Kleiner Hinweis für Leute, die sich mit dem Thema Sicherheit unter Active Directory und AzureAD (heute EntraID) befassen. Vincent Le Toux hat Anfang August 2023 sein PingCastle in der Version 3.1 veröffentlicht. Mit PingCastle lässt sich binnen Sekunden eine Sicherheitsüberprüfung in Active Directory & AzureAD durchführen. Das Projekt liegt im c#-Quellcode vor und kann unter bestimmten Lizenzen teilweise kostenfrei eingesetzt werden.
Anzeige
Ich bin die Tage über nachfolgenden Tweet auf die betreffende Veröffentlichung von Vincent Le Toux gestoßen. Das Programm generiert einen Report zur Sicherheit; auf dieser Seite ist ein Beispiel, welches mit der Basisversion generiert wurde, abrufbar. Während die Basis-Version wohl für nicht kommerzielle Einsätze kostenfrei ist, braucht man für kommerzielle Anwendungsfälle eine entsprechende Auditor-Lizenz, heißt es auf der Seite (die nachfolgenden Hinweise zu den Lizenzbedingungen zeigen aber, dass es auch Möglichkeiten gibt, das Tool kostenfrei in Unternehmen zu verwenden).
Vincent Le Toux schreibt dazu, dass sich das Risikoniveau in Bezug auf die Sicherheit von Active Directory geändert habe.Der Hintergrund: Es gab/gibt mehrere Schwachstellen, die sich mit Tools wie mimikatz missbrauchen lassen, um Informationen aus dem AD auszulesen. Websites wie adsecurity.org haben diese Ansätze bekannt gemacht.
Vincent Le Toux hat daher Ping Castle als ein Tool zur schnellen Bewertung des Sicherheitsniveaus von Active Directory entwickelt, welches mit einer Methodik, die auf einer Risikobewertung und einem Reifegradrahmen basiert eine schnelle Einschätzung ermöglicht. Das Tool zielt laut seiner Aussage nicht auf eine perfekte Bewertung ab, sondern eher auf einen Kompromiss zwischen Sicherheit und Effizienz.
Anzeige
Quellcode verfügbar
Nun wird nicht jeder Administrator solch ein Tool auf das Active Directory loslassen, man weiß ja nicht, was es tut. Aber Vincent Le Toux hat den Quellcode der in C# geschriebenen Anwendung auf GitHub veröffentlicht. Man kann den Quellcode also prinzipiell kontrollieren. PingCastle lässt sich als c#-Projekt Visual Studio 2012 bis Visual Studio 2022 in eine lauffähige Programmdatei überführen.
Der PingCastle-Quellcode ist unter einer proprietären Lizenz und der Non-Profit Open Software License ("Non-Profit OSL") 3.0 lizenziert. Es ist erlaubt, PingCastle ohne den Erwerb einer Lizenz in gewinnorientierten Unternehmen zu verwenden, wenn das Unternehmen selbst (oder sein IT-Service-Management Anbieter) das Tool verwendet.
Anzeige
Danke für den Hinweis. Wir nutzen Purple Night. Hier gab es auch eine neuere Version.
Yep.
"Purple Knight provides more user-friendly, actionable reports and is easier to run than PingCastle'
Danke für die Hinweise zu Pingcastle und PurpleKnight.
Soweit ich dies überblicke ist PingCastle als Quellcode verfügbar, aber verlangt Lizenzgebühren.
PurpleKnight ist angeblich kostenlos, für so ein Tool von einem Hersteller wie Semperis bin ich vorsichtig geworden, da die meisten Tools dann zwar einen tollen Kurz-Einblick liefern, dann aber für weitere Steps doch umfangreiche Lizenzgebühren benötigen.
Darf ich fragen, welche Erfahrungen dazu bestehen? Auch bezgl. Evaluierung zum Datenschutz nach DSGVO.
Falls dies vom Betreiber nicht gewünscht ist entschuldige ich mich vorab bereits.
Danke.
@Anonymous – PurpleNight ist tatsächlich kostenlos – für immer. Das ist die Community Edition. Es gibt auch eine kostenpflichtige Edition die wir aber nicht benötigen. Hier zur kostenlosen Version 3.x
https://www.purple-knight.com/de/
Bisher sehr gute Erfahrungen und auch hi und da ein "aha" Effekt. Es werden Dinge "transparent" die ohne so ein Tool nur sehr schwer auffindbar wären. Von mir 9/10 Punkte
Das Video ist sehr zu empfehlen.
https://fast.wistia.com/embed/channel/koh78rxy2p?mkt_tok=MjM5LUNQTi04NTEAAAGNjQLb-FCUcGjNxvOrEEVxEgRfVvqQkgDJSITPzzgY9BOnN5CMsLNN_Q-ah2KvD_4LT6pXGnUHiQWXM-xG-afO-OOgHtWMDE2Y5TKd&wchannelid=koh78rxy2p&wmediaid=1cin076utt
DSGVO – dürfte kein Problem sein, da alles lokal ausgeführt wird. Nichts wird an den Hersteller übertragen.
