Rapports
Specops Password Policy fournit un moyen de visualiser les rapports sur les analyses périodiques qu'il effectue. De plus, les utilisateurs de Specops Password Policy peuvent planifier des rapports périodiques générés à partir de SPA.
Visualisation des rapports d'analyse périodique
Dans l'outil d'administration de domaine, vous pouvez voir un résumé de la dernière analyse périodique, ou de tout rapport précédent.
- Dans l'outil d'administration de domaine, allez à Analyse Périodique.
- Utilisez le menu déroulant Date du Rapport pour voir les résultats des analyses périodiques précédentes.
Vous pouvez configurer combien de rapports sont sauvegardés dans la section Paramètres. Pour plus d'informations, veuillez vous référer à la page de l'outil d'administration de domaine.
Automatisation et planification des rapports
Il existe deux types de rapports différents: les rapports d'analyse périodique, qui sont générés par défaut, et les rapports PDF, qui peuvent être générés par les administrateurs.
-
Rapports d'analyse périodique: Par défaut, l'analyse périodique dans le service Sentinel de Specops Password Policy s'exécute chaque nuit sur l'émulateur PDC. Pendant l'analyse périodique, des actions sont entreprises pour, par exemple, expirer les mots de passe et gérer les mots de passe compromis. Specops Password Policy Sentinel enregistre les informations de l'analyse périodique. L'outil d'administration de domaine peut afficher ces informations, mais il est également possible d'obtenir les informations en utilisant les CmdLets de Windows PowerShell 5.1 si l'automatisation est préférée.
-
Rapports PDF: Specops Password Auditor est essentiellement un outil pour générer des rapports PDF listant les risques autour des politiques de mot de passe et des comptes utilisateurs dans Active Directory. En plus de générer manuellement des rapports dans Specops Password Auditor, les utilisateurs de Specops Password Policy peuvent générer des rapports (planifiés) en utilisant un CmdLet de Windows PowerShell 5.1.
Rapports d'analyse périodique vs rapports PDF de Password Auditor
Il existe une différence fondamentale entre les rapports d'analyse périodique et les rapports générés via Specops Password Auditor. Les rapports générés à partir de l'analyse périodique dans Specops Password Policy contiennent des informations sur les actions effectuées sur les utilisateurs dans l'analyse périodique, telles que les mots de passe trouvés compromis. C'est le résultat d'une analyse périodique effectuée précédemment à un certain moment. Les rapports générés à partir de Specops Password Auditor, en revanche, contiennent un ensemble d'informations différent, lié aux risques autour des utilisateurs et des politiques de mot de passe. C'est un instantané des informations recueillies, mais aucune action n'a été effectuée sur les utilisateurs.
Rapports d'analyse périodique
Le module PowerShell de l'outil d'administration SPP contient les cmdlets suivants liés à l'analyse périodique:
Get-SppPeriodicScanningResultList: liste les résultats d'analyse périodique disponibles à partir du contrôleur de domaine.Get-SppPeriodicScanningResult: renvoie des informations résumées de la dernière analyse périodique, ou, si spécifié, un identifiant de comptage utilisateur spécifique. Aucune information utilisateur n'est fournie dans cet ensemble de résultats.Get-SppPeriodicScanningResultUsers: renvoie des informations sur les utilisateurs de la dernière analyse périodique, ou si spécifié, un identifiant de comptage utilisateur spécifique.
Notez que les cmdlets ci-dessus renvoient des informations d'une analyse périodique qui a été effectuée, mais ne démarrent pas une nouvelle analyse périodique.
Rapports PDF de Specops Password Auditor
Le module PowerShell de l'outil d'administration SPP contient le cmdlet suivant lié au reporting PDF de Password Auditor:
New-SpaReport: analyse les informations d'Active Directory et génère un rapport PDF. Il est recommandé de bien réfléchir à la fréquence et au moment d'exécuter cette commande, car elle provoque une charge sur le contrôleur de domaine.
Avec cette commande, il est par exemple possible de générer un rapport qui peut être envoyé par email à un CISO pour fournir un état hebdomadaire.
Bien que l'outil SPA recherche les utilisateurs avec des mots de passe compromis trouvés dans la liste Express, ces rapports ne font pas partie du PDF généré à partir du cmdlet. Si des informations sur les utilisateurs avec des mots de passe compromis sont d'intérêt, il est recommandé d'utiliser le cmdlet Get-SppPeriodicScanningResultUsers. Notez que cela ne génère pas un rapport PDF de Specops Password Auditor, mais un rapport d'analyse périodique dans Specops Password Policy.
Planification des rapports à partir de Specops Password Auditor
En utilisant le cmdlet ci-dessus et le planificateur de tâches Windows, il est possible de planifier la génération de rapports.
Ci-dessous un exemple de script d'un rapport PDF généré envoyé par email au CISO de l'organisation.
-
Créez un fichier script nommé reporting.ps1. Pour cet exemple, le fichier est enregistré ici:
C:\pdf_reports\scripts\reporting.ps1 -
Incluez le code suivant dans le fichier script:
$out_folder = 'C:\pdf_reports\out' $pdf_report_path = New-SpaReport -OutputDirectory $out_folder -Verbose 4 > $out_folder\log.txt Send-MailMessage -Subject 'SPA report' -To 'ciso@acme.org' -From 'automated-reporting@acme.org' -SmtpServer 'smtp.acme.org' -Port 587 -Attachments $pdf_report_pathAssurez-vous de définir votre chemin de sortie préféré pour $out_folder, et d'entrer les paramètres email corrects pour votre configuration.
Remarque
Il est recommandé d'exécuter cela sur un serveur qui n'est pas un contrôleur de domaine.
-
Créez une tâche planifiée dans le planificateur de tâches Windows.
- Sélectionnez Action > Créer une Tâche de Base
- Donnez-lui un nom.
- Dans la section Déclencheur, définissez votre intervalle préféré.
- Dans la section Action, sélectionnez Démarrer un Programme:
- Programme:
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe - Ajouter un argument:
C:\pdf_reports\scripts\reporting.ps1
- Programme:
Étant donné que certains des rapports contiennent des informations liées aux mots de passe, une permission administrative de domaine est requise. Il est recommandé d'exécuter la tâche planifiée en tant que compte administrateur de domaine dédié à cet effet.