5 herramientas para auditar Active Directory
¿Qué tenemos en la caja?
¿Le gustaría auditar el Directorio Activo de su empresa, pero no sabe cómo? Este artículo le dará algunas pistas, ya que enumera 5 paquetes de software esenciales para auditar su Active Directory. Gracias a estos análisis de software, podrá aumentar el nivel de seguridad de su directorio AD obteniendo una lista de puntos a mejorar.
Este artículo simplemente presenta el software que recomiendo para auditar el Directorio Activo y contiene enlaces a recursos externos (sitios oficiales, tutoriales, etc.) para que puedas profundizar en el tema.
Active Directory es con frecuencia el objetivo de los hackers en los ataques informáticos. Cuando este directorio se ve comprometido, los hackers pueden acceder a muchos recursos, ya que gestiona el acceso a los recursos y la autenticación. Dado que se trata de un objetivo prioritario, es necesario protegerlo adecuadamente.
1. PingCastle
PingCastle es un paquete de software francés publicado por Vincent Le Toux que es una de las mejores maneras de auditar un Directorio Activo. La última versión también incluye la capacidad de auditar Azure Active Directory.
Este software es gratuito si audita usted mismo su Directorio Activo. En cambio, tendrás que adquirir una licencia si piensas utilizarlo como parte de un servicio comercial para una empresa. La licencia también sirve para desbloquear determinadas funciones.
En sólo unos segundos, analiza su Active Directory y genera un informe con una puntuación global que representa el nivel de riesgo de su Active Directory. Cuanto más baja sea la puntuación, mejor. Se ofrecen explicaciones para cada punto de seguridad: esencial para ayudarle a mejorar la seguridad de su directorio.
Recursos relacionados :
2. Caballero púrpura
Purple Knight es un programa informático estadounidense publicado por Semperis que es totalmente gratuito. y genera informes de seguridad exhaustivos sobre Active Directory y Azure Active Directory.
Purple Knight es de uso gratuito y Semperis comercializa un paquete de software más completo para ir más allá. Esta versión gratuita ya es muy completa, ¡y lo que me encanta es la relación entre sus recomendaciones y las de la guía ANSSI!
También analiza su Directorio Activo en sólo unos segundos y comprueba 100 puntos de seguridad diferentes. Se genera un informe para decirle lo que es bueno y lo que no lo es tanto. Cuanto mayor sea la puntuación, mejor, a diferencia de PingCastle. Es una herramienta con una interfaz agradable que complementa a PingCastle (lo contrario también es cierto).
Recursos relacionados :
3. BloodHound
BloodHound (sí, sí, lo que significa Perro de Saint-Hubert es una herramienta muy popular para auditar el Directorio Activo y es imprescindible para cualquiera que haga pentesting. Es una herramienta de código abierto con licencia GPL-3.0 que tiene como objetivo grafique su Active Directory. También está disponible una versión empresarial de pago por uso en modo SaaS.
Con él, obtendrá un mapa del Directorio Activo con los distintos objetosTambién contiene las propiedades de estos objetos y las relaciones entre los distintos objetos. Cuando se prevea un ataque, en el marco de una prueba de intrusión por ejemplo, será muy útil ya que contiene consultas predefinidas que pueden servir de orientación. Por ejemplo, tomando como punto de partida la máquina BloodHound, podemos averiguar el camino más corto hacia las cuentas de administrador del dominio. Por lo tanto, podemos identificar una ruta de ataque.
La herramienta SharpHound (incluida en BloodHound) se utiliza para analizar su EA y, a continuación, BloodHound analiza los resultados. BloodHound se establece en Linux sino también en Windows (aunque Windows Defender no está muy contento con su presencia). Al igual que con las herramientas anteriores, hay soporte para Azure Active Directory denominado AzureHound.
Recursos relacionados :
4. Auditor de Netwrix
Netwrix Auditor es un software de auditoría de Active Directory que es interesante a diarioporque supervisar los cambios en Active Directory. Está disponible como edición comunitaria, gratuita pero con pocas funciones, y como edición de pago, con muchas más funciones.
A diferencia de PingCastle y Purple Knight, no proporcionará una puntuación que refleje el nivel de seguridad o riesgo de su Active Directory. En su lugar, auditará el Directorio Activo, o más bien monitorizará su directorio en busca de cambios en la configuración, incluyendo cambios sospechosos. Por ejemplo, ¿alguien ha añadido un nuevo usuario al grupo "Administradores de dominio" en su Directorio Activo? Esta información es muy interesante y podría ser una señal de que se está produciendo un ataque. Esta auditoría continu es muy útil para gestionar los privilegios.
Netwrix Auditor es compatible con Active Directory, pero también puede supervisar otros servicios y entornos: Azure AD, Microsoft Exchange, SQL Server, SharePoint, SharePoint Online, Microsoft Teams, etc.
Recursos relacionados :
5. ORADAD
Para terminar esta serie de herramientas útiles para auditar Active Directory, quería mencionar esta herramienta más por su cultura personal que por un interés real. Sigue leyendo y entenderás por qué...
ORADAD para " Outil de Rrecuperación Automatic Dons de laActivo Directorio ORADAZ" es una herramienta desarrollada por la ANSSI, la Agencia Nacional Francesa de Seguridad de los Sistemas de Información. Existe un equivalente para Azure llamado ORADAZ, también desarrollado por la ANSSI y disponible en GitHub.
La ANSSI utiliza esta herramienta para las auditorías realizadas en el marco del " Seguridad de Active Directory" . Inicialmente, se utiliza para recopilar información sobre el estado de su AD. Además, se utiliza otra herramienta que no está disponible públicamente. Aunque es posible utilizar esta herramienta para generar un informe en formato MLA, es el procesamiento y la lectura de este informe lo que no es posible sin una herramienta adecuada.
Recursos relacionados :
6. Conclusión
Después de leer este artículo de la caja de tutoriales de TI, podrás encontrar las herramientas adecuadas para auditar Active Directory. Para ir más lejos, te invito a visite esta página de Wavestone (de la que se ha tomado la imagen siguiente) que contiene un radar de herramientas para reforzar la seguridad de Active Directory.
