Schwachstellen im Active Directory entdecken mit dem kostenlosen PingCastle

Der Autor sieht den Zweck seiner Software nicht bloß darin, Admini­stratoren schnell einen Mängel­report zum Active Directory zu liefern. Vielmehr soll es Hilfsmittel in einem kontinuier­lichen Prozess sein, den Unter­nehmen unter Ein­beziehung des Managements implementieren sollen, um einen hohen Sicherheits­standard zu erreichen.

Dazu stellt Vincent le Toux eine eigene Methodik vor, die auf CMMI beruht und auf das Active Directory angepasst wurde. Um Fort­schritte bei der Verbesserung der Sicher­heit zu dokumentieren, empfiehlt der Autor, das Tool einmal pro Woche in allen Domänen laufen zu lassen. Dabei sollen natürlich auch neue Risiken offenbar werden, wie etwa kürzlich hinzu­gefügte und uner­wünschte Trust Relationships.

Umfangreiches Regelwerk

Der Healthcheck von PingCastle prüft das Active Directory anhand von mehr als 70 Regeln. Sie sollen Verstöße gegen unter­schiedlichste Empfehlungen und Sicherheits­richtlinien aufspüren. Dazu zählt beispiels­weise die Existenz inaktiver Objekte (User, Computer, Betriebs­systeme) und veralteter Protokolle.

Weitere Prüfkriterien sind unter anderem ACLs und Delegierungen, in GPOs enthaltene Passwörter, Passwort­regeln, Mitglieder in admini­strativen Gruppen oder AdminSDHolder. Entdeckt werden auch Accounts, deren Passwort nie abläuft oder wo dieses leer sein darf.

Tool für die Kommandozeile

PingCastle ist ein Tool für die Kommando­zeile, das zahlreiche Schalter und Optionen bietet. Für den Einstieg reicht aber der interaktive Modus aus, der automatisch gestartet wird, wenn man das Programm ohne Parameter aufruft. Dieser schlägt dann die aktuelle Domäne vor, bevor er die Prüf­routine startet.

Gibt man bei der Auswahl der Domäne die Wildcard '*', dann durchleuchtet das Tool alle erreichbaren Domänen und konsolidiert anschließend die Ergebnisse in einem Gesamtbericht.

Erläuterungen zu den gefundenen Defiziten

Als Ergebnis produziert PingCastle einen Report im XML- und HTML-Format. Letzteren sollte man nicht im IE öffnet, weil sich dort die Abschnitte unter den Kategorien nicht aufklappen lassen. Vielmehr benötigt man dafür einen modernen Browser wie Chrome oder Edge.

Der Bericht enthält nicht nur eine detaillierte Auflistung der gefundenen Schwachstellen, sondern eine ausführliche Beschreibung der jeweiligen Problematik. Das Tool klassifiziert zudem den Zustand des Active Directory anhand einer Punkte­wertung und stellt den ermittelten Risk Level mit Hilfe eines Dashboards im oberen Bereich des Reports dar.

Grafische Full Domain Map

Apropos Visualisierung: Ein anderes Feature von PingCastle besteht darin, das Netzwerk der Vertrauens­stellungen zwischen den Domänen als Full Domain Map grafisch aufzubereiten. Dazu ruft man es so auf:

PingCastle.exe --carto

Dabei produziert es dann eine Datei namens ad_carto_full_node_map.html.

Die verschiedenen Trust-Typen wie etwa Intra-Forest-Beziehungen, unidirektionale Vertrauensstellungen oder Trusts mit bzw. ohne SID-Filtering stellt die Map in jeweils eigenen Farben dar.

Installation und Verfügbarkeit

Das Tool kann in Form eines ZIP-Archivs kostenlos von der Website des Autors heruntergeladen werden, eine Registrierung ist nicht notwendig. PingCastle erfordert keine Installation, sondern kann nach dem Entpacken des Archivs sofort ausgeführt werden.