企业身份面临的威胁不断演变,一旦攻击者攻破身份系统,其影响将是长期且代价高昂的。在此背景下,对 Active Directory (AD) 及其云端版本 Entra ID/Azure AD 进行审计和强化,已成为 IT 和安全部门的日常工作。 选择合适的工具并了解每种工具的功能 这是在有人利用漏洞之前堵住漏洞的第一步。
最知名的免费工具包括 Purple Knight(Semperis)和 PingCastle(最初由 Vincent Le Toux 创建,目前是 Netwrix 生态系统的一部分)。两者都运行流畅,并提供有价值的诊断信息,但它们的实现方式、方法和目标用户群体有所不同。 仔细比较它们,不要忽略它们的局限性和优势。它允许您决定何时使用其中一种方法或另一种方法,或者为什么要将它们结合起来以充分发挥它们的作用。
身份安全:为何要重点关注 Active Directory 和 Entra ID
AD 和 Entra ID 通常集中控制帐户、权限、身份验证和信任关系;如果它们出现故障,企业访问的核心就会失效。 对这些系统的入侵可能数月都难以察觉。这会暴露关键资产并助长横向移动。因此,加强身份安全需要优先考虑 Active Directory 及其云层。一次性评估工具有助于清晰了解风险,而持续监控工具则可实现及时干预,以应对偏差。
PingCastle:基于成熟度的 AD 环境快照
PingCastle 最初是由 Vincent Le Toux 用 C# 开发的 Active Directory 评估工具,自 2017 年以来,凭借免费的基本版本在市场上站稳了脚跟。 其目的是基于模型和规则来衡量 Active Directory 的风险和安全成熟度。生成一份高度注重实际决策的健康与风险报告。
PingCastle的优势
它的优势之一在于能够将技术数据转化为上下文信息:它分析Active Directory子进程、信任关系、特权帐户和过时对象等。最终生成风险评分和详细报告,该报告可以与其他报告合并,以便进行长期比较。 此外,它还集成了 Active Directory 地图,用于可视化层次结构和信任关系。这有助于加快对复杂环境的理解,并揭示被遗忘的领域。
- 风险与健康评估 基于内部模型和规则,并进行评分和风险报告。
- 权限可见性 以及通往关键对象的潜在路径,重点关注高访问权限帐户。
- 领域和信任映射 可视化关系,包括与 Azure AD/Entra ID 的信任考虑。
- 报告合并 用于基准测试、KPI 和管理仪表板(在更高版本中)。
PingCastle 不仅扫描目录,还会对工作站进行扫描,以发现不安全的操作。 检测 过多的本地管理员共享资源保护不力,以及类似 WannaCry 的漏洞 甚至启动时间的不规律性,有助于发现可能促进横向移动的后门和授权弱点。
它如何运作以及它能提供什么
PingCastle 的引擎使用非特权 LDAP 查询和 WMI 收集数据,并且可以与……集成 powershell 脚本并应用按类别分组的风险模型:过时的对象、特权帐户、信任和异常情况。 最终的报告重点指出了关键问题 (例如,过时的信任协议、脆弱的委托、弱的 Kerberos 配置或不安全的控制路径)并分配一个 AD 健康评分:越低越好。
在混合环境中,PingCastle 可以报告与 Azure AD 的信任关系是否安全可靠。 地图视图和结果汇总 它们对于拥有众多领域或多个信任关系的组织尤其有用,因为在这些组织中很容易迷失方向。
版本、许可和范围
基本版可免费用于审核您自己的环境,而审计员/标准版和专业版则增加了高级功能和商业支持。 市场提供审计员(约 3.449 美元/年)和专业版等订阅服务。 (每个域名每年约 10.347 美元),此外还提供企业版,该版本具备整合功能,并面向大型企业提供全球视野。该项目对其二进制文件进行签名,并以 OSL 3.0(非营利)许可发布代码,对未经许可的商业用途有所限制。
PingCastle的已知局限性
在具有许多域的部署中,如果没有建立整合流程和视图,报告可能会非常复杂,难以浏览。 免费版不包含高级报告或详细的修复指南。重点在于暴露和风险的指标,而不是已经出现的损害迹象。
Purple Knight:一键获取曝光度和互动指标
Semperis 于 2021 年推出了 Purple Knight,这是一款免费的 Active Directory 和混合环境安全评估工具。自推出以来,由于其专注于暴露指标 (IOE) 和入侵指标 (IOC),Purple Knight 已成为众多用户的首选。 其目标是发现危险配置和入侵证据。 在 AD 中,输入 ID/Azure AD,甚至 Okta。
指标、类别和参考框架
