kb-ad-audit-pingcastle - My Personal Knowledge Base

# Audit de sécurité AD avec PinCastle ## Présentation de PingCastle C'est un outil logiciel, utilisé pour réaliser un **audit de sécurité** des annuaires Active Directory et Entra ID. Il est édité par une **entreprise française** qui propose une **version gratuite** (pour un usage personnel) et plusieurs versions payantes (selon le niveau de prestation recherché). Ce **n’est pas une solution de protection**, c’est un outil d’analyse et de **détection des vulnérabilités**. L’objectif de cet outil est de vous **aider à sécuriser** votre annuaire. Les analyses sont présentées sous forme de rapports avec un score qui reflète le niveau de risque encouru. Par exemple : Un **score égal à 100** représente un AD avec un **niveau de risque maximal**. ![[_img-kb-ad-audit-pingcastle.png]] > [!info] À savoir ! Le niveau de risque n’est pas la même chose que le niveau de sécurité… ## Télécharger et installer PingCastle Dans cette étape, nous allons nous connecter au site [PingCastle](https://www.pingcastle.com/), télécharger et installer la solution. > [!danger] Attention ! Avec l’édition « Basique » par défaut, le programme peut être exécuté gratuitement, tant que vous n'en tirez aucun revenu. Par exemple, toute organisation à but lucratif peut l'utiliser pour auditer ses propres systèmes mais elle ne peut pas l’utiliser dans le cadre d’une prestation de service vendue à un client. > [!info] À savoir ! Pour réaliser un audit PingCastle, il n’est pas obligatoire d’être administrateur du domaine. Cenpendant l'utilisation d'un compte membre du groupe "Admins du domain" permet une analyse plus poussée. Connectez-vous sur [https://www.pingcastle.com/](https://www.pingcastle.com/) - Cliquez sur le menu « *Download* » - Cliquez sur le bouton « *Download* » pour télécharger la dernière version PingCastle disponible. Vous allez être redirigé vers le site netwrix.com : - Cliquez sur le bouton "*Free Download*" - Renseignez votre adresse mail. - Cliquez à nouveau sur Free Download. ![[_img-kb-ad-audit-pingcastle-1.png]]Le programme se télécharge sous forme de fichier zip (par exemple PingCastle_3.4.1.38.zip) - Créer un dossier nommé « *PingCastle* » à l’emplacement de votre choix sur **PC01**. - Décompressez l’ensemble des fichiers vers ce dossier. > [!info] À savoir ! Pour approfondir votre maîtrise de cet outil, consultez la documentation présente dans le dossier : "*Active Directory Security Self Assessment v1.4.pdf*" et "*PingCastle v3.0.0.pdf*" ## Exécuter un audit de sécurité Active Directory Pour cette démonstration, notre domaine Active Directory est composé d’une forêt contenant un unique domaine racine **m2l.fro**, géré par un unique contrôleur de domaine nommé « **AD01** ». Nous travaillerons donc un environnement mono-forêt, mono-domaine et mono-contrôleur. Nous allons à présent exécuter une première analyse d’audit Active Directory de votre domaine. - Ouvrez le dossier d’installation PingCastle - Double-cliquez sur « PingCastle.exe » ![[_img-kb-ad-audit-pingcastle-2.png]] - La console se lance, choisissez l’option « **1-healthcheck-score the risk of a domain** ». ![[_img-kb-ad-audit-pingcastle-3.png]] Activer le mode avec « Privilèges » : ![[_img-kb-ad-audit-pingcastle-4.png]] Si le poste sur lequel s'exécute PingCastle est membre du domaine, l'outil le détecte par défaut : ![[_img-kb-ad-audit-pingcastle-5.png]] Appuyez sur la touche « **Entrée** », et patientez jusqu’à la fin de l’analyse. ![[_img-kb-ad-audit-pingcastle-6.png]] En parcourant les journaux de cette analyse, on peut constater que différents éléments sont analysés tels que : - Les objets utilisateurs, ordinateurs, groupes, GPO, etc. - Les relations d’approbations, les permissions, les données de délégation, etc. - Les