Cómo auditar la calidad de las contraseñas de Active Directory usando PowerShell
El script de PowerShell que se proporciona a continuación se puede usar para hacer un listado de todas las cuentas de usuario del dominio con contraseñas poco seguras en el Informe de calidad de las contraseñas. Las contraseñas poco seguras se determinan en función de una lista predefinida, contraseñas duplicadas, contraseñas predeterminadas establecidas por el administrador y contraseñas vacías. Como alternativa, también puede obtener la información deseada sin un script de PowerShell usando Buscador de contraseñas poco seguras, una herramienta gratuita de ManageEngine que busca y muestra una lista de usuarios con contraseñas poco seguras. El ejecutor de directivas de contraseñas de ADSelfService Plus le ayuda a crear una directiva de contraseñas estricta y personalizada gracias a la cual se evita la creación de contraseñas poco seguras. A continuación se ofrece una comparación entre auditar la calidad de las contraseñas de las cuentas del dominio usando PowerShell y ADSelfService Plus:
PowerShell
Ejecute el siguiente script de PowerShell para instalar el módulo DSInternals:
Install-Module DSInternals
A continuación, cree un archivo de texto con una lista de contraseñas poco seguras. Ingrese y ejecute el script de PowerShell que se proporciona a continuación para generar el Informe de calidad de las contraseñas.
$Passwords = "$($ENV:USERProfile)\Desktop\passwords.txt"
$Params = @{
"All" = $True
"Server" = 'DC'
"NamingContext" = 'dc=techsnips,dc=local'
}
Get-ADReplAccount @Params | Test-PasswordQuality -WeakPasswordsFile $Passwords -IncludeDisabledAccounts
ADSelfService Plus
Además de ayudarle a encontrar usuarios con contraseñas poco seguras, el Ejecutor de directivas de contraseñas de ADSelfService Plus también se puede usar para crear una directiva de contraseñas personalizada con reglas para evitar contraseñas de diccionario, patrones y más para cuentas de usuarios en determinados dominios, grupos o unidades organizativas.
- Configuración rápida:
Con ADSelfService Plus, está a solo unos clics de auditar la calidad de la contraseña de cuentas de usuario y evitar la creación de contraseñas poco seguras. Pero en PowerShell, debe crear, depurar y ejecutar scripts.
- Compare contraseñas con una extensa lista de contraseñas poco seguras:
La herramienta Buscador de contraseñas poco seguras contiene una lista predefinida de más de 100.000 contraseñas débiles de uso común. Los administradores pueden agregar otras contraseñas que se consideran comunes o poco seguras a esta lista. Por otro lado, en PowerShell, los administradores deben crear una lista de contraseñas poco seguras y mencionar su ruta de archivo en el script.
- Informes detallados y exportables:
El informe de usuarios de contraseñas poco seguras muestra otra información de usuario, como sAMAccountName, departamento, OU, grupo, etc. El informe también se puede exportar como un archivo CSV. Con PowerShell, el informe solo incluirá el nombre para mostrar de la cuenta de usuario.
- Creación de directivas estrictas de contraseñas:
En ADSelfService Plus, es posible crear fácilmente directivas de contraseñas personalizadas. Las reglas de las directivas de contraseñas que se pueden establecer incluyen la longitud máxima de las contraseñas, no permitir el uso de palabras de diccionario y palíndromos, y especificar la cantidad mínima de caracteres numéricos, caracteres especiales, letras minúsculas o letras mayúsculas que se incluirán. PowerShell también se puede usar para crear estas reglas, pero requiere tener amplios conocimientos de scripting.
