Osiguravanje Active Directory (AD) je kritičan prioritet za organizacije. Pogrešne konfiguracije u AD-u, kao što su prekomjerne dozvole, zastarjeli protokoli ili nezaštićeni servisni računi, uobičajene su mete napadača.
Tradicionalne metode ručnog pokretanja nepovezanih PowerShell skripti za reviziju AD okruženja oduzimaju mnogo vremena, podložne su greškama i nisu prilagođene modernim sigurnosnim zahtjevima.
Kako bi popravili ovaj jaz, profesionalci za sajber sigurnost Niels Hofland i Justin Perdok razvili su InvokeADCheck, PowerShell modul otvorenog koda dizajniran da automatizuje procjenu sigurnosti AD i precizno identifikuje ranjivosti.
InvokeADCheck za AD procjene
Projekat je proizašao iz praktičnih izazova sa kojima su se suočili tokom AD revizija. „Tokom procijene, imao sam muke sa kolekcijom pojedinačnih skripti kojima je nedostajala dosljednost u formatiranju i izlazu“, objasnio je Hofland.
Postojeći alati, kao što je Invoke-TrimarcADChecks Seana Metcalfa, dali su inspiraciju, ali su bili ograničeni na šume sa jednom domenom. U saradnji sa Pereirom, tim je iskoristio okvir ModuleBuild da refaktoriše različite skripte u jedinstveni alat sposoban da proceni različite AD konfiguracije.
InvokeADCheck obavlja preko 20 ciljanih provjera u ključnim sigurnosnim područjima:
- Ranjivosti naloga : Neaktivni korisnici, podrazumijevane postavke administratora i status naloga gosta.
- Rizici grupne politike : pogrešno konfigurisani objekti grupne politike (GPO) i izloženi akreditivi u preferencijama grupne politike (GPP).
- Nedostaci delegiranja : Kerberos postavke delegiranja i nezaštićeni servisni nalozi.
- Zdravlje domena : Funkcionalni nivoi, životni vijek nadgrobnog spomenika i status rezervne kopije.
Konsolidacijom ovih provjera, modul eliminiše potrebu za ručnim izvršavanjem skripte, smanjujući ljudske greške i osiguravajući sveobuhvatnu pokrivenost.
Fleksibilnost alata blista u njegovim izlaznim opcijama. Administratori mogu pokrenuti određene provjere (npr. Invoke-ADCheck -Checks UserAccountHealth, GPO) ili izvršiti potpuna skeniranja, s rezultatima prikazanim u interface-u komandne linije (CLI) ili izvezenim u JSON, Excel ili CSV formate. Na primjer, UserAccountHealthprovjera označava račune s lozinkama koje nisu istekle ili zastarjelim datumima posljednje prijave dok GPPPasswordotkriva dugotrajne kredencijale u SYSVOL-u – uobičajenom vektoru napada.
powershellPS C:\> Invoke-ADCheck -Checks UserAccountHealth -OutputTypes CLI, XLSX -OutputPath C:\Reports
Rezultati naglašavaju kritične probleme crvenom bojom, kao što su anonimni LDAP pristup ili DCSync privilegije dodijeljene neadministratorima. Prateći Excel izvještaj sadrži detalje o nalazima na nivou atributa, omogućavajući prioritetnu sanaciju.
Arhitektura modula razdvaja probleme na 30+ privatnih funkcija (npr. Get-IADKerberosDelegation, Write-IADOutput) i javnu Invoke-ADCheckfunkciju koja rukuje raščlanjivanjem parametara i formatiranjem izlaza. Upravljanje ovisnošću osigurava da se preduslovi kao što je AD PowerShell modul automatski instaliraju.
InvokeADCheck je optimizovan za manja okruženja sa jednom domenom. „Veća preduzeća sa postavkama sa više šuma trebalo bi da razmotre komplementarne alate kao što su PingCastle ili komercijalna rešenja“, primjećuje Pereira. Programeri takođe upozoravaju da, iako alat identifikuje rizike, kontekstualna analiza stručnjaka za AD ostaje ključna.
Dostupan na GitHubu pod dopuštenom licencom, InvokeADCheck podstiče doprinos zajednice. Planirana poboljšanja uključuju cloud-hibridne AD provjere i integraciju sa MITER ATT&CK okvirima.
Ovaj alat nudi pragmatičnu ravnotežu između automatizacije i granularnosti za timove koji imaju ograničene resurse, ali su posvećeni sigurnosti AD, dokazujući da moderna PowerShell rješenja mogu ojačati čak i najsloženije direktorije.
Izvor: CyberSecurityNews
