Zur Sicherheitsstruktur in Unternehmen gehört auch, dass Administratoren die Active Directory-Konfiguration von Domänen-Controllern auf Sicherheitslücken überprüfen. Das ist u.U. sogar mit Freeware möglich.
Anzeige
Betreiber von Windows Server-Maschinen, die als Domänen-Controller fungieren, sollten deren Active Directory-Konfiguration gelegentlich auf Sicherheitslücken kontrollieren. Ich bin in diesem Bereich nicht so ganz zuhause, kann die Wirksamkeit also nicht einschätzen. Aber kürzlich bin ich per Twitter auf das Thema aufmerksam geworden.
Active Directory: Per #Freeware Sicherheitslücken aufspüren https://t.co/YYVFKPht9V#ActiveDirectory #PingCastle #HTML #XML #Domäne pic.twitter.com/jGGz3bBT3i
— SearchSecurity.de (@ssecurityde) 26. September 2018
Es geht um die Freeware PingCastle, die ohne Installation unter einem Active Directory-Konto ausführbar ist. Die Software liefert dann entsprechende Informationen über den Sicherheitszustand. Details lassen sich auf der PingCastle-Seite nachlesen – ein deutschsprachiger Artikel ist hier zu finden (Seite gelöscht). Interessant für euch und taugt das Tool was?
Anzeige
Habs mal ausprobiert… die gemeldeten Angriffsmöglichkeiten haben schon ihre Berechtigung. Zur Ausführung reichen dabei Benutzerrechte. Das Programm benennt einige Schwachstellen, die tatsächlich geschlossen gehören bzw. unnötig sind (und seien es die AdminSDHolder für "Power User"), auf der anderen Seite werden "Konten ohne Passwort" bemängelt, die vom IIS verwendet werden und nicht angefasst wurden. Das überprüfte AD geht dabei auf einen SBS2003 zurück, wo eben DC, IIS, Exchange, Sharepoint, Fileserver alles auf dem Domain Controller liefen und entsprechend Benutzerkonten im AD angelegt sind.
Da steckt wohl eine franz. Firma dahinter. Ein Monetarisierungsmodell (Pro-Lizenz oder sowas) habe ich leider nicht gefunden. Sieht für mich eher dubios aus.
Dann hast du aber nicht lange gesucht…
https://www.pingcastle.com/services/
Da findet sich die entsprechende Enterprise Version mit Support und allem Drum und Dran.
"Sieht für mich eher dubios aus."
Dubios? Mein Bitdefender lässt mich erst gar nicht auf die Seite und warnt mich davor. ;-)
Naja, andere warnen vor Bitdefender. Gleicht sich also aus. ;-)