Hrozby pro firemní identitu se neustále vyvíjejí a když útočník naruší systém identity, má to dlouhodobý a nákladný dopad. V této souvislosti se audit a posilování služby Active Directory (AD) a jejího cloudového protějšku, Entra ID/Azure AD, stalo každodenní nezbytností pro IT a bezpečnost. Výběr správných nástrojů a pochopení toho, co každý z nich nabízí Je to první krok k uzavření mezer, než je někdo zneužije.
Mezi nejznámější bezplatné možnosti patří Purple Knight (Semperis) a PingCastle (původně vytvořený Vincentem Le Touxem a v současné době součástí ekosystému Netwrix). Oba běží hladce a poskytují cenné diagnostické nástroje, ale jejich přístup, metodologie a cílová skupina se liší. Porovnejte je podrobně, aniž byste přehlíželi jejich omezení a silné stránky.Umožňuje vám rozhodnout se, kdy použít jeden nebo druhý, nebo proč je kombinovat, abyste z nich vytěžili maximum.
Zabezpečení identity: proč se zaměřit na Active Directory a Entra ID
AD a Entra ID obvykle soustředí kontrolu nad účty, oprávněními, ověřováním a vztahy důvěryhodnosti; pokud selžou, selže i srdce podnikového přístupu. Narušení těchto systémů může zůstat neviditelné celé měsíce.To odhaluje kritická aktiva a usnadňuje laterální pohyb. Posílení zabezpečení identit proto vyžaduje upřednostnění služby Active Directory a její cloudové vrstvy. Nástroje pro jednorázové posouzení pomáhají získat jasný obraz o riziku, zatímco nástroje pro průběžné monitorování umožňují včasný zásah k řešení odchylek.
PingCastle: Snímek prostředí AD založený na vyspělosti
PingCastle vznikl jako nástroj pro hodnocení Active Directory vyvinutý v jazyce C# Vincentem Le Touxem a od roku 2017 se na trhu upevnil s bezplatnou základní edicí. Jeho účelem je měřit riziko a bezpečnostní vyspělost služby Active Directory na základě modelů a pravidel.vytvoření zprávy o zdraví a rizicích, která je vysoce zaměřena na praktická rozhodnutí.
Co PingCastle dělá dobře
Jednou z jeho silných stránek je převod technických dat do kontextových informací: analyzuje mimo jiné podprocesy služby Active Directory, vztahy důvěryhodnosti, privilegované účty a zastaralé objekty. Výsledkem je skóre rizika a podrobná zpráva, kterou lze konsolidovat s dalšími nástroji pro usnadnění srovnání v čase. Kromě toho obsahuje mapu služby Active Directory pro vizualizaci hierarchií a vztahů důvěryhodnosti.To urychluje pochopení složitých prostředí a odhaluje zapomenuté domény.
- Posouzení rizik a zdraví na základě interních modelů a pravidel, s bodováním a reportingem rizik.
- Viditelnost oprávnění a potenciální cesty ke kritickým objektům, se zaměřením na účty s vysokým přístupem.
- Mapování domén a důvěryhodnosti vizualizovat vztahy, včetně aspektů důvěryhodnosti, s Azure AD/Entra ID.
- Konsolidace zpráv pro benchmarking, klíčové ukazatele výkonnosti (KPI) a manažerské dashboardy (ve vyšších edicích).
PingCastle také jde nad rámec adresáře a provádí skenování pracovních stanic a hledá nebezpečné praktiky. Detekuje nadměrný počet místních správcůšpatně chráněné sdílené zdroje, zranitelnosti jako WannaCry a dokonce i nesrovnalosti v době spouštění, což pomáhá odhalovat zadní vrátka a slabiny v delegování, jež by mohly usnadnit laterální pohyb.
Jak to funguje a co to přináší
Engine PingCastle shromažďuje data pomocí neprivilegovaných dotazů LDAP a WMI a lze jej integrovat s... powershell skriptya aplikuje model rizik seskupený podle kategorií: zastaralé objekty, privilegované účty, důvěryhodnosti a anomálie. Výsledná zpráva zdůrazňuje kritické problémy (například zastaralé protokoly důvěryhodnosti, křehké delegace, slabé konfigurace Kerberos nebo nezabezpečené řídicí cesty) a přiřazuje skóre stavu služby AD: čím nižší, tím lépe.
V hybridních prostředích může PingCastle podávat zprávy o tom, zda je vztah důvěryhodnosti s Azure AD dobře zabezpečený. Zobrazení mapy a konsolidace výsledků Jsou obzvláště užitečné pro organizace s mnoha doménami nebo více vztahy důvěryhodnosti, kde je snadné ztratit přehled.
Vydání, licence a rozsah
Základní edice je zdarma pro audit vašeho vlastního prostředí, zatímco edice Auditor/Standard a Professional přidávají pokročilé funkce a komerční podporu. Na trhu se nabízí předplatné jako Auditor (kolem 3 449 USD/rok) a Professional. (přibližně 10 347 USD za doménu ročně) plus edici Enterprise s konsolidačními funkcemi a globální perspektivou pro velké společnosti. Projekt podepisuje své binární soubory a vydává kód pod licencí OSL 3.0 (neziskové organizace) s omezeními pro nelicencované komerční použití.
Známá omezení PingCastle
V nasazeních s mnoha doménami mohou být sestavy husté a poněkud obtížně se v nich orientuje, pokud nejsou nastaveny konsolidační procesy a zobrazení. Bezplatná verze neobsahuje pokročilé zprávy ani podrobné návody k nápravě.a důraz je kladen na ukazatele expozice a rizika, nikoli na známky kompromisu, které se již projevily.
Purple Knight: Indikátory expozice a zapojení kliknutím tlačítka
Společnost Semperis spustila Purple Knight v roce 2021 jako bezplatný nástroj pro hodnocení bezpečnosti pro prostředí Active Directory a hybridní prostředí. Od té doby se stal oblíbeným díky svému zaměření na indikátory expozice (IOE) a indikátory kompromitace (IOC). Jeho cílem je odhalit rizikové konfigurace a důkazy o narušení. V AD zadejte ID/Azure AD a dokonce i Okta.
Ukazatele, kategorie a referenční rámce
Purple Knight seskupuje výsledky do pěti hlavních oblastí: Delegace AD, Zabezpečení infrastruktury AD, Zabezpečení účtů, Zabezpečení skupinových zásad (GPO) a zabezpečení Kerberos. Zpráva používá „bulletin“ s hodnocením podle kategorií a celkovým procentuálním vyjádřením., který nabízí prioritní nápravná opatření, závažnost (informativní, varovné nebo kritické) a mapování na rámce jako MITRE ATT&CK a ANSSI, kromě odkazů na model MITRE D3FEND.
- Více než sto indikátorů (a nedávné verze toto číslo snadno překračují) pokrývající běžné vektory útoku.
- Rozdíl mezi IOE a IOC oddělit potenciální chybnou konfiguraci od důkazů aktivního kompromitování.
- Pokyny pro předepisování korekcí a seřazeny podle rizika a pravděpodobnosti zneužití.
- Hybridní pokrytí s lokální AD, podporou Enter ID/Azure AD a Okta.
Uživatelská zkušenost a reporting
Nástroj je přenosný a má grafické rozhraní. Stáhnete si ZIP soubor, rozbalíte ho a spustíte binární soubor. Po spuštění detekuje lesy a domény a umožní vám vybrat, který IOE/IOC se má spustit – tuto granularitu ocení jak modrý, tak červený tým. Skenování je obvykle dokončeno během několika minut a generuje HTML zprávu, která obsahuje kontrolní seznam kritických IOE a jasná vysvětlení s odkazy na dokumentaci.
Formát „vysvědčení“ je praktický: písmeno a procento s různou vahou pro každou kategorii. Popisy zahrnují důvod, dopad, zařazení do bezpečnostních rámců a kroky k nápravě.Purple Knight běží v režimu čtení, neprovádí žádné změny v Active Directory a „nevolá domů“; lze jej periodicky opakovat bez rizika pro produkční prostředí.
Registrace, komunitní verze a vývoj
Pro stažení nástroje vyžaduje Semperis registraci a poskytuje odkaz; také uživatele upozorňuje na nové verze a neustálá vylepšení. Komunitní vydání je často aktualizováno A i přes své mládí si udržuje pozoruhodný lesk a vylepšuje se na základě zpětné vazby od komunity.
Omezení a jak je doplňováno
Purple Knight provádí jednorázová hodnocení; nejedná se o řešení pro kontinuální monitorování ani samo o sobě neautomatizuje zmírňování dopadů. Tuto vrstvu poskytuje Directory Services Protector (DSP) od společnosti Semperis.což je placená služba zaměřená na detekci a reakci na hrozby pro identitu v reálném čase (ITDR) s upozorněními a vrácením škodlivých změn.
Purple Knight vs. PingCastle: co mají společného a jak se liší
Ačkoli oba nástroje lze použít k posouzení zabezpečení služby Active Directory a k podpoře hybridních prostředí s Entra ID/Azure AD, jejich zaměření není stejné. PingCastle upřednostňuje... metodologie zralosti a zprávu o „kontrole stavu“ s hodnocením rizik; Purple Knight se zaměřuje na IOE/IOC a na poskytování vysoce praktického průvodce nápravou. První se podrobně zabývá „modelem“ a stavem ekosystému AD., zatímco druhý poskytuje velmi bohatý snímek pro rychlou korekci.
Pokud jde o snadnost použití, Purple Knight vyniká svým rozhraním a podrobným výběrem testů; v PingCastle vyniká mapa domén a konsolidace reportů v organizacích s mnoha doménovými strukturami a trusty. V reportech Purple Knight hodnotí podle kategorie pomocí skóre a procentuálního poměru.A PingCastle nabízí celkové skóre zdraví, kde nižší číslo znamená lepší.
Pokud jde o pokrytí, Purple Knight zahrnuje AD, Entra ID/Azure AD a Okta a mapuje zjištění na MITRE ATT&CK a ANSSI, přičemž prioritou je náprava. PingCastle zase nabízí analýzu delegací, zastaralých objektů, lokálních oprávnění a zranitelností koncových bodů.A dokáže vyhodnotit zabezpečení důvěryhodnosti pomocí Azure AD. Schopnost objevit zapomenuté domény a sjednotit výsledky je výhodou, když se perimetr rozmaže.
Co se týče licencování, Purple Knight je nabízen jako bezplatný nástroj (po registraci); kontinuální a korekční funkce jsou součástí Semperis DSP, který je komerční. PingCastle nabízí bezplatnou základní verzi pro osobní použití. a placené edice (Auditor/Standard, Professional, Enterprise) s rozšířenými funkcemi, podporou a škálovatelností.
Který si vybrat? Pokud hledáte rychlé a jasné posouzení s pokyny k opravě podle priorit, Purple Knight je pro vás perfektní volbou. Pokud potřebujete metodu splatnosti s mapováním domén a konsolidací rizik Pro stovky nebo tisíce segmentů by mohl být PingCastle vhodnější volbou, zejména s placenými verzemi. V praxi mnoho organizací používá obojí: tato kombinace nabízí křížové ověření a hlubší pokrytí.
Praktické detaily implementace a výsledků
Oba nástroje jsou přenosné a ve většině kontextů je lze spustit se standardními uživatelskými přihlašovacími údaji, přičemž data shromažďují primárně čtením. To usnadňuje týmům s omezenými zdroji přijetí. a vyhýbá se třenicím s produkčními systémy, protože ty neprovádějí změny.
Purple Knight ukládá své výsledky v HTML s logickou strukturou a odkazy na dokumentaci, stejně jako kontrolní seznam, který zdůrazňuje, co je naléhavé. Rozdělení podle závažnosti a odkaz na rámce Poskytuje kontext pro CISO a technické týmy. PingCastle zase poskytuje zprávu s hodnocením, prioritními zjištěními a v případě potřeby konsolidovanými pohledy pro usnadnění klíčových ukazatelů výkonnosti (KPI) a čtvrtletního monitorování.
Varování a provozní aspekty
V prostředí s více doménovými strukturami nebo s desítkami domén může v případě PingCastle vyžadovat více práce pro navigaci a stanovení priorit v sestavách. Základní edice postrádá pokročilé funkce a rozsáhlé korektorské příručky.Tyto funkce jsou součástí placených licencí. Purple Knight, který se jedná o jednorázové hodnocení, nenahrazuje systém nepřetržitého monitorování a jeho automatizované funkce pro zmírňování rizik nejsou k dispozici v bezplatné verzi.
Ani jeden z nich není zamýšlen jako systém IDS/IPS pro AD; jedná se o diagnostické doplňky, které se podílejí na plánech nápravy a vyspělosti. V situacích s potřebou upozornění a reakce v reálném časeDo hry vstupují ITDR řešení, jako je Semperis DSP, nebo nabídky kontinuálního auditu.
Další nástroje, které doplňují ekosystém
Pokud je důraz kladen na kontinuitu a zaznamenávání každé změny v kontextu, Netwrix Auditor poskytuje kontrolu změn v Active Directory a dalších systémech (Exchange, SQL Server, SharePoint, Microsoft 365, Teams atd.). Jeho cílem je upozornit uživatele na podezřelé úpravy. (například pokud je uživatel přidán do skupiny Správci domény) a udržovat historii konfigurace s pohledy užitečnými pro správu.
Pro pochopení cest útoku a kontrolních vztahů je k dispozici BloodHound, klasický open-source (GPL-3.0) nástroj, který modeluje objekty, vztahy a oprávnění v Active Directory pomocí kompilátorů jako SharpHound a AzureHound. Je to klíčové pro červené týmy i pro modré týmy. kteří si chtějí vizualizovat „nejkratší cestu“ ke kritickým cílům a uzavřít lezecké trasy.
V oblasti reakce a monitorování v reálném čase nabízí Semperis Directory Services Protector (DSP) nepřetržitý monitoring, upozornění a dokonce i automatické vrácení změn v reakci na škodlivé změny, a to jak v AD, tak v Entra ID. Funguje jako chybějící vrstva ITDR v bodovém hodnocení. a urychluje zamezení incidentů týkajících se identity.
Francouzská agentura pro bezpečnost dat (ANSSI) poskytuje nástroje jako ORADAD pro Active Directory a ORADAZ pro Azure/Entra, které se používají v pokročilých auditech. Přestože je sběr dat veřejný, kompletní zpracování vyžaduje nepublikované nástroje. Toto jsou cenné reference pro týmy, které dodržují vládní pokyny. nebo chtějí sladit audity s uznávanými osvědčenými postupy.
Některá srovnání trhu ukazují nabídky s hostingem a různými nasazeními (služba Windows, přenosné, on-premise nebo SaaS), korelací s MITRE ATT&CK, exportem do CSV, možností multi-tenantů a možností akceptovat rizika dokumentovaným způsobem. V praxi se volba omezuje na vyvážení náhodných auditů, detekce incidentů a průběžného řízení.S přihlédnutím k rozpočtům, licencím (v některých případech zdarma pro osobní použití) a podpoře partnerů.
Často kladené otázky: Mohu uživateli zabránit ve spouštění těchto nástrojů?
Toto je častá otázka, když zjistíte, že přenosné nástroje mohou běžet bez administrátorských oprávnění. Purple Knight a PingCastle obvykle fungují v režimu pouze pro čtení s uživatelskými oprávněními k dotazování adresáře. Pokud je vaším cílem omezit jeho provádění, pak přichází na řadu kontrola aplikací.Zásady jako AppLocker nebo Kontrola aplikací v programu Windows Defender (WDAC) nebo pravidla pro omezení softwaru pomáhají omezit neoprávněné binární soubory. Zvýšení ochrany oprávnění v Active Directory navíc snižuje vystavení citlivých dat standardním uživatelům.
Nicméně model zabezpečení služby AD předpokládá, že určité informace jsou čitelné pro ověřené uživatele, protože na nich závisí mnoho aplikací. Efektivní zmírňování zahrnuje posílení delegací, audit kontrolních tras a snížení oprávnění.Použití těchto nástrojů k detekci a opravě toho, co by nemělo být viditelné nebo povolené. Prevence by se neměla spoléhat pouze na blokování spustitelných souborů, ale spíše na eliminaci útočného povrchu na úrovni konfigurace.
Běžné případy použití a chytré kombinace
Malý IT tým, který potřebuje rychlou diagnostiku a jasného průvodce řešením problémů, ocení Purple Knight. Stanovení priorit podle závažnosti a jejich mapování na podpůrné rámce Umožňuje uživatelům připravovat penetrační testy, demonstrovat pokrok a komunikovat rizika s managementem. Mezitím pravidelné interní audity a konzultační firmy působící ve více doménách těží z modelu zralosti PingCastle, mapování domén a konsolidačních funkcí.
Mnoho organizací používá oba nástroje v různých cyklech, aby získaly doplňkové poznatky: nejprve „snímek“ s IOE/IOC, následovaný kontrolou procesů a vyspělosti s konsolidovanými kontrolami stavu. Křížová validace snižuje počet falešně negativních výsledků a zlepšuje prioritizaci nápravných opatření.urychlení uzavírání kritických mezer a zvýšení hygieny identity ve střednědobém horizontu.
Neexistuje žádné univerzální řešení. Dobrý výběr zahrnuje sladění potřeb s možnostmi: snímek s normativními pokyny nebo modely a mapami vyspělosti? Jednorázové posouzení nebo průběžné monitorování s ITDR? Odpověď je obvykle „ano a…“ spíše než jednoznačné „nebo“.kombinace bezplatného posouzení s monitorovacími řešeními přizpůsobenými riziku a rozpočtu.
Pokud je cílem udržitelně zlepšovat zabezpečení identit, je vhodné plánovat pravidelná hodnocení, kontrolovat delegování a důvěryhodnost a udržovat hygienu účtů, objekty GPO (a Soubory ADMX) a Kerberos. Kombinované použití Purple Knight a PingCastle plus vrstva auditu změn a/nebo ITDRNabízí správnou rovnováhu mezi včasnou detekcí, prioritní korekcí a průběžným monitorováním stavu AD a Entra ID.