Инструмент PingCastle позволяет провести проверку безопасности AD. После прохождения более 100000 тестов безопасности формируется удобный отчет. Французы молодцы. Пользоваться не просто, а очень просто.
Установка не требуется, изменение данных не производится, данные не отправляются в облако, вы получаете HTML отчёт. Возможны ложные срабатывания, потому как PingCastle учитывает потенциальные риски в том числе. Есть поддержка командной строки.
PingCastle можно скачать бесплатно. Код доступен по лицензии Non-Profit Open Software License ("Non-Profit OSL") 3.0. Бесплатная версия позволяет выполнить:
- Audit Program
- Health Check Report
- Map
Установка PingCastle
Установки, как таковой не требуется.
https://www.pingcastle.com/download
Скачиваем последний релиз. Доступна версия 3.1.0.0. Распаковываем архив.
Запуск PingCastle
Запускаем PingCastle.exe. Делать это можно на любом компьютере домена, запуск с контроллера домена не требуется.
Видим консольное меню, стрелками выбираем нужный пункт.
- healthcheck — основной отчёт о безопасности AD
- azeread — отчёт о безопасности AD в облаке Azure
- conso — консолидация всех отчётов в один, генерация карты
- carto — построение карты доменов
- scanner — сканирование ПК
- export — экспорт списка пользователей или компьютеров
- advanced — выбор опций запуска PingCastle
Следуем дальнейшим инструкциям и в конечном итоге получаем HTML файл с отчётом.
Отчёт подробный, в верхней части выводится общая оценка безопасности.
Общая оценка складывается из 4 индикаторов:
- Privileged accounts — про админов
- Trusts — связь между доменами
- Stale objects — про AD
- Security anomalies — всё остальное
Запуск в командной строке:
PingCastle.exe --healthcheck --server mydomain.com
PingCastle.exe --help
Процесс генерации отчёта PingCastle.
Источник:
Если вам понравилась статья, то ставьте 👍🏻 каналу. Пишите комментарии, задавайте вопросы, подписывайтесь.