rôles ou fonctionnalité liée à AD DS telles que : DNS, PKI, etc. - Certaines applications fortement liées à l'AD telles que SCCM, Exchange, WSUS, etc. À la fin de l’analyse, appuyez sur une touche afin de fermer la console et rendez-vous dans le dossier d’installation de PingCastle. Vous trouverez 2 rapports. Dans notre cas : - L'un au format HTML « ad_hc_m2l.fro.html » - L'autre au format XML « _ad_hc_m2l.fro.xml». > [!danger] Attention ! Si vous exécutez l’audit une nouvelle fois **ces fichiers seront écrasés** ! > [!info] À savoir ! Pensez à renommer ou déplacer systématiquement vos rapports afin de conserver l’historique de vos analyses. ## Analyser un rapport PingCastle Nous allons à présent ouvrir un rapport, et apprendre à lire son contenu. - Ouvrez le rapport « ad_hc_domain.vmw**.html** » avec un navigateur web. - Vous devriez avoir un score similaire à celui-ci : ![[_img-kb-ad-audit-pingcastle-7.png]] > [!info] À savoir ! La première zone nommée "Active Directory Indicators" permet d'avoir le niveau de risque de votre domaine. La note peut varier de 0 à 100, plus cette note est élevée, moins votre Active Directory est sécurisé ! Dans notre exemple, le score de notre niveau de risque pour le domaine « m2l.fro » est de 60/100. Cette note représente la note la plus élevée des 4 catégories d’indicateurs. On peut identifier 4 catégories d’indicateurs : - **Stale Object** : Analyses liées aux utilisateurs ou aux ordinateurs. - **Privileged Accounts** : Analyses liées aux comptes AD avec des privilèges élevés (Administrateurs). - **Trusts** : Analyses liées aux relations d'approbations entre les domaines Active Directory. - **Anomalies** : Analyses liées à d'autres aspects de la configuration, mais qui impactent la sécurité de l’AD. On peut en déduire que l'installation par défaut de l'AD sous Windows Server ne garantit pas un niveau de sécurité assez important. > [!info] À savoir ! Le bouton « Compare with statistics » permet de situer nos résultats par rapport aux autres utilisateurs de PingCastle (environ 50 000 domaines testés). Plus bas dans votre rapport, vous devriez trouver un tableau nommé « **Risk model** », qui détaille un peu plus les risques encourus, par catégorie. ![[_img-kb-ad-audit-pingcastle-8.png]] En cliquant sur les cases de ce tableau, vous pourrez lire des détails complémentaires concernant les règles analysées. ![[_img-kb-ad-audit-pingcastle-9.png]] Par exemple, quand je clique sur la case « _Pass-The-Credential_ », les informations complémentaires s'affichent : - Le service “Spooler” (gestion des impressions) est accessible à distance depuis un contrôleur de domaine (le nôtre). - LAPS (Local Administrator Password Solution) n’est pas installé. Pour en savoir plus, nous allons parcourir le rapport PingCastle, vous trouverez la liste des points de sécurité à améliorer. > [!info] À savoir ! Pour chaque règle, il y a un nom, le nombre de points, ainsi qu'une description, une explication technique, des conseils pour solutionner ce problème et des liens vers des documentations et procédures de remédiation. Par exemple ci-dessous, dans la section "*Anomalies analyzis*" on peut prendre connaissance des détails relatifs au point de contrôle nommé "*Ensure that the Spooler service cannot be abused to get the DC credentials*". ![[_img-kb-ad-audit-pingcastle-10.png]] Pour mieux comprendre cette alerte et appliquer les solutions techniques adaptées, consultez l'article dédié à la règle [[kb-win-desactiver-service-spouleur|A-DC-Spooler]]. Une fois cette faille corrigée, relancer une analyse PingCastle et constaté les bénéfices sur le niveau de sécurité de votre AD. > [!done] Félicitations ! Vous savez à présent installer PingCastle, générer un rapport et l'exploiter pour améliorer la sécurté de votre AD.