Tags: Active Directory, Sicherheit, Reporting, Compliance
Auch wenn es zahlreiche Regeln und Best Practices zur Absicherung des Active Directory gibt, so sind diese ohne ein geeignete Tools nur schwer einzuhalten und zu überwachen. Das kostenlose PingCastle übernimmt diese Aufgabe, indem es das AD auf zahlreiche Risikofaktoren prüft und detaillierte Reports erstellt.
Dem Entwickler Vincent le Toux zufolge entstand PingCastle aus einem Projekt für einen internationalen Konzern, dessen Verzeichnisdienst mehr als 300 Domänen umfasst. Das Tool kann daher nicht nur einzelne Domänen unter zahlreichen Kriterien durchleuchten, sondern skaliert auch für Umgebungen mit komplexen Forests und Vertrauensbeziehungen.
Tool als Teil einer Security-Strategie
Der Autor sieht den Zweck seiner Software nicht bloß darin, Administratoren schnell einen Mängelreport zum Active Directory zu liefern. Vielmehr soll es Hilfsmittel in einem kontinuierlichen Prozess sein, den Unternehmen unter Einbeziehung des Managements implementieren sollen, um einen hohen Sicherheitsstandard zu erreichen.
Dazu stellt Vincent le Toux eine eigene Methodik vor, die auf CMMI beruht und auf das Active Directory angepasst wurde. Um Fortschritte bei der Verbesserung der Sicherheit zu dokumentieren, empfiehlt der Autor, das Tool einmal pro Woche in allen Domänen laufen zu lassen. Dabei sollen natürlich auch neue Risiken offenbar werden, wie etwa kürzlich hinzugefügte und unerwünschte Trust Relationships.
Umfangreiches Regelwerk
Der Healthcheck von PingCastle prüft das Active Directory anhand von mehr als 70 Regeln. Sie sollen Verstöße gegen unterschiedlichste Empfehlungen und Sicherheitsrichtlinien aufspüren. Dazu zählt beispielsweise die Existenz inaktiver Objekte (User, Computer, Betriebssysteme) und veralteter Protokolle.
Weitere Prüfkriterien sind unter anderem ACLs und Delegierungen, in GPOs enthaltene Passwörter, Passwortregeln, Mitglieder in administrativen Gruppen oder AdminSDHolder. Entdeckt werden auch Accounts, deren Passwort nie abläuft oder wo dieses leer sein darf.
Tool für die Kommandozeile
PingCastle ist ein Tool für die Kommandozeile, das zahlreiche Schalter und Optionen bietet. Für den Einstieg reicht aber der interaktive Modus aus, der automatisch gestartet wird, wenn man das Programm ohne Parameter aufruft. Dieser schlägt dann die aktuelle Domäne vor, bevor er die Prüfroutine startet.
Gibt man bei der Auswahl der Domäne die Wildcard '*', dann durchleuchtet das Tool alle erreichbaren Domänen und konsolidiert anschließend die Ergebnisse in einem Gesamtbericht.
Erläuterungen zu den gefundenen Defiziten
Als Ergebnis produziert PingCastle einen Report im XML- und HTML-Format. Letzteren sollte man nicht im IE öffnet, weil sich dort die Abschnitte unter den Kategorien nicht aufklappen lassen. Vielmehr benötigt man dafür einen modernen Browser wie Chrome oder Edge.
Der Bericht enthält nicht nur eine detaillierte Auflistung der gefundenen Schwachstellen, sondern eine ausführliche Beschreibung der jeweiligen Problematik. Das Tool klassifiziert zudem den Zustand des Active Directory anhand einer Punktewertung und stellt den ermittelten Risk Level mit Hilfe eines Dashboards im oberen Bereich des Reports dar.
Grafische Full Domain Map
Apropos Visualisierung: Ein anderes Feature von PingCastle besteht darin, das Netzwerk der Vertrauensstellungen zwischen den Domänen als Full Domain Map grafisch aufzubereiten. Dazu ruft man es so auf:
PingCastle.exe --carto
Dabei produziert es dann eine Datei namens ad_carto_full_node_map.html.
Die verschiedenen Trust-Typen wie etwa Intra-Forest-Beziehungen, unidirektionale Vertrauensstellungen oder Trusts mit bzw. ohne SID-Filtering stellt die Map in jeweils eigenen Farben dar.
Installation und Verfügbarkeit
Das Tool kann in Form eines ZIP-Archivs kostenlos von der Website des Autors heruntergeladen werden, eine Registrierung ist nicht notwendig. PingCastle erfordert keine Installation, sondern kann nach dem Entpacken des Archivs sofort ausgeführt werden.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- LogPoint stellt kostenlose SIEM-Lösung vor
- Monitoring: Kostenloses Tool prüft AD-Berechtigungen
- Auditing und Delegierung im Active Directory: Bordmittel versus externe Tools
- Security- und Health-Checks für Active Directory mit PowerShell-Scripts
- ModernAD: Kostenloses Reporting-Tool für Active Directory
Weitere Links