PingCastle: ابزاری قدرتمند برای ارزیابی امنیت Active Directory
راهنمای جامع نصب، پیکربندی و تحلیل نتایج
چرا PingCastle ؟
Active Directory (AD) به عنوان قلب تپندهی زیرساختهای فناوری اطلاعات سازمانها، همواره هدف حملات سایبری پیچیدهای مانند Golden Ticket، DCSync و Kerberoasting است. ابزارهایی مانند PingCastle با ارائهی تحلیلی دقیق از آسیبپذیریهای AD، به سازمانها کمک میکنند تا قبل از وقوع فاجعه، نقاط ضعف را شناسایی و برطرف کنند. بر اساس آمار، ۸۵٪ از نفوذهای موفق به AD ناشی از پیکربندیهای نادرست است که PingCastle به طور خودکار آنها را تشخیص میدهد.
قابلیتهای کلیدی PingCastle
- ارزیابی ریسک خودکار:
- امتیازدهی ریسک (Risk Score) بر اساس شدت آسیبپذیریها.
- شناسایی حسابهای با امتیازات بیشازحد (Over-Privileged Accounts).
- تشخیص آسیبپذیریهای حیاتی:
- تنظیمات ناامن Delegation (مانند Unconstrained Delegation).
- وجود پروتکلهای منسوخ (NTLMv1، SMBv1).
- حسابهای قدیمی غیرفعالشده با دسترسیهای باقیمانده.
- گزارشهای تعاملی:
- خروجی HTML با نمودارهای گرافیکی و اولویتبندی مشکلات.
- راهکارهای عملی برای رفع هر آسیبپذیری.
نصب و اجرا: از دانلود تا اسکن اولیه
۱. دریافت آخرین نسخه
- دانلود از وبسایت رسمی: https://www.pingcastle.com.
- عدم نیاز به نصب: فایل اجرایی (EXE) قابل اجرا از Command Line.
۲. اجرای اسکن پایه
- دستور پیشفرض برای اسکن دامنه:bashCopyPingCastle.exe –healthcheck –server <DomainName>
- خروجی: فایل HTML با نام Healthcheck-<DomainName>-Date.html.
۳. گزینههای پیشرفته
- اسکن با учетورزی خاص:bashCopyPingCastle.exe –healthcheck –server <DomainName> –user <Username> –password <Password>
- اسکن Focused برای شناسایی حملات خاص:bashCopyPingCastle.exe –ruleset DCSync,GoldenTicket,Kerberoasting
تحلیل گزارش نمونه: چه چیزی را بررسی کنیم؟
الف) بخش Risk Assessment
- امتیاز کلی ریسک (۰-۱۰۰):
- سبز (۰-۳۰): امنیت قابل قبول.
- نارنجی (۳۱-۷۰): نیاز به بهبود فوری.
- قرمز (۷۱-۱۰۰): خطر فوری نفوذ!
ب) آسیبپذیریهای حیاتی
۱. Unconstrained Delegation:
- خطر: مهاجمان میتوانند سرویسها را جعل کرده و به عنوان کاربران دیگر عمل کنند.
- راهکار: استفاده از Constrained Delegation یا Resource-Based Delegation.
۲. Obsolete Operating Systems:
- مثال: وجود سرورهای Windows Server 2008.
- راهکار: بهروزرسانی به نسخههای پشتیبانیشده مانند 2022.
۳. AdminCount=1 بدون نیاز واقعی:
- خطر: حسابهای عادی با امتیازات مدیریتی پنهان.
- رفع: بازنشانی مقدار AdminCount با PowerShell:powershellCopySet-ADUser -Identity <Username> -Replace @{adminCount=$null}
مقایسه PingCastle با سایر ابزارها
| ابزار | نقاط قوت | نقاط ضعف |
|---|---|---|
| PingCastle | گزارشهای خودکار، تمرکز بر AD | عدم شناسایی حملات لایه کاربر |
| BloodHound | تجسم گرافیکی روابط پیچیده | نیاز به دانش عمیق از Cypher |
| PurpleKnight | یکپارچهسازی با MITRE ATT&CK | هزینه بالای لایسنس |
بهترین شیوههای استفاده از PingCastle
۱. اجرای دورهای: اسکن ماهانه AD برای شناسایی تغییرات غیرمجاز.
۲. ادغام با فرآیندهای موجود:
- استفاده از نتایج در Patch Management و Privileged Access Management (PAM).
۳. آموزش تیمها: اشتراکگذاری گزارشها با تیمهای امنیت و فناوری اطلاعات.
سناریوی عملی: چگونه یک حمله Kerberoasting را کشف کنیم؟
- مرحله ۱: اجرای PingCastle با دستور:bashCopyPingCastle.exe –ruleset Kerberoasting
- مرحله ۲: بررسی بخش “Accounts with SPN susceptible to Kerberoasting” در گزارش.
- مرحله ۳: اعمال راهکارها:
- فعالسازی AES Encryption برای تمام حسابهای سرویس.
- پیادهسازی Managed Service Accounts (MSA).
