Ping Castle
Wenn Sie für die Sicherheit eines Active Directory verantwortlich sind, dann sollten Sie "Ping Castle" kennen und nutzen. Es analysiert ihr lokale Active Directory auf häufige Fehler und Unstimmigkeiten und meldet diese mit einem Rating. Es ähnelt dem Azure Secure Score, mit dem Microsoft in der Cloud die Sicherheit von Systemen bewertet und anzeigt.
Ping Castle ist ein kommerzielles Produkt unter der "Non-Profit Open Software License (“Non-Profit OSL”) 3.0". Die Software selbst ist auf GitHub öffentlich und darf für die Analyse der eigenen Firmen-Umgebung kostenfrei genutzt werden. Consultants und Dienstleister, die bei Kunden Analysen damit durchführen oder die erweiterten Funktionen nutzen, benötigen eine Lizenz.
Wir unterstützen Sie in allen Belangen der
Security in ihrem OnPremises und Cloud-Umgebungen
https://www.netatwork.de/security-assessment/
Hinweis: PingCastle ist seit 1. Auf 2024 ein Teil von NetWrix
https://www.pingcastle.com/company/#press_release
Ein ähnliches Programm sind z.B. Purple Knight, Adalanche oder Prowler
Betrachten Sie solche Tools wie den TÜV für
ihre Auto.
- Nur weil ein Auto den TÜV bestanden hat, ist es nicht
automatisch verkehrssicher
- Aber der TÜV kann Fehler an den geprüften Stellen finden
und größeren Schaden verhindern.
- Wenn der TÜV aber was gefunden hat und sie es nicht fixen
und dann passiert etwas, dann drücke ich ihnen alle Daumen
Achtung
Der Einsatz solcher Programme kann bzw. sollte von einem SIEM/XDR-System erkannt und alarmiert werden. Stimmen Sie den Einsatz entsprechend ab. Wenn Sie die Ergebnisse betrachten,
dann können sie nicht mehr behaupten, Sie hätten nichts davon gewusst. Das kann
sich bei einem späteren Vorfall strafverschärfend auswirken.
Beispielausgabe
Ich habe den Test einfach mal gegen ein Test-AD in meinem Labor gestartet und war natürlich erschrocken über den Status. Gut, dass es kein produktiver Forest ist sondern nur Labor. Nur der Bereich "Trusts" ist sicher, da es einfach keine gibt.
Weiter unten im HTML-Dokument werden dann alle Punkte aufgelistet, die in diesem Active Directory nicht den "Best Practices" entsprechen. So werden "Stale Objects bewertet. Hier treffen bei mir 6 von 24 zu:
Ich möchte nun aber nicht jeden Bereich einzeln durchgehen. Das können Sie auch selbst. Nur schnell als Übersicht:
Stale Objects 24 Regeln Privileged Accounts 30 Regeln Trusts 9 Regeln Anomalies analysis 38 Regeln
Dann gibt es noch jede Menge weitere Checks wie. z.B. ob der AD-Papierkorb aktiviert ist, SMB1 abgeschaltet ist, der "Spooler" auf Domain Controllern beendet ist, KDC Kennwort regelmäßig geändert wird, Objekte die richtige Primäre Gruppe haben etc. Also schauen Sie sich das Werkzeug einfach mal an.
Berechtigungsanalyse
Ping Castle analysiert auch die "Admin groups" und da diese besonders sensibel sind, zeigt Ping Castle dazu nicht nur die Anzahl der Mitglieder (Benutzer und Computer) an, sondern insbesondere auch "Number of object having indirect control". Das sind natürlich besonders sensible Gruppen es gibt durchaus komplexe Verkettungen von Berechtigungen und niemand möchte durch die Hintertür eine Lücke bei den Berechtigungen haben.
Interessant ist hier insbesondere der Link "Analysis" unter den Details, denn über das Fenster visualisiert Ping Castle die Abhänigkeiten.
Ich habe exemplarisch mal einen anderen Ausschnitt vergrößert. Wenn ich mit der Maus z.B. das blaue "U"-Objekt anwählte, zeigt der Browser das Objekt an. Das grüne Objekt ist eine Gruppe und der Link ist das vergebene Recht.
Hier sieht es so aus, als wenn "Exchange Trusted Subsystem" "FullAccess" auf den Administrator hat. Das stimmt auch in gewisser Weise aber aktuell bewertet Ping Castle wohl nur die Rechte aber nicht den Scope. Denn das Vollzugriff gilt nicht auf das Objekte, sondern nur auf "Public Folder Objekte" oder ActiveSync Geräte.
Das schmälert aber nur gering die Leistung, denn die Verknüpfungen können so schnell visualisiert werden und sich Suche nach der Quelle von Berechtigungen bei "Effective Permissions" etwas einfacher macht.
Allerdings würde ich heute immer noch nach alternativen Tools suchen, mit denen ich auch ermitteln kann, über welche Quelle ein Objekte Berechtigungen bekommt.
