Planification des Rapports

Les clients de Specops Password Policy ont la possibilité de planifier des rapports contenant des informations sur les utilisateurs et la politique de mot de passe.

Prérequis

La planification des rapports doit être exécutée sur un ordinateur où l'outil d'administration de domaine Specops Password Policy est installé.
Il est recommandé d'exécuter la planification des rapports en utilisant un compte administrateur de domaine dédié.

Rapports

Il existe deux types de rapports différents : les rapports de balayage périodique, qui sont générés par défaut, et les rapports PDF, qui peuvent être générés par les administrateurs.

Rapports de balayage périodique : Par défaut, le balayage périodique dans le service Sentinel de Specops Password Policy s'exécute chaque nuit sur l'émulateur PDC. Pendant le balayage périodique, des actions sont entreprises pour, par exemple, expirer les mots de passe et gérer les mots de passe compromis. Specops Password Policy Sentinel enregistre les informations du balayage périodique. L'outil d'administration de domaine peut afficher ces informations, mais il est également possible d'obtenir les informations en utilisant les CmdLets de Windows PowerShell 5.1 si l'automatisation est préférée.
Rapports Password Auditor : Specops Password Auditor est essentiellement un outil pour générer des rapports PDF, listant les risques autour des politiques de mot de passe et des comptes utilisateurs dans Active Directory. En plus de générer manuellement des rapports dans Specops Password Auditor, les utilisateurs de Specops Password Policy peuvent générer des rapports (planifiés) en utilisant un CmdLet de Windows PowerShell 5.1.

Rapports de balayage périodique vs rapports Password Auditor

Il y a une différence fondamentale entre les rapports de balayage périodique et les rapports PDF générés via Specops Password Auditor. Les rapports générés à partir du balayage périodique dans Specops Password Policy contiennent des informations sur les actions effectuées sur les utilisateurs dans le balayage périodique, telles que les mots de passe trouvés compromis. C'est le résultat d'un balayage périodique effectué précédemment à un certain moment. Les rapports générés à partir de Specops Password Auditor, en revanche, contiennent un ensemble d'informations différent, lié aux risques autour des utilisateurs et des politiques de mot de passe. C'est un instantané des informations recueillies, mais aucune action n'a été effectuée sur les utilisateurs.

Rapports de balayage périodique

Le module PowerShell de l'outil d'administration SPP contient les cmdlets suivants liés au balayage périodique :

Get-SppPeriodicScanningResultList : liste les résultats de balayage périodique disponibles à partir du contrôleur de domaine.
Get-SppPeriodicScanningResult : renvoie des informations résumées du dernier balayage périodique, ou, si spécifié, un identifiant de comptage utilisateur spécifique. Aucune information utilisateur n'est fournie dans cet ensemble de résultats.
Get-SppPeriodicScanningResultUsers : renvoie des informations sur les utilisateurs du dernier balayage périodique, ou si spécifié, un identifiant de comptage utilisateur spécifique.

Notez que les cmdlets ci-dessus renvoient des informations d'un balayage périodique qui a été effectué, mais ne démarrent pas un nouveau balayage périodique.

Rapports Specops Password Auditor

Le module PowerShell de l'outil d'administration SPP contient le cmdlet suivant lié à la génération de rapports PDF Password Auditor :

New-SpaReport : scanne les informations d'Active Directory et génère un rapport PDF. Il est recommandé de bien réfléchir à la fréquence et au moment d'exécuter cette commande, car elle entraîne une charge sur le contrôleur de domaine.

Avec cette commande, il est par exemple possible de générer un rapport qui peut être envoyé par e-mail à un CISO pour fournir un état hebdomadaire.

Bien que l'outil SPA recherche les utilisateurs avec des mots de passe compromis trouvés dans la liste Express, ces rapports ne font pas partie du PDF généré à partir du cmdlet. Si des informations sur les utilisateurs avec des mots de passe compromis sont d'intérêt, il est recommandé d'utiliser le cmdlet Get-SppPeriodicScanningResultUsers. Notez que cela ne génère pas un rapport PDF Specops Password Auditor, mais un rapport de balayage périodique dans Specops Password Policy.

Planification des rapports à partir de Specops Password Auditor

En utilisant le cmdlet ci-dessus et le planificateur de tâches Windows, il est possible de planifier la génération de rapports.

Ci-dessous un exemple de script d'un rapport PDF généré envoyé par e-mail au CISO de l'organisation.

Créez un fichier de script nommé reporting.ps1. Pour cet exemple, le fichier est enregistré ici : C:\pdf_reports\scripts\reporting.ps1

Incluez le code suivant dans le fichier de script :

$out_folder = 'C:\pdf_reports\out'
$pdf_report_path = New-SpaReport
  -OutputDirectory $out_folder
  -Verbose 4 > $out_folder\log.txt
Send-MailMessage
  -Subject 'SPA report'
  -To 'ciso@acme.org'
  -From 'automated-reporting@acme.org'
  -SmtpServer 'smtp.acme.org'
  -Port 587
  -Attachments $pdf_report_path

Assurez-vous de définir votre chemin de sortie préféré pour $out_folder, et d'entrer les paramètres de messagerie corrects pour votre configuration.

Remarque

Il est recommandé d'exécuter cela sur un serveur qui n'est pas un contrôleur de domaine.

Créez une tâche planifiée dans le planificateur de tâches Windows.
1. Sélectionnez Action > Créer une tâche de base
2. Donnez-lui un nom.
3. Dans la section Déclencheur, définissez votre intervalle préféré.
4. Dans la section Action, sélectionnez Démarrer un programme :
  - Programme : C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
  - Ajouter un argument : C:\pdf_reports\scripts\reporting.ps1
Remarque

Étant donné que certains des rapports contiennent des informations liées aux mots de passe, une autorisation administrative de domaine est requise.