Purple Knight 将研究成果归纳为五个主要领域:AD 委派、AD 基础架构安全、帐户安全、 组策略安全 (GPO)和 Kerberos 安全。 该报告采用“简报”形式,按类别进行评级并给出总体百分比。此外,还提供优先补救措施、严重程度(信息性、警告性或严重性)以及与 MITRE ATT&CK 和 ANSSI 等框架的映射,以及对 MITRE D3FEND 模型的参考。
- 一百多个指标 (而且最近的版本很容易超过这个数字)涵盖了常见的攻击途径。
- IOE 和 IOC 的区别 将潜在的配置错误与实际入侵的证据区分开来。
- 规范性矫正指南 按风险和被利用的可能性进行优先排序。
- 混合覆盖 支持本地 AD、Enter ID/Azure AD 和 Okta。
用户体验和报告
该工具便携易用,并带有图形界面。您只需下载一个 ZIP 文件,解压后运行其中的二进制文件;启动后,它会检测林和域,并允许您选择要运行的 IOE/IOC——这种精细化程度深受蓝队和红队的青睐。 扫描通常只需几分钟即可完成。 并生成 HTML 报告,其中包含关键 IOE 的检查清单和清晰的解释,以及指向文档的链接。
“成绩单”格式很方便:一个字母和一个百分比,每个类别的权重不同。 描述包括原因、影响、与安全框架的契合度以及补救步骤。Purple Knight 以读取模式运行,不会对 Active Directory 进行任何更改,也不会“回拨”服务器;它可以定期重复运行,而不会对生产环境造成风险。
注册、社区版本和开发
要下载该工具,Semperis 要求用户注册并提供链接;它还会通知用户新版本和持续改进。 社区版会频繁更新。 尽管成立时间不长,但它一直保持着非常出色的水准,并根据社区的反馈不断改进。
局限性及其补充方式
Purple Knight 执行一次性评估;它不是持续监控解决方案,也不能自动进行缓解。 该层由 Semperis 公司的目录服务保护器 (DSP) 提供。这是一项付费服务,旨在实时检测和响应身份威胁 (ITDR),并能发出警报和撤销恶意更改。
Purple Knight 与 PingCastle:它们的共同点和不同之处
虽然这两款工具都可用于评估 Active Directory 安全性并支持 Entra ID/Azure AD 混合环境,但它们的侧重点并不相同。PingCastle 更注重…… 成熟度方法论 以及一份包含风险评分的“健康检查”报告;紫骑士专注于IOE/IOC,并提供一份极具可操作性的补救指南。 第一篇文章深入探讨了广告生态系统的“模型”和现状。而第二种方法则提供了非常丰富的快照,以便快速纠正错误。
就易用性而言,Purple Knight 的界面和精细的测试选择功能脱颖而出;在 PingCastle 中,域映射和报告整合功能在拥有众多林和信任的组织中表现出色。 在报道中,《紫骑士》按类别进行评分,并给出分数和百分比。PingCastle 提供整体健康评分,分数越低越好。
Purple Knight 的覆盖范围包括 AD、Entra ID/Azure AD 和 Okta,并将调查结果映射到 MITRE ATT&CK 和 ANSSI,优先进行补救。 PingCastle 则提供对委托、过期对象、本地权限和端点漏洞的分析。它还可以评估 Azure AD 的信任安全性。当安全边界变得模糊不清时,能够发现被遗忘的域并统一结果的功能就显得尤为重要。
在许可方面,Purple Knight 是一款免费工具(注册后提供);持续和纠正功能属于 Semperis DSP,它是商业软件。 PingCastle 提供免费的基础版供个人使用。 以及提供扩展功能、支持和可扩展性的付费版本(审计员/标准版、专业版、企业版)。
该选哪一个呢?如果您想要快速、清晰的评估以及优先排序的维修指导,那么 Purple Knight 就是您的理想之选。 如果您需要的是一种包含领域映射和风险整合的成熟度评估方法,那么您需要的是一种成熟度评估方法。 对于成百上千个细分市场,PingCastle 可能更合适,尤其是其付费版本。实际上,许多组织会同时使用这两种工具:这种组合可以提供交叉验证和更深入的覆盖。
实施的具体细节和结果
这两个工具都是便携式的,在大多数情况下都可以使用标准用户凭据运行,主要通过读取来收集数据。 这使得资源有限的团队更容易采用。 并且避免与生产系统产生摩擦,因为它们不会进行更改。
Purple Knight 将结果以 HTML 格式存储,具有逻辑结构和文档链接,以及突出显示紧急事项的清单。 按严重程度细分并参考相关框架 它为首席信息安全官 (CISO) 和技术团队提供背景信息。PingCastle 则提供一份报告,其中包含评分、优先级排序的调查结果,以及(如果需要)汇总视图,以便于制定关键绩效指标 (KPI) 和进行季度监控。
警告和操作注意事项
