steke0
Goto Top

AD Security Tool gesucht

Hallo zusammen,

wir evaluieren aktuell verschiedene Tools zur Verbesserung der Sicherheit unserer AD Kundenumgebungen. Hier haben wir bereits PingCastle getestet. Bevor wir uns jedoch endgültig für dieses Tool entscheiden, möchten wir uns einen Überblick über andere Tools verschaffen. Ein anderes Tool, das ich mir angesehen habe, ist PurpleKnight, das auch vielversprechend aussieht.

Was für für Tools nutz ihr? Wie härtet ihr eure AD oder Überprüft die härtung?

Im Grunde soll die Software die "Basic" Usecase abdecken.

-Sicherheitsbewertung
-Identifikation von Konfigurationsproblemen
-Erkennung von Anomalien und verdächtigen Aktivitäten
-Best Practices und Empfehlungen
-Compliance-Überprüfung
-Visualisierung von Berechtigungen und Beziehungen
-freundliche GUI/Benutzerfreundlich (übersichtlich, schnell erklärend)

Content-Key: 2117563162

Url: https://administrator.de/contentid/2117563162

Printed on: April 13, 2024 at 12:04 o'clock

Member: Dawnbreaker
Dawnbreaker Jan 26, 2024 at 19:23:18 (UTC)
Goto Top
Hi,

ich nutze seit langer Zeit schon PingCastle und bin vollkommen zufrieden.

Für die Visualisierung von Berechtigungsstrukturen etc. u.A. auch gegenüber Vorgesetzten verwende ich bevorzugt Bloodhound.

LG
Member: Spirit-of-Eli
Spirit-of-Eli Jan 26, 2024 at 19:47:03 (UTC)
Goto Top
Für die Visualisierung z.B. von Berechtigungsstrukturen kommt mmn. Kein Tool an DocuSnap heran.
Member: preysa
preysa Jan 27, 2024 at 08:05:06 (UTC)
Goto Top
Ich schmeiße mal Purple Knight in die Runde.

Grüße
Member: Dani
Dani Jan 27, 2024 at 10:48:32 (UTC)
Goto Top
Moin,
-Sicherheitsbewertung
-Best Practices und Empfehlungen
-Compliance-Überprüfung
von wem...Microsoft, BSI oder des Software Herstellers.

-Erkennung von Anomalien und verdächtigen Aktivitäten
Auf dem DC oder auf der gesamten Domäne und damit auch auf Servern und Clients?!

-Visualisierung von Berechtigungen und Beziehungen
Reden wir von Berechtigungen im Active Directory, sprich auf Forest, OUs, etc. oder geht es um Berechtigungen ala RDP, NTFS, Exchange, etc.

-freundliche GUI/Benutzerfreundlich (übersichtlich, schnell erklärend)
Wünschen darf man sich. face-wink Schlussendlich ist das relativ. Frage 4 Menschen und du hast 5 Ansichten.


Gruß,
Dani
Member: Festus94
Festus94 Jan 27, 2024 at 12:49:39 (UTC)
Goto Top
Hi @Steke0,

wir setzen PingCastle seit längerer Zeit sehr zufrieden ein. Bei dem geringen Preis von 2.200 Euro pro Jahr ist das Tool ein No Brainer. Da gib's nix zu überlegen. Einfach kaufen!

PurpleKnight ist ebenfalls ein gutes Tool, allerdings hast du weitreichende Überschneidungen mit PingCastle.

Was das Thema Visualisierung von Berechtigungsstrukturen angeht: PingCastle (im kleinen Rahmen als Basis) und BloodHound zeigen Lateral Movement Paths im AD auf. Die Idee ist nicht, Berechtigungsstrukturen im Allgemeinen zu visualisieren. Ich kenne DocuSnap nicht, aber das sind meiner Meinung nach zwei Paar Schuhe. face-smile

Ein weiterer Vertreter in der Kategorie AD Security Analysis könnte in Kürze TRIMARC Vision sein. Das hatte ich aber noch nicht in den Fingern. Es dürfte sich aber auch mit PingCastle und Co. überschneiden.

