Börzel IT
✋Hand hoch! Wer hat alles ein Active Directory im Unternehmen? Ich vermute gar nicht so wenige. Wer hat sich aktiv um die Sicherheit derer bemüht? 🧐
Dies kann, gerade mit älteren, gewachsenen ADs sehr umfangreich, zeitraubend und schwierig sein. Gerade um erst einmal herauszufinden, wo sich die Lücken überhaupt befinden um diese zu Schließen. Das Tool für diesen #WerkzeugKastenMittwoch kommt genau hier zum Einsatz.
Mit PingCastle kannst du deine ActiveDirectory mit einem normalen Benutzer, ohne Domain Admin Rechten scannen. PingCastle erstellt einen Bericht, der unter anderem folgendes beinhaltet:
“Stale Objects” Gibt es uralte Systeme (W2k8) in der AD? Wie viele Domain Controller sind nicht up to date? Gibt es Accounts mit Passwörtern, die nicht ablaufen?
“Priviledged Accounts” Wer darf sich alles auf einem Domain-Controller anmelden? Gibt es Admin Accounts, die anfällig für Kerberoast Attacken sind? Welche Admin-Accounts haben sehr alte Passwörter?
“Anomalies” Gibt es Passwörter in GPOs? Gast Accounts sind erlaubt? Infos zu User, Gruppen, Computer …
Einen Beispielbericht findest du hier:https://www.pingcastle.com/PingCastleFiles/ad_hc_test.mysmartlogon.com.html
Zu den meisten Punkten gibt es auch eine Beschreibung, was damit genau gemeint ist und wie man das Problem am besten beheben kann.
Für einen schnellen Blick auf den Status der AD und vermutlich ein paar QuickWins zum direkt umsetzen ist das Tool super.
Homepage: https://www.pingcastle.com/ GitHub: https://github.com/vletoux/pingcastle
Für detailliertere Blicke in die Active Directory, wie diese angegriffen werden könnte und wo man seine Verteidigung ausbessern sollte gibt es auch andere Tools 🐶. Zu diesen kommen wir aber ein andermal. 😉
