Schwachstellen im Active Directory entdecken mit dem kostenlosen PingCastle

    Active Directory mit PingCastle überprüfenAuch wenn es zahl­reiche Regeln und Best Practices zur Absicherung des Active Directory gibt, so sind diese ohne ein geeig­nete Tools nur schwer einzu­halten und zu über­wachen. Das kosten­lose PingCastle über­nimmt diese Aufgabe, in­dem es das AD auf zahl­reiche Risiko­faktoren prüft und detail­lierte Reports erstellt.

    Dem Entwickler Vincent le Toux zufolge entstand PingCastle aus einem Projekt für einen inter­nationalen Konzern, dessen Verzeichnis­dienst mehr als 300 Domänen umfasst. Das Tool kann daher nicht nur einzelne Domänen unter zahl­reichen Kriterien durch­leuchten, sondern skaliert auch für Umgebungen mit komplexen Forests und Vertrauens­beziehungen.

    Tool als Teil einer Security-Strategie

    Der Autor sieht den Zweck seiner Software nicht bloß darin, Admini­stratoren schnell einen Mängel­report zum Active Directory zu liefern. Vielmehr soll es Hilfsmittel in einem kontinuier­lichen Prozess sein, den Unter­nehmen unter Ein­beziehung des Managements implementieren sollen, um einen hohen Sicherheits­standard zu erreichen.

    Dazu stellt Vincent le Toux eine eigene Methodik vor, die auf CMMI beruht und auf das Active Directory angepasst wurde. Um Fort­schritte bei der Verbesserung der Sicher­heit zu dokumentieren, empfiehlt der Autor, das Tool einmal pro Woche in allen Domänen laufen zu lassen. Dabei sollen natürlich auch neue Risiken offenbar werden, wie etwa kürzlich hinzu­gefügte und uner­wünschte Trust Relationships.

    Umfangreiches Regelwerk

    Der Healthcheck von PingCastle prüft das Active Directory anhand von mehr als 70 Regeln. Sie sollen Verstöße gegen unter­schiedlichste Empfehlungen und Sicherheits­richtlinien aufspüren. Dazu zählt beispiels­weise die Existenz inaktiver Objekte (User, Computer, Betriebs­systeme) und veralteter Protokolle.

    Der ausführliche HTML-Report enthält detaillierte Angaben zum untersuchten Directory.

    Weitere Prüfkriterien sind unter anderem ACLs und Delegierungen, in GPOs enthaltene Passwörter, Passwort­regeln, Mitglieder in admini­strativen Gruppen oder AdminSDHolder. Entdeckt werden auch Accounts, deren Passwort nie abläuft oder wo dieses leer sein darf.

    Tool für die Kommandozeile

    PingCastle ist ein Tool für die Kommando­zeile, das zahlreiche Schalter und Optionen bietet. Für den Einstieg reicht aber der interaktive Modus aus, der automatisch gestartet wird, wenn man das Programm ohne Parameter aufruft. Dieser schlägt dann die aktuelle Domäne vor, bevor er die Prüf­routine startet.

    Der interaktive Modus erlaubt einen einfachen Einstieg in die Nutzung des Tools.

    Gibt man bei der Auswahl der Domäne die Wildcard '*', dann durchleuchtet das Tool alle erreichbaren Domänen und konsolidiert anschließend die Ergebnisse in einem Gesamtbericht.

    Erläuterungen zu den gefundenen Defiziten

    Als Ergebnis produziert PingCastle einen Report im XML- und HTML-Format. Letzteren sollte man nicht im IE öffnet, weil sich dort die Abschnitte unter den Kategorien nicht aufklappen lassen. Vielmehr benötigt man dafür einen modernen Browser wie Chrome oder Edge.

    Das Dashboard zeigt den Security-Status anhand mehrerer Indikatoren an.

    Der Bericht enthält nicht nur eine detaillierte Auflistung der gefundenen Schwachstellen, sondern eine ausführliche Beschreibung der jeweiligen Problematik. Das Tool klassifiziert zudem den Zustand des Active Directory anhand einer Punkte­wertung und stellt den ermittelten Risk Level mit Hilfe eines Dashboards im oberen Bereich des Reports dar.

    Grafische Full Domain Map

    Apropos Visualisierung: Ein anderes Feature von PingCastle besteht darin, das Netzwerk der Vertrauens­stellungen zwischen den Domänen als Full Domain Map grafisch aufzubereiten. Dazu ruft man es so auf:

    PingCastle.exe --carto

    Dabei produziert es dann eine Datei namens ad_carto_full_node_map.html.

    Visuelle Aufbereitung der Domänenstruktur als Map

    Die verschiedenen Trust-Typen wie etwa Intra-Forest-Beziehungen, unidirektionale Vertrauensstellungen oder Trusts mit bzw. ohne SID-Filtering stellt die Map in jeweils eigenen Farben dar.

    Installation und Verfügbarkeit

    Das Tool kann in Form eines ZIP-Archivs kostenlos von der Website des Autors heruntergeladen werden, eine Registrierung ist nicht notwendig. PingCastle erfordert keine Installation, sondern kann nach dem Entpacken des Archivs sofort ausgeführt werden.

    Keine Kommentare