使用 PingCastle 时,在多林环境或数十个域中,可能需要额外的工作来浏览和确定优先级。 基础版缺少高级功能和全面的校对指南。这些功能包含在付费许可证中。Purple Knight 仅提供一次性评估,不能替代持续监控系统,其自动缓解功能在免费版本中也不可用。
它们都不是为了作为 AD 的 IDS/IPS 而设计的;它们是诊断补充工具,用于制定补救和成熟度计划。 在需要实时警报和响应的场景中ITDR 解决方案(例如 Semperis DSP)或持续审计服务就能派上用场。
其他与生态系统相辅相成的工具
当重点在于连续性以及记录每次更改及其上下文时,Netwrix Auditor 可在 Active Directory 和其他系统(Exchange、SQL Server、SharePoint、Microsoft 365、Teams 等)中提供变更控制。 它的主要功能是提醒用户注意可疑的修改。 (例如,如果将用户添加到域管理员组)并维护配置历史记录,其中包含对治理有用的视图。
为了了解攻击路径和控制关系,BloodHound 是一款经典的开源 (GPL-3.0) 工具,它使用 SharpHound 和 AzureHound 等编译器对 AD 中的对象、关系和权限进行建模。 这对红队和蓝队都至关重要。 想要可视化通往关键目标的“最短路径”并封锁攀登路线的人。
在实时响应和监控领域,Semperis 的目录服务保护器 (DSP) 可对 AD 和 Entra ID 中的恶意更改进行持续监控、警报,甚至自动回滚。 它在点评估中起到了缺失的 ITDR 层的作用。 并加快身份盗窃事件的遏制。
法国数据安全局 (ANSSI) 提供诸如用于 Active Directory 的 ORADAD 和用于 Azure/Entra 的 ORADAZ 等实用程序,用于高级审计。虽然数据收集是公开的,但完整的数据处理需要使用未公开的工具。 对于遵循政府指导方针的团队来说,这些都是很有价值的参考资料。 或者希望使审计工作与公认的最佳实践保持一致。
一些市场比较显示,提供的产品和服务包括托管和各种部署方式(Windows 服务、便携式、本地部署或 SaaS)、与 MITRE ATT&CK 的关联性、导出到 CSV、多租户功能以及以文档化的方式接受风险的选项。 实际上,选择的关键在于平衡现场审计、事件检测和持续治理。考虑到预算、许可(某些情况下可免费供个人使用)和合作伙伴支持。
常见问题:我可以阻止用户运行这些工具吗?
当您发现某些便携式工具无需管理员权限即可运行时,这是一个常见的问题。通常情况下,Purple Knight 和 PingCastle 以只读模式运行,仅授予用户查询目录的权限。 如果你的目标是限制其执行,那么应用程序控制就派上用场了。诸如 AppLocker 或 Windows Defender 应用程序控制 (WDAC) 之类的策略,或者软件限制规则,有助于限制未经授权的二进制文件。此外,加强 Active Directory 中的权限可以减少普通用户接触敏感数据的风险。
也就是说,AD 安全模型假定某些信息可供已认证用户读取,因为许多应用程序都依赖于这些信息。 有效的缓解措施包括加强授权、审计控制路径和减少权限。使用这些工具来检测和纠正那些不应该可见或启用的内容。预防措施不应仅仅依赖于阻止可执行文件,而应在配置层面消除攻击面。
常见用例和智能组合
对于需要快速诊断和清晰故障排除指南的小型 IT 团队来说,Purple Knight 将是理想之选。 按严重程度进行优先级排序及其与相关框架的映射 它允许用户准备渗透测试、展示进度并向管理层传达风险。同时,定期进行的内部审计和为多个领域提供服务的咨询公司也能从 PingCastle 的成熟度模型、领域映射和整合功能中受益。
许多组织在不同的周期运行这两个工具以获得互补的见解:首先使用 IOE/IOC 进行“快照”,然后使用综合健康检查审查流程和成熟度。 交叉验证可以减少漏报,并提高补救措施的优先级排序。加快弥合关键差距,并在中期内提高身份卫生水平。
没有万全之策。做出正确的选择需要将需求与能力相匹配:是采用带有指导性指南的快照式评估,还是成熟度模型和路线图?是进行一次性评估,还是采用信息技术灾难恢复 (ITDR) 进行持续监控? 答案通常是“是的,而且……”,而不是斩钉截铁的“或者”。结合免费评估和根据风险和预算量身定制的监控解决方案。
如果目标是可持续地提升身份安全,建议定期进行评估,审查授权和信任关系,并维护账户安全、GPO(以及) ADMX 文件)和 Kerberos。 Purple Knight 和 PingCastle 的结合使用,再加上变更审计层和/或 ITDR(信息技术灾难恢复)机制。它在早期发现、优先纠正和持续监测 AD 和 Entra ID 的状态之间实现了适当的平衡。