Der Frage schließ ich mich an
Zur Lizenz siehe:
https://www.pingcastle.com/download/
"With the default license, the binary program can be run for free,
as long as you do not derive any revenue from it. For example,
any for-profit organizations can use it to audit their own systems."
Nach meinem Verständnis ist PingCastle in der Basisversion für kommerzielle Unternehmen und Behörden kostenfrei, solange die eigene Umgebung analysiert wird. IT-Dienstleister, die "fremde" Systeme analysieren müssen dagegen eine Lizenz erwerben.
Wir nutzen das Tool in der Basisversion regelmäßig (ca. 1x pro Monat) und analysieren dann die Reports und beheben die Warnungen bzw. Fehler. Bisher keine negativen Erfahrungen.
Zum Thema DSGVO (ich vermute mal, dass Du die Analyse von AzureAD bzw. EntraID in Betracht ziehst) kann ich wenig sagen, da wir ausschließlich unser eigenes AD analysieren.
Wir haben hier die Auditor-Version von PingCastle im Einsatz, da wir regelmäßig Kundenumgebungen analyisieren und dann auch wenig Geld damit verdienen, die Findings anzugehen.
In einer internen IT kann PingCaslte kostenfrei verwendet werden.
Is PingCastle GDPR Compliant?
"PingCastle respect the principles defined by the EU and try to minimize the amount of data collected. Being decentralized allows you to be the data controller and processor to meet a stricter policy"
https://www.pingcastle.com/documentation/
Bei PurpleKnight nutzen wir nur die Gratisversion als Ergänzung. Wir hatten Kontakt zu Semperis- die Leute von Semperis sind gut drauf und haben noch weitere Tools (kommerzielle) im Angebot (siehe auch iX Sonderheft zu AD bzw Homepage von Semperis), dabei geht es um Protokollierung und Analyse aller Änderungen im AD, ein vom "normalen Backup" losgelöstes AD-Backup und fortlaufende Konfigurationsanalyse (vgl. Purple Knight). Für Umgebungen ab ca. 1000 Lizenzen und wenn man auf On-Premises steht.
Wir selbst nutzen zur Analyse/Protokollierung als SIEM MS Sentinel und als "Sensor" für das AD den Defender for Identity (dieser läuft mit Alarmen Amok, wenn wir PingCastle und Co. anwerfen- so soll es sein :-) Beides Cloud-Lösungen von Microsoft.
Ja, auch Defender ATP reagiert umgehen wenn ich Purple Night ausführe. Prima so muss es auch sein.
Danke für die Tips zu Ping Castle und PurpleKnight, kannte ich noch nicht. Das scheint noch etwas weiter zu gehen als die Community Edition vom Netwrix-Auditor, wobei der sogar ein kontinuierliches Monitoring in kleinen Umgebungen bietet. Ich verwende hier immer Bloodhound/Sharphound und ein paar weitere damit zusammenhängende Tools, auch sehr informativ. Und ich nutze Google GRR. Aber das ist immer eine Tortur wenn ich die Hunde los lasse, weil dann alles mögliche Alarm schlägt, wenn die Schnüffelei beginnt, für den Antivirus musste ich spezielle Ausnahmen für den Schnüffel-PC einstellen, damit es überhaupt geht. Bei einem anderen von uns eingesetzten KI basierenden AD-/User/GPO/… und Fileservermonitoring-System (wer benutzt wann was, least privilege, Ransomware-Erkennung, Datenklassifizierung, usw.) musste ich extra die Powershellscripte vom Autoresponse-System modifizieren, damit weder mein Schnüffel-User noch der spezielle Schnüffel-PC jedes Mal im AD abgemeldet, deaktiviert und runtergefahren oder per Antivirus im Netzwerk isoliert wird… Sind die beiden anderen Tools auch so alarmierend "böse"?
Es geht – Defender für ATP schlägt an aber sonst…ähm bei Purple Night…
Guten Morgen,
vielen Dank für die Antworten, Insights und Kommentare! :)