- ADACLSCAN
https://github.com/canix1/ADACLScanner/blob/master/ADACLScan.ps1 - Goldfinger Free
https://www.paramountdefenses.com/products/free-active-directory-audit-tool.html
Download und Einsatz
Ping Castle muss gar nicht installiert werden. Sie laden es von der Webseite des Autors herunter. Es gibt keine Registrierungsplicht oder E-Mail-Verifizierung. Der Autor vertraut auf ihre Ehrlichkeit, dass Sie die Lizenzbedingungen beachten. Die sagen nämlich:
With the default license, the binary program
can be run for free, as long as you do not derive any
revenue from it
Quelle:
https://www.pingcastle.com/download/
Übersetzt: Solange Sie mit dem Einsatz kein Geld verdienen, können Sie das Programm einfach nutzen. Darunter fällt aber nicht nur, wenn ich als Consultant bei ihnen mit dem Werkzeug einen Audit machen würde. Auch wenn Sie als Administrator in ihrem Firmennetzwerk eine Momentaufnahme durchführen und basierend darauf dann die Sicherheit verbessern, ist die ein kommerzieller Einsatz. Schließlich verdient ihre Firma ja Geld.
Die Preise finden Sie auch der Webseite: https://www.pingcastle.com/services/ und für einen Auditor sind 2000€ anzusetzen. Wenn ich meine Fehler in meiner DemoUmgebung ansehen und alle Schwächen beseitigen will, dann bin ich da einige Stunden dran. Bei Firmen dürfte es sich eher um Tage handeln, wenn Sie den Aufwand zur Analyse, Bewertung, Abstimmung mit den Fachverantwortlichen und letztlich die Umsetzung berücksichtigen. Mit Ping Castle haben Sie aber schon mal einen Startpunkt, an dem Sie anfangen können.
Der Code selbst unterliegt der "Non-Profit Open Software License (“Non-Profit OSL”) 3.0". Dies erlaubt ihnen auch den Code zu auditieren, d.h. sie können genau sehen, was das Programm macht.
Ping Castle Download
https://www.pingcastle.com/download/
Ping Castle auf GitHub
https://GitHub.com/vletoux/pingcastle
Sie können den Source Code direkt auf GitHub einsehen und
bei Bedarf auch klonen.
Einschätzung
Bedenken Sie aber, dass Ping Castle nur ein Werkzeug ist, um ihre aktuelle Umgebung zu erfassen und gegen hinterlegte Regeln zu prüfen. Selbst wenn Sie überall "0%" Fehler erreicht haben, ist das keine Garantie für ein sicheres Netzwerk. Dazu gehört noch einige mehr, z.B.
- Admin -Konzept
- Selektive Vergabe von Berechtigungen
- Aktuelle Patches und Einstellungen auf
allen Servern
Allein die SMB1 Abschaltung ist nicht genug - Auditing von Zugriffen
- ...
Allein das einmalige Ausführen eines "Tools" ist noch kein Sicherheitskonzept oder Betrieb. Aber als ersten Schritt können Sie mit "Ping Castle" zumindest angehen.
Weitere Links
- Sicherheit
-
Checkliste Active Directory Absicherung
Keine Liste ist komplett aber fangen Sie heute an und hören sie nie auf - Cloud Security
- Checkliste Security
- Microsoft 365 E5 Security
- Tier 0/1/2 Security ist nicht alles
- Purple Knight
-
Security baselines
https://learn.microsoft.com/en-us/windows/security/operating-system-security/device-management/windows-security-configuration-framework/windows-security-baselines -
QS Solutions CSAT
https://qssolutions.de/produkte/cyber-security-assessment-tool/ -
Bloodhound
BloodHound Community Edition https://github.com/SpecterOps/BloodHound
Mit dem Bloodhound auf Active-Directory-Jagd https://www.heise.de/news/Mit-dem-Bloodhound-auf-Active-Directory-Jagd-4973049.html
BloodHound Azure Attack Path Example https://www.youtube.com/watch?v=tOwvyXGpVvo -
Adalanche Open Source - In Go geschriebener
AD Schwachstellen Scanner
https://github.com/lkarlslund/Adalanche -
Prowler
"Prowler is an Open Source security tool to perform AWS, GCP and Azure security best practices assessments, audits, incident response, continuous monitoring, hardening and forensics readiness."
https://github.com/prowler-cloud/prowler -
AADInternals.com The ultimate Azure AD /
Microsoft 365 hacking and admin toolkit
https://aadinternals.com/aadinternals/ -
ADSecurity.org
https://adsecurity.org/ -
AD Permission Reporter
http://www.cjwdev.co.uk/Software/ADPermissionsReporter/Info.html -
GoldFinger
https://www.paramountdefenses.com/products/free-active-directory-audit-tool.html
https://www.active-directory-security.com/2017/01/active-directory-effective-permissions-calculator-and-audit-tool.html -
CIS
https://docs.microsoft.com/de-de/compliance/regulatory/offering-cis-benchmark -
Greenbone - Einer von vielen Scannern.
Früher gab es mal eine "Community Edition"
https://www.greenbone.net/ - Most common Active Directory
misconfigurations and default settings that
put your organization at risk
https://blog.nviso.eu/2023/10/26/most-common-active-directory-misconfigurations-and-default-settings-that-put-your-organization-at-risk/ -
IT-Grundschutz-Profil: Basis-Absicherung
Kommunalverwaltung
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Profile/Basis_Absicherung_Kommunalverwaltung.html -
SQL Server vulnerabilities and assessment
https://www.red-gate.com/simple-talk/databases/sql-server/security/sql-server-vulnerabilities-and-assessment/