PingCastle – Sicherheitslücken im Active Directory aufspüren

Von
Tobias Steinicke
-
PingCastle: Auswahl möglicher Testszenarien
PingCastle: Auswahl möglicher Testszenarien

Auf der letzten EUGO wies mich ein Teilnehmer auf die Freeware PingCastle hin. Mit diesem Tool können Administratoren ihre Active Directory Infrastruktur unkompliziert auf potentielle Sicherheitslücken überprüfen.

PingCastle – Ein portables Kommandozeilen-Tool

Das Tool läuft portabel, eine Installation ist nicht notwendig. Du startest das Tool per Kommandozeile, wahlweise gleich mit bestimmten Parametern wie einem bestimmten Scantyp. Somit eignet sich PingCastle auch wunderbar dafür, um in regelmäßigen Abständen innerhalb eines automatisierten Skript-Aufrufs abgearbeitet zu werden.

Anhand verschiedener Testszenarien kannst Du AD Domänen etwa einem Health Check in Bezug auf mögliche Sicherheitseinstellungen unterzogen. Die Ergebnisse des Scans werden am Ende als HTML Datei ausgegeben.

PingCastle: Auswahl möglicher Testszenarien
PingCastle: Auswahl möglicher Testszenarien

Prüfpunkte und Report vom PingCastle Scan

Innerhalb der Scan werden unterschiedene Prüfpunkte abgefragt. Dazu gehören unter anderem die Folgenden:

  • Sind die Sicherheitseinstellungen der Domänen-Controller korrekt gesetzt?
  • Existieren verwaiste Benutzerkonten?
  • Befinden Sich noch Windows Server 2003 in der eigenen Infrastruktur?
  • Existiert eine Password Policy für Serviceaccount?
  • Ist LAPS implementiert?
  • Ist SMB v1 noch aktiviert?

Nachfolgend werden die einzelnen Prüfpunkte anhand ihres durch PingCastle festgelegten Risikogrades zu einer Gesamtbewertung summiert, welche Dir am Ende anhand von Gauge Charts anschaulich dargestellt werden: Grün bedeutet alles ist ok, spätestens im roten Bereich solltest Du als Admin aktiv werden. Die Grafiken eignen sich also sehr gut für eine Management-Präsentation, um Nicht-Technikern ein Gefühl für das Risiko im eigenen Unternehmen zu geben.

PingCastle liefert management-taugliche Gauge-Grafiken PingCastle liefert management-taugliche Gauge-Grafiken

Gleichzeitig ist der Report aber sehr nützlich für Admins: Es wird nicht einfach nur ein Report mit ein paar bunten Bildern generiert. Du erhältst als Admin sehr praxisnah Hinweise für konkrete Maßnahmen und Links zu passenden Artikeln etwa im TechNet.

Für den internen Gebrauch kannst Du PingCastle kostenfrei einsetzen. Auditoren müssen eine kostenpflichtige Lizenz erwerben, die ab 2000 Euro beginnt. Insgesamt ist das Tool also eine Empfehlung, um einen guten Überblick über das eigene Active Directory und sein Umfeld zu bekommen.

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein