首页安全工具

PingCastle- 评估 Active Directory 环境安全状况工具

PVS-Studio

PingCastle 是什么?

PingCastle 是一款专门用于快速高效地评估 Active Directory 环境安全状况的工具。该工具可帮助组织识别错误配置、漏洞以及攻击者可能利用的风险。PingCastle 提供了 AD 安全性的高级、可操作概述,无需大量配置或手动操作。正如其官方网站 ( https://www.pingcastle.com/ ) 所述, “在 20% 的时间内将 Active Directory 安全性提升至 80%” 是快速解决 AD 安全问题的直接方法。

PingCastle 不仅仅是一款产品;它根植于 “仅依靠技术的安全无济于事”的理念。 其重点在于 “人员和流程” ,而非仅仅依赖技术来保护基础设施。PingCastle 并非提供保护基础设施的解决方案,而是提供工具来帮助发现需要保护的内容、评估其安全级别,并洞察安全预算是否得到了有效利用。( https://www.pingcastle.com/ )

PingCastle 的一项重要功能是健康检查 。这是该工具生成的默认报告,它可以快速从 Active Directory 环境中收集最重要的信息并建立概览。它基于模型和一组规则,评估 AD 进程的安全性并提供风险评分。健康检查报告可帮助管理员清晰地了解 AD 安全性,突出显示风险并提供可行的建议。( https://www.pingcastle.com/documentation/ )

根据 PingCastle 的文档,该工具基于风险评估和成熟度框架运行。其目标并非提供完美的评估,而是通过关注可快速解决的关键安全风险,提供 “一种效率上的妥协” 。随着 Mimikatz 等工具的普及,AD 相关漏洞的风险日益上升,PingCastle 已成为寻求保护 AD 环境的现代组织必不可少的工具。( https://github.com/netwrix/pingcastle )

img

PingCastle 焦点方法论插图( 方法论图像

许可模式

PingCastle 提供免费和商业许可证,每种许可证都根据组织的规模和所评估的 Active Directory 环境的复杂性来满足不同的需求。

img

PingCastle 服务概述( 服务

免费版本基础免费许可证提供个人使用和小规模环境所需的基本功能。它包含审计程序健康检查报告地图功能等功能。

  • PingCastle 的网站 ( https://www.pingcastle.com/download/ ) 概述了 “该二进制程序可以免费运行,只要您不从中获得任何收益”。 任何营利性组织都可以使用 PingCastle 来审计其系统,而无需购买许可证。但是,如果该组织计划将 PingCastle 捆绑到商业软件包中或提供基于 PingCastle 的服务,则必须获得特定的许可证。该工具只能在其支持期内运行,可以通过购买额外的许可证来延长支持期限。PingCastle 3.3.0.0 版本的支持将于 2026 年 1 月 31 日终止

商业版本 :商业产品分为三个层级,每个层级都提供针对审计公司、大型组织或需要专业服务的组织的更高级的功能。

  1. 标准许可证(原为审计师) :此版本价格为每年 2200 欧元,面向审计公司。它解锁了诸如 “解锁报告” 等功能,并支持错误修复 ,非常适合需要更详细分析和报告功能的用户。
  2. 专业许可证 :此级别适用于需要额外服务的组织,价格为每年 6600 欧元。它包含标准版的所有功能,并增加了对 Web 应用的支持以及用于管理来自多个域的报告的历史记录功能。专业许可证持有者还可获得高级错误修复支持。
  3. 企业许可证 :PingCastle 为大型组织或复杂环境提供定制价格的企业许可证。它包含扩展地图可配置身份验证以及支持多域审计等功能。

专有和开源许可 :PingCastle 源代码采用专有许可和非营利开放软件许可证 (OSL) 3.0 进行授权。如果仅在内部使用(例如,公司或 IT 服务管理提供商正在运行 PingCastle),组织无需购买许可证即可运行。但是,如果公司计划基于 PingCastle 构建商业服务或通过其使用产生收入,则必须购买许可证。

PingCastle 还利用了各种开源组件,如 BootstrapJQueryvis.jspopper.jsBootstrap Table ,所有组件均获得 MIT 许可。

PingCastle 常见发现

PingCastle 扫描通常会发现 Active Directory 环境中的一系列错误配置和漏洞。解决这些问题对于保护网络免受潜在攻击至关重要。以下是一些最常见的发现:

  • 弱密码策略 :用户账户使用弱密码或默认密码,或环境缺乏密码复杂性要求。这为暴力攻击提供了漏洞。
  • 权限过大 :如果账户拥有超出必要范围的管理权限,一旦被盗用,风险将会增加。务必遵循最小权限原则
  • 休眠帐户 :保持启用状态的非活动用户或计算机帐户,如果他们未被注意和监控,则会为攻击者提供切入点。
  • 不受约束的委派 :错误配置允许攻击者通过捕获 Kerberos 票证冒充其他用户,从而导致潜在的权限提升。
  • 重叠的组成员资格 :属于多个组的用户具有冲突或过于广泛的权限,导致访问控制复杂化并增加安全风险。
  • 未修补的漏洞 :过时或未修补的系统(尤其是域控制器)会使 AD 环境暴露于已知漏洞和利用。
  • 开放共享 :共享网络资源,访问控制过于宽松,允许意外访问敏感数据或基础设施。
  • 具有管理权限的服务帐户 :拥有管理权限的服务帐户,如果受到攻击,攻击者可以针对这些帐户执行全系统攻击。
  • 审计不足 :缺乏适当的日志记录和监控,难以检测 AD 环境内的可疑活动或未经授权的更改。

PingCastle 应用程序和扫描

PingCastle 提供了一套全面的模块,用于评估 Active Directory 安全的各个方面。这些模块使管理员能够快速识别风险、评估其 AD 环境并确定缓解措施的优先级。以下是 PingCastle 中提供的主要扫描和报告功能:

img

PingCastle 发布后概览

1. 健康检查 :这是 PingCastle 的核心功能,提供 AD 域的总体风险评分。它会分析各种安全参数,并提供一份报告,重点突出最关键的安全风险。这项快速高效的健康检查功能可让管理员在几分钟内概览 AD 环境。

2. AzureAD 风险扫描 :此模块专门用于评估 Azure Active Directory (AzureAD) 的安全态势。它的工作原理与健康检查类似,但侧重于 Azure 环境的独特挑战和配置。

3. 报告聚合 (Conso) :此功能聚合多个报告,为管理员提供跨互连 AD 域的安全风险统一视图。这对于管理多个 AD 实例的大型组织尤其有用。

4. 域映射 (Carto)Carto 模块构建所有互连域的映射,提供 AD 环境中信任关系和相互依赖关系的可视化概览。这有助于管理员快速识别跨域配置中的信任边界和潜在薄弱环节。

5.安全扫描程序 :PingCastle 提供了多种安全扫描程序,可对工作站和域控制器执行详细检查:

  • ACLCheck :检查与用户和组相关的授权设置。它有助于识别可能导致权限提升的过多权限或薄弱的访问控制策略。
  • 防病毒扫描程序 :检查工作站上是否安装并充分配置了防病毒软件。
  • 本地管理扫描程序 :识别具有本地管理权限的帐户,这是寻求提升权限的攻击者的常见目标。
  • NullSession 和 NullSession-Trust Scanners :检测空会话,这是 Windows 的一项旧功能,允许未经身份验证的用户连接到网络,从而带来重大安全风险。
  • ZeroLogon 扫描程序 :识别易受严重 ZeroLogon 漏洞 (CVE-2020-1472) 攻击的系统,该漏洞允许攻击者在没有有效凭据的情况下将权限提升为域管理员。

img

PingCastle 扫描仪概述

6. 导出工具导出功能允许管理员从域中提取用户或计算机列表。这对于大规模审计或合规性报告非常有用,因为它提供了一种快速收集数据以供分析或外部报告的方法。

7.高级设置 :对于需要更深入控制的管理员,高级设置菜单提供对其他配置选项的访问,例如调整用于查询 AD 的协议(LDAP、ADWS)、生成加密报告或从健康检查报告中删除项目限制。

img

PingCastle 高级菜单

规则集和风险分配

PingCastle 采用基于规则的详细系统来评估 Active Directory (AD) 环境的安全性。每条规则都旨在检查特定漏洞,例如过时对象、权限过高和配置错误,并根据已识别风险的严重程度进行评分 。然而,有些规则仅供参考 ,不会对整体风险评分产生影响。

规则类别

PingCastle 将其规则分为四个主要类别,每个类别代表 AD 安全的一个基本方面:

  1. 陈旧对象 :识别与不活动的用户或计算机、过时的操作系统和复制问题相关的问题。
    示例 :长时间未登录的非活动用户。
  2. 特权帐户 :扫描具有管理权限的帐户以检测过多的权限或权限提升路径。
    示例 :具有广泛管理访问权限的特权帐户。
  3. 信任 :分析 AD 域之间的关系,确保信任链接安全且配置正确。
    示例 :域之间的信任关系已过时或无效。
  4. 异常 :标记异常或可疑活动可能表明配置错误或活动威胁。
    示例 :黄金票证攻击的指标,攻击者伪造身份验证票证。

img

PingCastle 规则类别( 规则列表

评分及信息规则

每条规则要么根据其检测到的问题的严重程度分配分数,要么被标记为 “信息性规则” ,计 0 分 。信息性规则提供背景信息或最佳实践建议,但不影响整体安全评分。例如,如果某条识别非活动账户的规则存在风险,则该规则可能分配 5 分 。如果另一条推荐最佳实践的规则未检测到直接风险,则该规则可能分配 0 分

每个已识别问题的分数都会被统计,并计入每个类别的累积分数。

img

PingCastle 规则示例( 规则列表

风险表概述

处理完各个规则并分配分数后,总分将映射到风险模型中,该模型根据四个主要领域(过时对象、特权帐户、信任和异常)对风险的严重程度进行分类。风险表显示了符合条件的规则数量、分配的分数及其对 AD 安全性的总体影响:

  • 蓝色(0 分) :没有重大风险,但仍可能需要改进。
  • 黄色(1-10 分) :需要注意但并不紧急的小风险。
  • 橙色(10-30 分) :中等风险,需要在短期内解决。
  • 红色(30 分以上) :需要立即补救以避免损害的重大风险。

img

PingCastle 风险模型( 示例报告

风险指标

每个类别累积的所有分数将用于生成风险指标 ——以直观的方式呈现 AD 域的整体安全态势。每个指标的分数介于 0 到 100 之间,其中 100 表示最坏情况,表示给定类别中存在严重漏洞:

  • 陈旧对象
  • 特权账户
  • 信托
  • 异常

这些类别中的最高分数决定了域风险等级 ,范围从 0 (低风险)到 100 (高风险)。100 表示存在严重漏洞,必须优先修复。

img

PingCastle 域名风险指标( 示例报告

有关规则及其要点的更详细列表,请访问 PingCastle AD 健康检查规则列表或浏览示例报告

示例报告

PingCastle 会生成一份详尽的报告,详细列出每次扫描后的所有发现。该报告提供高级别的安全评分、详细的问题细分以及可行的补救措施。

您可以在此处浏览示例报告: 示例报告

报告结构包括以下部分:

  • Active Directory 指标 (指标、风险模型)
  • 成熟度级别
  • MITRE ATT&CK® (技术、缓解措施)
  • 陈旧对象
  • 特权账户
  • 信托
  • 异常分析
  • 域信息 (Azure AD 配置)
  • 用户信息 (蜜罐、账户分析、密码年龄分布、SID 历史)
  • 计算机信息 (账户分析、操作系统、域控制器、LAPS 分析)
  • 管理员组 (组、上次登录分布、密码年龄分布、委派)
  • 控制路径分析 (外部域名参与、间接链接、管理组、关键基础设施)
  • 信任详细信息 (发现的域、可访问的域)
  • PKI (证书、证书模板、域控制器证书)
  • 基础设施 (Azure AD Connect 设置、WSUS 设置、Exchange 设置、SCCM 设置、服务连接点、Kerberos 加密设置、服务帐户、GPO)
  • 异常 (备份、LAPS、Windows 事件转发 (WEF)、krbtgt 黄金票证攻击指标、临时提升账户、智能卡、Unix 密码、登录脚本)
  • 密码策略 (密码策略、屏幕保护程序策略)
  • GPO (模糊密码、受限组、安全设置、审计设置、登录脚本)

这份详细的报告对于管理员来说是宝贵的资源,为解决已发现的问题和增强 AD 安全性提供了明确的指导。

PingCastle 的说明和使用方法

PingCastle 的设计注重用户友好性,只需极少的配置即可开始评估您的 Active Directory (AD) 环境。管理员可以直接从工具界面启动扫描,并以 HTMLXML 格式生成结果,方便查看和共享。由于其工作流程简洁明了,PingCastle 非常适合持续进行 AD 健康状况检查 ,并可无缝集成到常规安全实践中,确保持续监控并快速识别风险。

使用 PingCastle 的步骤

  1. 启动工具 :启动 PingCastle 并从扫描选项列表中进行选择,包括健康检查、AzureAD 风险扫描、Carto(映射)等。
  2. 运行扫描 :通过选择相关模块(例如,域的健康检查)启动扫描,PingCastle 将自动收集必要的 AD 数据。
  3. 查看报告 :扫描完成后,PingCastle 会生成 HTML 和 XML 格式的报告,详细说明 AD 环境的安全状况。报告内容包括:
  • 安全评分
  • 详细发现
  • 补救建议
  • 采取行动 :使用报告中提供的可操作步骤来解决已识别的风险。管理员可以确定高风险问题的优先级,并根据每个问题的严重程度采取纠正措施。
  • 重新运行扫描 :实施缓解措施和改进措施后,返回步骤 1 并重新运行扫描。此外,请将周期性扫描纳入您的工作流程中。

结论

保护 Active Directory (AD) 对于维护组织 IT 基础架构的完整性至关重要。作为管理用户、权限和资源访问的中心枢纽,AD 中的任何漏洞都可能使组织面临重大风险,包括权限提升、数据泄露以及攻击者的横向移动。

PingCastle 通过提供清晰、可操作的 AD 环境安全态势视图,在降低这些风险方面发挥着重要作用。凭借其全面的扫描模块、基于规则的评估和易于理解的报告功能,PingCastle 可帮助管理员快速识别并解决安全漏洞。PingCastle 凭借其低配置成本和透明的基于风险的评分系统,可以无缝集成到组织的常规 AD 健康检查流程中,从而确保长期安全。

在当今威胁形势下,攻击者的技术不断演变,采取主动的 AD 安全措施比以往任何时候都更加重要。PingCastle 能够高效地识别漏洞并提供切实可行的修复步骤,使其成为任何致力于保护其 AD 基础设施的组织的必备工具。

无论是管理小型域名还是大型企业环境,PingCastle 都能让您专注于最关键的安全问题,帮助您保护网络免受潜在攻击。将 PingCastle 纳入您的安全实践,您将朝着加强组织整体网络安全态势迈出重要一步。

总访问量:加载中...更新于

请我喝杯茶

Shyosec 微信支付

微信支付

Shyosec 支付宝

支付宝