パスワード監査

パスワード監査のための以下のコントロールが用意されています。

CID 3893 -- 空のパスワードを持つユーザアカウントを特定します。

CID 3894 -- ユーザ名と同一のパスワードを持つユーザアカウントを特定します。

CID 3895 -- ユーザ定義のパスワード辞書に含まれるエントリと同一のパスワードを持つユーザアカウントを特定します。コンプライアンスプロファイルでパスワード辞書を設定し、そのプロファイルをスキャンタスクに適用します。

リモートからはアクセスできない対象 Windows ホストからユーザのパスワード情報を収集する場合は、Dissolvable Agent（エージェント）が使用されます。エージェントはスキャンプロセスの実行中に必要に応じてインストールされます。スキャンが完了すると、エージェントは自分自身を完全に削除します。

サブスクリプションで Dissolvable Agent が承認されている必要があります。「Scans」->「Setup」->「Dissolvable Agent」に移動して、Dissolvable Agent が承認されていることを確認します。承認されていない場合は、マネージャがこの項目に移動して、Dissolvable Agent を承認する必要があります。詳細

パスワード監査コントロールは、デフォルトではコンプライアンススキャンに含まれません。スキャンを実行する前に「PC」->「Scans」->「Option Profiles」に移動して、オプションプロファイルで次の設定を行います。

- Dissolvable Agent の有効化

- パスワード監査の有効化

- パスワード辞書の作成（「Configure」をクリック）。パスワード辞書は CID 3895 を評価する際に使用され、パスワード辞書に含まれるエントリと同一のパスワードを持つユーザアカウントを特定します。処理の概要処理の概要

パスワード監査には、認証の成功が必要条件です。パスワード監査コントロールをスキャンするホストに対し、Windows および Unix 認証レコードを作成します。「PC」->「Scans」->「Authentication Records」を選択します。

3 種類のパスワード監査コントロール（CID 3893、3894、および 3895）をコンプライアンスポリシーに追加します。

これらのコントロールのデフォルトの期待値これらのコントロールのデフォルトの期待値

「PC」->「Scans」を選択し、「New」->「Scan」（または「Schedule Scan」）を選択します。スキャンの設定を入力し、「Launch」をクリックします。必ず「Password Auditing」オプションが選択されているオプションプロファイルを選択してください。

スキャンが完了したことを確認する方法: スキャンステータスに「Finished」と表示されていれば、スキャンは完了しています。この時点で、「Quick Actions」メニューから「View」を選択すると、結果の全体を HTML レポートで表示できます。通知を有効にしている場合は、E メールが届きます。

認証が正しく機能していることを確認することをお勧めします。詳細

レポートを実行できる時期: スキャン結果はアカウントでマージ（処理）されます。緑色で塗りつぶされた円 は、結果が処理されたことを示します。最新のスキャン検出内容に基づいてレポートを作成する準備は、この時点で整ったことになります。

コンプライアンスレポートを作成して、コンプライアンススキャン中にホストで収集されたデータをコンプライアンスポリシーに定義されている期待値と比較します。コントロールに違反する 1 つ以上のユーザアカウントが見つかった場合、パスワード監査コントロールは失敗します。コントロールに違反するユーザアカウントは、レポートの「Actual」フィールドに表示されます。

「PC」->「Reports」->「New」->「Compliance Report」を選択して、レポートの 1 つを選択します。