Production Perig - stock.adobe.c
Active Directory: Per Freeware Sicherheitslücken aufspüren
Mit dem kostenlosen Tool PingCastle können Administratoren ihr Active Directory nach Sicherheitslücken durchforsten. Hier die Vorgehensweise Schritt für Schritt erklärt.
Das kostenlose Tool PingCastle kann ohne Installation die Domänencontroller im Netzwerk auf Sicherheitslücken bei der Konfiguration von Active Directory untersuchen. Im Fokus des Tools stehen Sicherheitseinstellungen der Domänencontroller und von Active Directory. Es ist also durchaus sinnvoll, regelmäßig zu überprüfen, ob es im eigenen Active Directory Sicherheitslücken gibt.
Werden die erkannten Lücken geschlossen, können Unternehmen die Sicherheit ihrer Umgebung verbessern und mit Hilfe des Tools immer auf dem Laufenden halten. Vor allem nach Änderungen im Active Directory, wie dem Hinzufügen neuer Domänen oder Domänencontroller, ist es sinnvoll, erneut einen Scan-Vorgang zu starten. Das Tool steht als ZIP-Datei zum Download zur Verfügung.
Domäne mit PingCastle scannen
Nachdem das Tool gestartet wurde, scannt es die Domänencontroller mit mehreren Dutzend Regeln. Dazu gehört auch das Auffinden von veralteter und nicht mehr verwendeter Konten und Computer im Netzwerk. Auch Berechtigungen und gespeicherte Kennwort- und Gruppenrichtlinien werden untersucht. Das Tool scannt zudem die Konten im Active Directory auf nicht abgelaufene Kennwörter oder Konten, die kein Kennwort nutzen.
Zum Starten reicht es aus, die Datei pingcastle.exe auszuführen. Das Tool läuft komplett in der Befehlszeile. Die Ausführung kann auf Windows-Arbeitsstationen genauso erfolgen wie auf Domänencontrollern. Wer umfangreichere Informationen zum Tool benötigt, findet im Verzeichnis eine PDF-Datei. Neben dem Standardstart können mit dem Tool natürlich mehrere Optionen verwendet werden. Die Option --carto erstellt zum Beispiel eine Karte der Umgebung.
Die Optionen sind auch in der Hilfe zu finden. Für die meisten Umgebungen reicht es aber aus, zunächst mit pingcastle.exe den Standard-Modus zu verwenden. Um einen Health Check der Umgebung durchzuführen, wird der folgende Befehl verwendet:
PingCastle --healthcheck --server mydomain.com
Die einzelnen Aufgaben dazu werden in der Befehlszeile angezeigt. Sobald PingCastle seine Arbeit abgeschlossen hat, wird das Fenster der Eingabeaufforderung geschlossen und der Bericht kann geöffnet werden. Für jede Active-Directory-Umgebung legt PingCastle einen HTML-Bericht an. Dieser kann zum Beispiel im Browser geöffnet werden. Auch eine XML-Datei wird erstellt. Im Bericht ist eine Zusammenfassung zu sehen und eine Punktebewertung für einzelne Bereiche. Das Tool PingCastleReporting.exe kann Berichte erstellen, die mit Excel oder PowerPoint angezeigt werden können.
Kleine und große AD-Umgebungen scannen
Der Vorteil von PingCastle besteht darin, dass das Tool mit kleinen Umgebungen und einer bis wenigen Domänen genauso gut zurechtkommt wie mit großen Umgebungen und vielen Vertrauensstellungen. Wird der interaktive Modus gestartet, also PingCastle ohne weitere Optionen aufgerufen, kann beim Scannen die Domäne eingegeben werden, die das Tool scannen soll.
Erfolgt der Start von PingCastle auf einem Computer, der Mitglied der Domäne ist, wird die entsprechende Domäne automatisch verwendet. Natürlich kann die Domäne auch manuell eingegeben werden. Wird als Name der Domäne der Platzhalter „*“ genutzt, scannt PingCastle alle Domänen, die es finden kann, auf Basis der Berechtigungen des angemeldeten Benutzers. Es sind keine Administrator-Rechte notwendig, um das Tool zu nutzen.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!