Ping Castle

Wenn Sie für die Sicherheit eines Active Directory verantwortlich sind, dann sollten Sie "Ping Castle" kennen und nutzen. Es analysiert ihr lokale Active Directory auf häufige Fehler und Unstimmigkeiten und meldet diese mit einem Rating. Es ähnelt dem Azure Secure Score, mit dem Microsoft in der Cloud die Sicherheit von Systemen bewertet und anzeigt.

Ping Castle ist ein kommerzielles Produkt unter der "Non-Profit Open Software License (“Non-Profit OSL”) 3.0". Die Software selbst ist auf GitHub öffentlich und darf für die Analyse der eigenen Firmen-Umgebung kostenfrei genutzt werden. Consultants und Dienstleister, die bei Kunden Analysen damit durchführen oder die erweiterten Funktionen nutzen, benötigen eine Lizenz.

Wir unterstützen Sie in allen Belangen der Security in ihrem OnPremises und Cloud-Umgebungen
https://www.netatwork.de/security-assessment/

Ein ähnliches Programm sind z.B. Purple Knight, Adalanche oder Prowler

Betrachten Sie solche Tools wie den TÜV für ihre Auto.
- Nur weil ein Auto den TÜV bestanden hat, ist es nicht automatisch verkehrssicher
- Aber der TÜV kann Fehler an den geprüften Stellen finden und größeren Schaden verhindern.
- Wenn der TÜV aber was gefunden hat und sie es nicht fixen und dann passiert etwas, dann drücke ich ihnen alle Daumen

Beispielausgabe

Ich habe den Test einfach mal gegen ein Test-AD in meinem Labor gestartet und war natürlich erschrocken über den Status. Gut, dass es kein produktiver Forest ist sondern nur Labor. Nur der Bereich "Trusts" ist sicher, da es einfach keine gibt.

Weiter unten im HTML-Dokument werden dann alle Punkte aufgelistet, die in diesem Active Directory nicht den "Best Practices" entsprechen. So werden "Stale Objects bewertet. Hier treffen bei mir 6 von 24 zu:

Ich möchte nun aber nicht jeden Bereich einzeln durchgehen. Das können Sie auch selbst. Nur schnell als Übersicht:

Stale Objects         24 Regeln
Privileged Accounts   30 Regeln
Trusts                 9 Regeln
Anomalies analysis    38 Regeln

Dann gibt es noch jede Menge weitere Checks wie. z.B. ob der AD-Papierkorb aktiviert ist, SMB1 abgeschaltet ist, der "Spooler" auf Domain Controllern beendet ist, KDC Kennwort regelmäßig geändert wird, Objekte die richtige Primäre Gruppe haben etc. Also schauen Sie sich das Werkzeug einfach mal an.

Berechtigungsanalyse

Ping Castle analysiert auch die "Admin groups" und da diese besonders sensibel sind, zeigt Ping Castle dazu nicht nur die Anzahl der Mitglieder (Benutzer und Computer) an, sondern insbesondere auch "Number of object having indirect control". Das sind natürlich besonders sensible Gruppen es gibt durchaus komplexe Verkettungen von Berechtigungen und niemand möchte durch die Hintertür eine Lücke bei den Berechtigungen haben.

Interessant ist hier insbesondere der Link "Analysis" unter den Details, denn über das Fenster visualisiert Ping Castle die Abhänigkeiten.

Ich habe exemplarisch mal einen anderen Ausschnitt vergrößert. Wenn ich mit der Maus z.B. das blaue "U"-Objekt anwählte, zeigt der Browser das Objekt an. Das grüne Objekt ist eine Gruppe und der Link ist das vergebene Recht.

Hier sieht es so aus, als wenn "Exchange Trusted Subsystem" "FullAccess" auf den Administrator hat. Das stimmt auch in gewisser Weise aber aktuell bewertet Ping Castle wohl nur die Rechte aber nicht den Scope. Denn das Vollzugriff gilt nicht auf das Objekte, sondern nur auf "Public Folder Objekte" oder ActiveSync Geräte.

Das schmälert aber nur gering die Leistung, denn die Verknüpfungen können so schnell visualisiert werden und sich Suche nach der Quelle von Berechtigungen bei "Effective Permissions" etwas einfacher macht.

Allerdings würde ich heute immer noch nach alternativen Tools suchen, mit denen ich auch ermitteln kann, über welche Quelle ein Objekte Berechtigungen bekommt.

Download und Einsatz

Ping Castle muss gar nicht installiert werden. Sie laden es von der Webseite des Autors herunter. Es gibt keine Registrierungsplicht oder E-Mail-Verifizierung. Der Autor vertraut auf ihre Ehrlichkeit, dass Sie die Lizenzbedingungen beachten. Die sagen nämlich:

With the default license, the binary program can be run for free, as long as you do not derive any revenue from it
Quelle: https://www.pingcastle.com/download/

Übersetzt: Solange Sie mit dem Einsatz kein Geld verdienen, können Sie das Programm einfach nutzen. Darunter fällt aber nicht nur, wenn ich als Consultant bei ihnen mit dem Werkzeug einen Audit machen würde. Auch wenn Sie als Administrator in ihrem Firmennetzwerk eine Momentaufnahme durchführen und basierend darauf dann die Sicherheit verbessern, ist die ein kommerzieller Einsatz. Schließlich verdient ihre Firma ja Geld.

Die Preise finden Sie auch der Webseite: https://www.pingcastle.com/services/ und für einen Auditor sind 2000€ anzusetzen. Wenn ich meine Fehler in meiner DemoUmgebung ansehen und alle Schwächen beseitigen will, dann bin ich da einige Stunden dran. Bei Firmen dürfte es sich eher um Tage handeln, wenn Sie den Aufwand zur Analyse, Bewertung, Abstimmung mit den Fachverantwortlichen und letztlich die Umsetzung berücksichtigen. Mit Ping Castle haben Sie aber schon mal einen Startpunkt, an dem Sie anfangen können.

Der Code selbst unterliegt der "Non-Profit Open Software License (“Non-Profit OSL”) 3.0". Dies erlaubt ihnen auch den Code zu auditieren, d.h. sie können genau sehen, was das Programm macht.

Ping Castle Download
https://www.pingcastle.com/download/

Ping Castle auf GitHub
https://GitHub.com/vletoux/pingcastle
Sie können den Source Code direkt auf GitHub einsehen und bei Bedarf auch klonen.

Einschätzung

Bedenken Sie aber, dass Ping Castle nur ein Werkzeug ist, um ihre aktuelle Umgebung zu erfassen und gegen hinterlegte Regeln zu prüfen. Selbst wenn Sie überall "0%" Fehler erreicht haben, ist das keine Garantie für ein sicheres Netzwerk. Dazu gehört noch einige mehr, z.B.

  • Admin -Konzept
  • Selektive Vergabe von Berechtigungen
  • Aktuelle Patches und Einstellungen auf allen Servern
    Allein die SMB1 Abschaltung ist nicht genug
  • Auditing von Zugriffen
  • ...

Allein das einmalige Ausführen eines "Tools" ist noch kein Sicherheitskonzept oder Betrieb. Aber als ersten Schritt können Sie mit "Ping Castle" zumindest angehen.

Weitere Links