前言

AD现状评估实施方案是针对目前AD现状的评估调研，其目的是通过执行checklist检查了解内部AD安全现状，后续有可以针对性的进行策略调优，安全审计，修补当前可能存在的风险，完善AD域安全的缺口，降低外部攻击带来的风险。

准备阶段

1. 获取一台关闭杀软，并加入安全设备白名单的普通域内用户主机。

2. Active Directory域控安全检测工具-Pingcastle（需要一个活动目录帐户来连接到AD进行审计，见附件）

3. 机器需要安装.net3.5环境

4. AD安全检查Powershell脚本（附件Invoke-TrimarcADChecks.ps1 执行仅需要运行AD用户权限）

5. zBang 工具(见附件zBang.exe)

6. Active Directory 错误配置Powershell脚本（附件Invoke-Locksmith.ps1）

7. Bloodhund平台(采集使用SharpHound.exe)

   
   

实施阶段

1) Pingcastle

①解压
②双击PingCastle.exe运行.
③选择第一项healthcheck,然后回车，输入输入域控ip
或者直接输入命令
PingCastle.exe --healthcheck --server 指定域控制器ip

2) Invoke-TrimarcADChecks.ps1

右键使用powershell运行，结果默认生成在C:tempTrimarc-ADReports
或者直接输入命令
PS> .Invoke-TrimarcADChecks.ps1

3) zBang.exe(https://github.com/cyberark/zBang)

PowerShell 版本 3 或更高版本和 .NET 4.5
①双击打开
②选择所有扫描选项进行扫描

4) Invoke-Locksmith.ps1

右键使用powershell运行
或者直接输入命令
PS> .Invoke-Locksmith.ps1 识别问题并输出到控制台

5) SharpHound.exe

直接输入命令SharpHound.exe -e all生成扫描结果压缩文件
部署Bloodhund平台，导入扫描结果进行分析

总结汇报阶段

记录和整理结果并输出相应的评估报告

原文始发于微信公众号（白帽子飙车路）：AD防御建设方案-AD现状评估实施方案(2)