前言
AD现状评估实施方案是针对目前AD现状的评估调研,其目的是通过执行checklist检查了解内部AD安全现状,后续有可以针对性的进行策略调优,安全审计,修补当前可能存在的风险,完善AD域安全的缺口,降低外部攻击带来的风险。
准备阶段
-
获取一台关闭杀软,并加入安全设备白名单的普通域内用户主机。
-
Active Directory域控安全检测工具-Pingcastle(需要一个活动目录帐户来连接到AD进行审计,见附件)
-
机器需要安装.net3.5环境
-
AD安全检查Powershell脚本(附件Invoke-TrimarcADChecks.ps1 执行仅需要运行AD用户权限)
-
zBang 工具(见附件zBang.exe)
-
Active Directory 错误配置Powershell脚本(附件Invoke-Locksmith.ps1)
-
Bloodhund平台(采集使用SharpHound.exe)
实施阶段
1) Pingcastle
①解压
②双击PingCastle.exe运行.
③选择第一项healthcheck,然后回车,输入输入域控ip
或者直接输入命令
PingCastle.exe --healthcheck --server 指定域控制器ip
2) Invoke-TrimarcADChecks.ps1
右键使用powershell运行,结果默认生成在C:tempTrimarc-ADReports
或者直接输入命令
PS> .Invoke-TrimarcADChecks.ps1
3) zBang.exe(https://github.com/cyberark/zBang)
PowerShell 版本 3 或更高版本和 .NET 4.5
①双击打开
②选择所有扫描选项进行扫描
4) Invoke-Locksmith.ps1
右键使用powershell运行
或者直接输入命令
PS> .Invoke-Locksmith.ps1 识别问题并输出到控制台
5) SharpHound.exe
直接输入命令SharpHound.exe -e all生成扫描结果压缩文件
部署Bloodhund平台,导入扫描结果进行分析
总结汇报阶段
记录和整理结果并输出相应的评估报告
原文始发于微信公众号(白帽子飙车路):AD防御建设方案-AD现状评估实施方案(2)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论