パスワード監査

PC を使用して、Windows システムおよび Unix システムのパスワード監査が可能です。パスワード監査コントロールを使用すると、1)空のパスワードを持つユーザアカウント、2)ユーザ名と同一のパスワードを持つユーザアカウント、および 3)ユーザ定義のパスワード辞書に含まれるエントリと同一のパスワードを持つユーザアカウントを特定できます。

 

パスワード監査のための以下のコントロールが用意されています。

CID 3893 -- 空のパスワードを持つユーザアカウントを特定します。

CID 3894 -- ユーザ名と同一のパスワードを持つユーザアカウントを特定します。

CID 3895 -- ユーザ定義のパスワード辞書に含まれるエントリと同一のパスワードを持つユーザアカウントを特定します。コンプライアンスプロファイルでパスワード辞書を設定し、そのプロファイルをスキャンタスクに適用します。

リモートからはアクセスできない対象 Windows ホストからユーザのパスワード情報を収集する場合は、Dissolvable Agent(エージェント)が使用されます。エージェントはスキャンプロセスの実行中に必要に応じてインストールされます。スキャンが完了すると、エージェントは自分自身を完全に削除します。

 

サブスクリプションで Dissolvable Agent が承認されている必要があります。「Scans」->「Setup」->「Dissolvable Agent」に移動して、Dissolvable Agent が承認されていることを確認します。承認されていない場合は、マネージャがこの項目に移動して、Dissolvable Agent を承認する必要があります。詳細

パスワード監査コントロールは、デフォルトではコンプライアンススキャンに含まれません。スキャンを実行する前に「PC」->「Scans」->「Option Profiles」に移動して、オプションプロファイルで次の設定を行います。

- Dissolvable Agent の有効化

- パスワード監査の有効化

- パスワード辞書の作成(「Configure」をクリック)。パスワード辞書は CID 3895 を評価する際に使用され、パスワード辞書に含まれるエントリと同一のパスワードを持つユーザアカウントを特定します。処理の概要処理の概要

CID 3895 の評価時に、コンプライアンススキャン中に検出されたユーザアカウントのパスワードが、パスワード辞書にリストされたパスワードと比較されます。一致するパスワードがあった場合、コントロールは失敗します。一致するパスワードがなかった場合、コントロールは成功します。

パスワード監査には、認証の成功が必要条件です。パスワード監査コントロールをスキャンするホストに対し、Windows および Unix 認証レコードを作成します。「PC」->「Scans」->「Authentication Records」を選択します。

3 種類のパスワード監査コントロール(CID 3893、3894、および 3895)をコンプライアンスポリシーに追加します。

これらのコントロールのデフォルトの期待値これらのコントロールのデフォルトの期待値

CID 3893 および 3894 の場合、ポリシーのデフォルトの期待値は次のとおりです。

CID 3893 および 3894 のデフォルトの期待値「No accounts found」

コントロールに違反するユーザアカウントが見つからない場合、コントロールは成功します。コントロールに違反するユーザアカウントが 1 件以上見つかった場合、コントロールは失敗します。

CID 3895 の場合、ポリシーのデフォルトの期待値は次のとおりです。

CID 3895 のデフォルトの期待値「No accounts found」および「No defined dictionary found」

コントロールに違反するユーザアカウントが見つからない場合や、スキャン中に使用されるプロファイルにパスワード辞書が含まれていない場合、コントロールは成功します。コントロールに違反するユーザアカウントが 1 件以上見つかった場合、コントロールは失敗します。

 

「PC」->「Scans」を選択し、「New」->「Scan」(または「Schedule Scan」)を選択します。スキャンの設定を入力し、「Launch」をクリックします。必ず「Password Auditing」オプションが選択されているオプションプロファイルを選択してください。

スキャンが完了したことを確認する方法: スキャンステータスに「Finished」と表示されていれば、スキャンは完了しています。この時点で、「Quick Actions」メニューから「View」を選択すると、結果の全体を HTML レポートで表示できます。通知を有効にしている場合は、E メールが届きます。

認証が正しく機能していることを確認することをお勧めします。詳細

レポートを実行できる時期: スキャン結果はアカウントでマージ(処理)されます。緑色で塗りつぶされた円 「Scan Finished, Results Processed」アイコン は、結果が処理されたことを示します。最新のスキャン検出内容に基づいてレポートを作成する準備は、この時点で整ったことになります。

コンプライアンスレポートを作成して、コンプライアンススキャン中にホストで収集されたデータをコンプライアンスポリシーに定義されている期待値と比較します。コントロールに違反する 1 つ以上のユーザアカウントが見つかった場合、パスワード監査コントロールは失敗します。コントロールに違反するユーザアカウントは、レポートの「Actual」フィールドに表示されます。

「PC」->「Reports」->「New」->「Compliance Report」を選択して、レポートの 1 つを選択します。

 

クイックリンク

コンプライアンススキャンの開始

コンプライアンスレポート