Active Directory Auditing with Ping Castle

L'audit d'un Active Directory Microsoft peut se révéler très complexe et l'un des risques est de ne pas prendre en compte tous les paramètres.

Ping Castle offre une méthodologie complète des outils pour couvrir le spectre complet d'un AD Microsoft. Son avantage est d'être libre et donc de pouvoir valider le code simplement.

Cet article va se concentrer sur la fonctionnalité principale Healthcheck

L'installation est très simple et il suffit d'avoir un système d'exploitation Windows, un compte de domaine (domain User ) et de décompresser le fichier pour exécuter le programme

image.png

Healthcheck

Ce type d'audit permet de connaître rapidement l'état de santé d'un Active Directory en fournissant un rapport sous forme HTML (Web) ou PDF

Indicators

Basé sur 4 indicateurs, cette section offre une vue globale des éléments qui composent ce rapport.

image.png

  • Stale Object: représente tout ce qui concerne les objets (création d'ordinateurs et d'utilisateurs, délégation) AD et leur cycle de vie
  • Privileged Accounts: concerne les administrateurs du domaine, par exemple mot de passe d'un compte administrateur domaine qui date de plus de 3 ans
  • Trusts: si plusieurs domaines sont liés ensemble, cet indice va permettre de connaître les liens entre eux
  • Anomalies: tout ce qui ne rentre pas dans les catégories précédentes. Par exemple, les processus de contrôle de sécurité

Risk model

La modélisation des risques est très utile pour connaître les menaces actuelles de l'Active Directory

image.png

La mesure associée peut être obtenue en cliquant sur le risque détecté

image.png

Maturity Level

Ce niveau permet de connaître les mauvaises configurations et ce qu'il faut corriger pour atteindre un niveau correct

image.png

MITRE ATT&CK®

Cette section est évaluée selon la base de connaissance MITRE ATT&CK® pour identifier les failles présentes sur le système

image.png

Un élément intéressant est la partie mitigation qui permet savoir comment corriger les vulnérabilités

Outil indispensable ?

Ping Castle est un produit intéressant pour les audits de sécurité car il permet d'obtenir une vision complète de l'état d'un Active Directory et apporte des éléments de correction. Un niveau de détail très précis est mis à disposition afin de connaître réellement quelles sont les vulnérabilités présentes sur le système et des pistes pour les corriger dans le but d'aider les administrateurs à protéger leur AD

Références

A propos de l'auteur

1615489106864-modified.png

Sven Rouvinez Network and Security Engineer @ CISEL Informatique SA