[AD DS Security] Utilisez PingCastle

 

Nous avons parlé dans un précédent article de l'outil « PolicyAnalyzer » inclut dans Microsoft Security & Compliance Toolkit.

Dans cet article, nous allons voir un autre outil pour analyser la sécurité de votre environnement Active Directory.

PingCastle est un outil gratuit dans version « basic », lorsque vous faites une analyse de votre environnement Active Directory.

Si vous souhaitez l'utiliser dans le cadre de prestations rémunérées, il vous faudra acquérir le produit. Vous trouverez plus de détail sur les licences ici.

Cet outil, édité par une entreprise française, permet de générer un rapport avec un score sur les risques. Le but pour un administrateur est de réduire le score et donc le risques.

PingCastle est un outil en ligne de commande et donc scriptable qui vous permet de générer un rapport.

Vous pouvez télécharger l'application en suivant ce lien.

Une fois que vous avez téléchargé le fichier zip, il suffit d'extraire son contenu dans un dossier.

 

Le programme « PingCastle.exe » vous permet d'exécuter une analyse. Le programme « PingCastleAutoUpdater.exe » vous permet de mettre à jour votre version.

 

Le fichier « PingCastle.exe.config » sous format XML permet de modifier la configuration comme l'ajout d'information d'envoi de rapport par SMTP.

 

 

Vous trouverez un guide sur les recommandations pour améliorer la sécurité de votre AD et une documentation sur la version de Ping Castle en version pdf.

Pour exécuter une analyse, vous devez lancer l'application « PingCastle.exe ». Vous pourrez ensuite choisir si vous souhaitez créer un rapport ou consolider plusieurs analyses.

Vous pouvez également réaliser une carte des approbations de votre domaine ou effectuer un scan d'un élément précis.

Nous allons faire une analyse de risque de notre domaine.

 

Une fois l'analyse terminée, nous disposons d'une page html avec le rapport et d'un fichier xml.

 

 

Si vous n'avez pas modifié les paramètres par défaut de votre annuaire, votre score de risque sera très élevé, Microsoft n'imposant pas toutes les recommandations pour garantir la compatibilité.

Dans l'exemple présenté, nous sommes dans un environnement de test dédié à la rédaction de ces articles.

 

 

Sur la première partie du rapport html, vous trouverez des indicateurs sur le niveau de risque. Ping Castle attribue des points plus ou moins importants à chaque règle.

Il est facile de se retrouver à 100 même si toutes les règles n'indiquent pas des erreurs.

 

 

 

Après l'indication du niveau de risque, un tableau récapitulatif par thème permet d'affiner la vision des écarts par rapport aux tests générés par l'outil.

Vous trouverez ensuite les anomalies aux règles de l'outil.

 

Il est possible de cliquer sur le nom de l'anomalie afin d'afficher le détail, les recommandations pour améliorer la sécurité et des liens vers des articles.

 

 

 

Enfin, vous pouvez exécuter quelques tests spécifiques avec l'option « 4-scanner »

 

 

 

Si vous souhaitez exécuter une analyse par script afin de planifier ces opérations, vous pouvez utiliser PingCastle.exe en ligne de commande.

La commande suivante permet de faire une analyse sur le domaine spécifié :

PingCastle --healthcheck --server htrab.lan

Vous trouverez plus d'information sur l'automatisation dans le fichier PDF PingCastle v2.xx.0.pdf.

 

 

 

 

 

 

Theme: 

Systeme: 

Annee: 

Type: