Ping Castle

Wenn Sie für die Sicherheit eines Active Directory verantwortlich sind, dann sollten Sie "Ping Castle" kennen und nutzen. Es analysiert ihr lokale Active Directory auf häufige Fehler und Unstimmigkeiten und meldet diese mit einem Rating. Es ähnelt dem Azure Secure Score, mit dem Microsoft in der Cloud die Sicherheit von Systemen bewertet und anzeigt.

Ping Castle ist ein kommerzielles Produkt unter der "Non-Profit Open Software License (“Non-Profit OSL”) 3.0". Nur weil es der Autor auf GitHub öffentlich bereitstellt, sie den Code so kontrollieren können und es keine Lizenzkontrolle gibt, ist es nicht "kostenfrei". Fair Play bitte.

Beispielausgabe

Ich habe den Test einfach mal gegen ein Test-AD in meinem Labor gestartet und war natürlich erschrocken über den Status. Gut, dass es kein produktiver Forest ist sondern nur Labor. Nur der Bereich "Trusts" ist sicher, da es einfach keine gibt.

Weiter unten im HTML-Dokument werden dann alle Punkte aufgelistet, die in diesem Active Directory nicht den "Best Practices" entsprechen. So werden "Stale Objects bewertet. Hier treffen bei mir 6 von 24 zu:

Ich möchte nun aber nicht jeden Bereich einzeln durchgehen. Das können Sie auch selbst. Nur schnell als Übersicht

Stale Objects         24 Regeln
Privileged Accounts   30 Regeln
Trusts                 9 Regeln
Anomalies analysis    38 Regeln

Dann gibt es noch jede Menge weitere Checks wie. z.B. ob der AD-Papierkorb aktiviert ist, SMB1 abgeschaltet ist, der "Spooler" auf Domain Controllern beendet ist, KDC Kennwort regelmäßig geändert wird, Objekte die richtige Primäre Gruppe haben etc. Also schauen Sie sich das Werkzeug einfach mal an.

Download und Einsatz

Ping Castle muss gar nicht installiert werden. Sie laden es von der Webseite des Autors herunter. Es gibt keine Registrierungsplicht oder E-Mail-Verifizierung. Der Autor vertraut auf ihre Ehrlichkeit, dass Sie die Lizenzbedingungen beachten. Die sagen nämlich:

With the default license, the binary program can be run for free, as long as you do not derive any revenue from it
Quelle: https://www.pingcastle.com/download/

Übersetzt: Solange Sie mit dem Einsatz kein Geld verdienen, können Sie das Programm einfach nutzen. Darunter fällt aber nicht nur, wenn ich als Consultant bei ihnen mit dem Werkzeug einen Audit machen würde. Auch wenn Sie als Administrator in ihrem Firmennetzwerk eine Momentaufnahme durchführen und basierend darauf dann die Sicherheit verbessern, ist die ein kommerzieller Einsatz. Schließlich verdient ihre Firma ja Geld.

Die Preise finden Sie auch der Webseite: https://www.pingcastle.com/services/ und für einen Auditor sind 2000€ anzusetzen. Wenn ich meine Fehler in meiner DemoUmgebung ansehen und alle Schwächen beseitigen will, dann bin ich da einige Stunden dran. Bei Firmen dürfte es sich eher um Tage handeln, wenn Sie den Aufwand zur Analyse, Bewertung, Abstimmung mit den Fachverantwortlichen und letztlich die Umsetzung berücksichtigen. Mit Ping Castle haben Sie aber schon mal einen Startpunkt, an dem Sie anfangen können.

Der Code selbst unterliegt der "Non-Profit Open Software License (“Non-Profit OSL”) 3.0". Dies erlaubt ihnen auch den Code zu auditieren, d.h. sie können genau sehen, was das Programm macht.

Ping Castle Download
https://www.pingcastle.com/download/

Ping Castle auf GitHub
https://github.com/vletoux/pingcastle
Sie können den Source Code direkt auf GitHub einsehen und bei Bedarf auch klonen.

Einschätzung

Bedenken Sie aber, dass Ping Castle nur ein Werkzeug ist, um ihre aktuelle Umgebung zu erfassen und gegen hinterlegte Regeln zu prüfen. Selbst wenn Sie überall "0%" Fehler erreicht haben, ist das keine Garantie für ein sicheres Netzwerk. Dazu gehört noch einige mehr, z.B.

  • Admin -Konzept
  • Selektive Vergabe von Berechtigungen
  • Aktuelle Patches und Einstellungen auf allen Servern
    Allein die SMB1 Abschaltung ist nicht genug
  • Auditing von Zugriffen
  • ...

Allein das einmalige Ausführen eines "Tools" ist noch kein Sicherheitskonzept oder Betrieb. Aber als ersten Schritt können Sie mit "Ping Castle" zumindest angehen.

Weitere Links