Viele Grüße

Festus
Member: Steke0
Steke0 Jan 29, 2024 at 15:49:07 (UTC)
Goto Top
Danke für die Antworten face-smile
@Dawnbreaker PingCastel in Kombi mit BloodHound hört sich vielversprechend an.

schmeiße mal Purple Knight in die Runde.
@preysa Welche Erfahrungen konntet ihr damit machen? Habt ihr vergleichbare Tools verglichen?


@Dani
von wem
best practice von MS

Auf dem DC oder auf der gesamten Domäne und damit auch auf Servern und Clients?!
Primär geht es nur um den DC, wenn wir hier allerdings noch Serverseititg arbeiten können wär das um so besser. Ich vermute aber dazu muss man dann eher auf ein anderes Tools zurückgreifen.

Reden wir von Berechtigungen im Active Directory, sprich auf Forest, OUs, etc.
Auch hier liegt das Hauptaugenmerkt auf der AD.

Frage 4 Menschen und du hast 5 Ansichten.
Da hast du auch wieder recht.. dennoch lässt sich grob abschätzen ob die Oberfläche leicht zu verstehen ist :D


@Festus94
Naja wenn wir es dann nicht nutzen sind die 2000€ doch etwas unnötig :D
aber auch hier fällt wieder die Kombi PingCastel und Bloodhound, scheint wohl das mittel der Wahl zu sein.

TRIMARC Vision
Was ich hier auf die schnelle feststellen konnte, ist die Möglichkeit auch Azure AD & Microsoft Office 365 zu überprüfen, macht das ganze ziemlich attraktiv.
Member: Dani
Dani Jan 29, 2024 at 19:12:56 (UTC)
Goto Top
Moin,
best practice von MS
https://learn.microsoft.com/en-us/windows/security/operating-system-secu ...
https://www.microsoft.com/en-us/download/details.aspx?id=55319

Primär geht es nur um den DC, wenn wir hier allerdings noch Serverseititg arbeiten können wär das um so besser. Ich vermute aber dazu muss man dann eher auf ein anderes Tools zurückgreifen.
Damit gewinnst du keinen Blumentopf. Was nutzt es wenn die Server gehärtet sind, aber über einen Client primitiv ein NTLM Relay Angriff durchgeführt werden kann.

Auch hier liegt das Hauptaugenmerkt auf der AD.
Ich wiederhole mich gerne nochmals: Geht es dir um Die Berechtigungen auf dem DC bzw. AD?

Da hast du auch wieder recht.. dennoch lässt sich grob abschätzen ob die Oberfläche leicht zu verstehen ist :D
Kann zu den genutzten Tools nichts sagen, weil wir keines davon nutzen. Wir sind bei CrowdStrike zu Hause.


Gruß,
Dani
Member: clSchak
clSchak Feb 06, 2024 at 18:16:32 (UTC)
Goto Top
Wenn du Schwachstellenmanagement betreiben möchtet:

  • Tenable
  • Enginsight
  • Greenbone

um mal ein paar gängige zu nennen. Additiv dann so Tools wie PurpleKnight, PingCastle oder was man auch immer einsetzten möchte. Um die ersten "groben" Schnitzer im AD zu finden ist die kostenlose Edition von PurpleKnight schon ein guter Einstig. Hat bei uns ein paar "Leichen" ans Tageslicht befördert die sich ganz tief, hinter der letzten Kiste im Heizungskeller verkrochen haben face-wink.

Es ist fast egal welches Tool du am Ende einsetzt, wichtig ist: Regelmäßig prüfen und einen Prozess / Ablauf implementieren der die Behebung des Problems betrifft, der bunte PDF Bericht bringt rein garnichts, wenn die gefundenen Probleme nicht behoben / dokumentiert werden. Schlussendlich gilt (wie beim Bund damals): "Melden macht frei und belastet den Vorgesetzten!" face-smile

Wir führen mit passenden Tools regelmäßige PenTests gegen unsere eigenen System durch, alleine um sicherzustellen, dass nicht plötzlich auf irgendeiner Kiste ungewollte Einstellungen vorhanden sind weil ein Skript bei der Installation ein "ok" geliefert hat, aber 90% geskippt wurden.

Just my 2 Cent
@clSchak