie sans exigence de mot de passe.
Mots de passe divulgués
Ce rapport identifie les comptes d’utilisateurs dont les mots de passe sont connus pour avoir été compromis (lorsqu’ils sont analysés par rapport à la liste des mots de passe divulgués que vous téléchargez lors du lancement d’une analyse de Password Auditor). Les comptes sur cette liste doivent être invités à modifier leur mot de passe.
Mots de passe identiques
Utilisez ce rapport pour identifier les groupes de comptes d’utilisateurs ayant le même mot de passe. Les utilisateurs administrateurs qui utilisent le même mot de passe pour leurs comptes d’utilisateurs ordinaires et leurs comptes d’administrateur augmentent leur surface d’attaque. Les comptes sur cette liste doivent être invités à modifier leur mot de passe. Cliquer sur n’importe quelle cellule de la liste révélera un tableau avec tous les comptes de ce groupe particulier.
Comptes d’administrateur
Fournit une liste tabulée de comptes ayant des privilèges d’administrateur. Utilisez ce rapport pour déterminer si les privilèges d’administrateur sont utilisés de manière appropriée (accordés aux utilisateurs effectuant des tâches qui s’étendent sur plusieurs domaines Active Directory ou des activités nécessitant des autorisations élevées). Supprimez les comptes d’administrateur inutiles et envisagez un modèle de sécurité Active Directory délégué pour suivre les meilleures pratiques.
Comptes d’administrateur délégables
Ce rapport répertorie tous les comptes d’administrateur qui n’ont pas été protégés de la délégation. La délégation dans Active Directory est une fonctionnalité permettant aux comptes d’utilisateurs d’emprunter l’identité d’autres comptes, éventuellement avec des privilèges plus élevés. Il est recommandé d’empêcher la délégation des comptes d’administrateur en les marquant comme sensibles ou en les ajoutant au groupe de sécurité Utilisateurs protégés.
Comptes d’administrateur obsolètes
Affiche une liste tabulée des comptes d’administrateur n’ayant pas été consultés depuis une période de temps spécifique. Pour régler la période de temps depuis la dernière activité (de 30 à 360 jours à partir du présent), utiliser le curseur en haut. Utilisez ce rapport pour vérifier les comptes non utilisés. Les comptes inactifs doivent être supprimés, car ils peuvent être exploités par des attaquants pour accéder à des ressources sans que cela ne soit remarqué.
Comptes d’utilisateur obsolètes
Affiche une liste tabulée des comptes d’utilisateur n’ayant pas été consultés depuis une période de temps spécifique. Pour régler la période de temps depuis la dernière activité (de 30 à 360 jours à partir du présent), utiliser le curseur en haut. Utilisez ce rapport pour vérifier les comptes non utilisés. Les comptes inactifs doivent être supprimés, car ils peuvent être exploités par des attaquants pour accéder à des ressources sans que cela ne soit remarqué.
Mot de passe non obligatoire
Affiche une liste tabulée des comptes d’utilisateurs ayant soit un indicateur de contrôle activé pour ne pas exiger de mot de passe, soit étant affectés par une stratégie de mot de passe qui ne spécifie pas de longueur minimale de mot de passe. Les comptes sur cette liste indiquent des failles de sécurité sérieuses au sein de votre organisation.
Le mot de passe n’expire jamais
Fournit un récapitulatif des comptes dont les mots de passe sont configurés pour ne jamais expirer. Ceux-ci peuvent être plus vulnérables aux attaques si l’utilisateur réutilise ce mot de passe ailleurs.
Mots de passe en cours d’expiration
Fournit une liste de tous les comptes ayant des informations sur le délai d’expiration du mot de passe du compte. Le délai d’expiration peut être défini en ajustant le curseur en haut, de 10 à 365 jours à compter de la génération du rapport. La liste peut être affichée sous forme de tableau ou de graphique. Basculez entre les deux modes d’affichage en sélectionnant celui souhaité dans la liste déroulante Affichage en haut. Anticiper l’expiration avec un plan d’urgence peut être efficace pour limiter les appels de réinitialisation de mot de passe.
Mots de passe expirés
Fournit une liste tabulée de tous les mots de passe ayant expiré depuis longtemps. Les mots de passe ayant expiré depuis un certain temps peuvent indiquer un compte obsolète. Par défaut, les comptes avec l’indicateur « L’utilisateur doit changer le mot de passe à la prochaine ouverture de session » sont exclus de la liste. Pour inclure ces comptes, sélectionnez la case d’option en haut.
Âge du mot de passe
Ce rapport affiche une liste tabulée de tous les mots de passe avec une colonne indiquant quand le mot de passe a été changé pour la dernière fois. Ceci peut être utile lorsque vous tentez de déterminer quels comptes ont changé leur mot de passe suite à une infraction connue.
Stratégies de mots de passe
Utilisez ce rapport pour obtenir un récapitulatif de vos stratégies de mot de passe, dont l’intervalle de changement, l’application du dictionnaire, ainsi que l’entropie (force relative). L’aperçu affiche les stratégies de mot de passe par domaine et objet de stratégie de groupe. L’entropie mesure l’efficacité de la stratégie à résister aux attaques par force brute.
Les paramètres suivants sont utilisés pour déterminer l’entropie maximale.
- Longueur minimale = 16 caractères
-
Au moins un de chacun des éléments suivants :
- Minuscule
- Majuscule
- Chiffre
- Caractère spécial
Toute stratégie avec des paramètres aussi forts ou plus forts sera affichée comme ayant une force « maximale ».
Consultez notre article de blog sur l’entropie des mots de passe pour plus d’informations.
Utilisation de la stratégie de mot de passe
Rapport fournissant un aperçu graphique des utilisateurs concernés par chaque stratégie de mot de passe.
Conformité à la stratégie de mot de passe
Utilisez ce rapport pour évaluer vos stratégies de mot de passe par rapport aux recommandations du secteur et de conformité. Le rapport fournit un tableau avec une ligne par domaine et objet de stratégie de groupe, avec des indicateurs pour chaque norme majeure du secteur, comme MS Research, NIST et NCSC. Trois niveaux de conformité sont identifiés (non conforme, partiellement conforme et entièrement conforme). En cliquant sur l’icône de conformité, vous pourrez comparer vos règles de stratégie individuelles avec les règles de la norme. Pour plus d’informations, veuillez consulter la page Normes de conformité.