Tammy Mindel

Purple Knightl'outil gratuit d'évaluation de la sécurité d'Active Directory (AD) téléchargé par plus de 10 000 utilisateurs, vous permet désormais d'identifier et de combler les lacunes en matière de sécurité dans votre environnement d'identité hybride. C'est exact : La dernière version de Purple Knight introduit des indicateurs de sécurité Azure AD. La possibilité de combler les lacunes de sécurité dans AD sur site et Azure AD vous donne une longueur d'avance dans la défense contre les menaces actuelles.

Avec un scénario hybride, la surface d'attaque potentielle s'élargit pour les adversaires. Les attaques commencent souvent sur site et se déplacent vers le nuage - comme dans l'attaque de SolarWinds - ou se déplacent du nuage vers le site. La nouvelle version de Purple Knight aide les organisations à découvrir les failles de sécurité qui peuvent exposer leurs systèmes d'identité hybrides aux attaquants.

Purple Knight-disponible en téléchargement ici-inclut également la prise en charge du modèle MITRE D3FEND™, de nouveaux indicateurs de sécurité AD on-prem, des améliorations de rapports, ainsi que quelques corrections de bugs et améliorations de scripts.

Quoi de neuf dans Purple Knight 1.5

En plus d'introduire 10 indicateurs de sécurité Azure AD, Purple Knight 1.5 inclut de nouvelles balises de cadre de sécurité pour le modèle MITRE D3FEND, un cadre bêta pour la défense des réseaux. MITRE D3FEND est une base de connaissances de techniques de contre-mesures de cybersécurité qui peut vous aider à concevoir, déployer et mieux défendre les systèmes en réseau. Purple Knight comprend également sept nouveaux indicateurs de sécurité pour AD sur site ainsi que des améliorations des rapports HTML et PDF. Voici ce que comprend Purple Knight 1.5 :

  • 10 indicateurs de sécurité Azure AD pour vous aider à comprendre votre position de sécurité globale dans l'environnement d'identité hybride
  • Tags du cadre de sécurité pour le modèle D3FEND de MITRE, un cadre bêta pour la défense des réseaux
  • Améliorations apportées au rapport d'évaluation de la sécurité HTML, notamment un volet de navigation qui permet de localiser rapidement des informations spécifiques dans le rapport sans avoir à le faire défiler et une structure de rapport mise à jour qui inclut les évaluations AD et Azure AD lorsqu'elles sont exécutées dans un environnement hybride.
  • Possibilité de générer une version PDF améliorée du rapport d'évaluation de la sécurité
  • Diverses corrections de bugs et améliorations de scripts
Purple Knight 1.5 Résumé du rapport

Utiliser Purple Knight pour évaluer la sécurité de votre environnement d'identité hybride

Purple Knight 1.5 analyse votre environnement Azure AD à la recherche des indicateurs d'exposition (IOE) suivants, qui signalent les configurations à risque que les attaquants peuvent exploiter :

  • Utilisateurs privilégiés de l'AAD qui sont également privilégiés dans l'AD
  • Les unités administratives ne sont pas utilisées
  • Vérifier si les invités ont le droit d'inviter d'autres invités
  • Vérifier les autorisations d'API risquées accordées aux mandants des services d'application
  • Vérifier si l'authentification traditionnelle est autorisée
  • MFA non configuré pour les comptes privilégiés
  • Les utilisateurs non administrateurs peuvent enregistrer des applications personnalisées
  • Les groupes privilégiés contiennent des comptes d'invités
  • Les valeurs par défaut de la sécurité ne sont pas activées
  • Consentement illimité de l'utilisateur autorisé

Télécharger le script pour connecter Purple Knight à Azure Active Directory

Pour exécuter Purple Knight dans votre environnement Azure AD, vous devez créer et mettre à jour l'enregistrement de l'application dans Azure AD avec un ensemble défini et consenti de permissions d'application pour le Microsoft Graph. Jorge de Almeida Pinto, architecte de solutions et gestionnaire de produits senior de Semperis, a créé un script PowerShell qui automatise cette étape.

Pour utiliser le script, vous aurez besoin de deux modules PowerShell - AzureAD et Az.Accounts - etle compte qui crée l'enregistrement de l'application doit être un administrateur global. Le script prend en charge les tâches suivantes :

  • Crée et met à jour l'enregistrement des applications dans Azure AD pour Purple Knight 1.5 afin de pouvoir analyser les vulnérabilités dans Azure AD.
  • Supprime l'enregistrement de l'application dans Azure AD
  • Attribue les autorisations requises pour l'application Microsoft Graph et donne son consentement lors de la création ou de la mise à jour de l'application.
  • Crée un secret client qui, par défaut, est valable pendant une heure lors de la création ou de la mise à jour de l'application (si nécessaire, vous pouvez fournir une durée de vie en jours pour le secret client).
  • Supprime tous les secrets du client de l'enregistrement de l'application dans Azure AD.
  • Affiche l'ID du locataire, l'ID de l'application, les autorisations attribuées et consenties, et le secret du client à utiliser dans le fichier exécutable Purple Knight .

Voir la liste complète des fonctions et des exemples et télécharger le script PowerShell Purple Knight 1.5 sur le compte GitHub de Semperis.

Nouveaux indicateurs de sécurité Active Directory

Outre l'introduction des indicateurs de sécurité Azure AD, Purple Knight 1.5 comprend sept nouveaux indicateurs de sécurité pour AD sur site :

  • Comptes avec délégation restreinte configurés sur krbtgt
  • Modèles de certificats permettant aux demandeurs de spécifier un subjectAltName
  • Modèles de certificats comportant au moins trois configurations non sécurisées
  • FGPP non appliqué au groupe
  • La signature LDAP n'est pas requise sur les contrôleurs de domaine
  • Groupes d'opérateurs non vides
  • Le type de cryptage RC4 est pris en charge par les contrôleurs de domaine.

Accéder à Purple Knight 1.5

Vous pouvez télécharger Purple Knight 1 .5 ici. N'oubliez pas de consulter le dernier document de démarrage rapide Purple Knight pour obtenir des conseils importants avant de décompresser et d'exécuter Purple Knight. Vous trouverez les détails de la dernière version et le SHA 256 ici.

Si vous ne connaissez pas encore Purple Knight, consultez également les ressources suivantes :

  • Lire le document de démarrage rapide
  • Rejoignez la communauté Slack Purple Knight
  • Découvrez notre outil de suivi des indicateurs de sécurité
  • Consultez notre guide de l'utilisateur Purple Knight

Purple Knight Introduction d'indicateurs de sécurité Azure AD pour lutter contre les attaques d'identités hybrides

Avec l'introduction des indicateurs de sécurité Azure AD, Purple Knight est une ressource puissante dans votre défense contre les attaques qui ciblent les environnements AD hybrides. Vos commentaires et questions sont les bienvenus sur le canal SlackPurple Knight , ou vous pouvez nous envoyer un courriel ici.