Purple Knight Introduce gli indicatori di sicurezza di Azure AD

Tammy Mindel

Purple Knight, lo strumento gratuito di valutazione della sicurezza di Active Directory (AD) scaricato da oltre 10.000 utenti, consente ora di identificare e risolvere le lacune di sicurezza nell'ambiente di identità ibrido. Proprio così: L'ultima versione di Purple Knight introduce gli indicatori di sicurezza di Azure AD. La possibilità di affrontare le lacune di sicurezza sia nell'AD on-prem che nell'Azure AD vi offre un vantaggio nella difesa dalle minacce attuali.

Con uno scenario ibrido, la superficie di attacco potenziale si espande per gli avversari. Gli attacchi ora iniziano spesso in sede e si spostano nel cloud, come nel caso dell'attacco di SolarWinds, oppure si spostano dal cloud all'on-premise. La nuova versione di Purple Knight aiuta le organizzazioni a scoprire le lacune di sicurezza che possono esporre i loro sistemi di identità ibridi agli aggressori.

Purple Knight-disponibile per il download qui,include ancheil supporto per il modello MITRE D3FEND™, nuovi indicatori di sicurezza AD on-prem, miglioramenti dei report e alcune correzioni di bug e miglioramenti dello script.

Cosa c'è di nuovo in Purple Knight 1.5

Oltre a introdurre 10 indicatori di sicurezza per Azure AD, Purple Knight 1.5 include nuovi tag per il framework di sicurezza per il modello MITRE D3FEND, un framework beta per la difesa delle reti. MITRE D3FEND è una base di conoscenze sulle tecniche di contromisure di sicurezza informatica che possono aiutare a progettare, implementare e difendere meglio i sistemi in rete. Purple Knight include anche sette nuovi indicatori di sicurezza per l'AD on-prem e miglioramenti ai report HTML e PDF. Ecco cosa include Purple Knight 1.5:

10 indicatori di sicurezza di Azure AD per aiutarvi a capire la vostra posizione di sicurezza complessiva nell'ambiente di identità ibrido
Tag del framework di sicurezza per il modello MITRE D3FEND, un framework beta per la difesa della rete
Miglioramenti al rapporto di valutazione della sicurezza HTML, tra cui un riquadro di navigazione che consente di individuare rapidamente informazioni specifiche all'interno del rapporto senza doverlo scorrere e una struttura aggiornata del rapporto che include sia le valutazioni AD che quelle Azure AD quando vengono eseguite in un ambiente ibrido.
Possibilità di generare una versione PDF avanzata del rapporto di valutazione della sicurezza.
Varie correzioni di bug e miglioramenti agli script

Utilizzo di Purple Knight per valutare la sicurezza dell'ambiente di identità ibrido

Purple Knight 1.5 analizza l'ambiente Azure AD alla ricerca dei seguenti indicatori di esposizione (IOE), che segnalano configurazioni rischiose che gli aggressori possono sfruttare:

Utenti privilegiati AAD che sono anche privilegiati in AD
Le unità amministrative non vengono utilizzate
Verificare che gli ospiti abbiano i permessi per invitare altri ospiti.
Controllare le autorizzazioni API a rischio concesse ai mandanti dei servizi applicativi.
Verificare se l'autenticazione legacy è consentita
MFA non configurato per gli account privilegiati
Gli utenti non amministratori possono registrare applicazioni personalizzate
I gruppi privilegiati contengono account guest
Le impostazioni predefinite di sicurezza non sono abilitate
Consenso illimitato dell'utente

Scarica lo script per la connessione di Purple Knight ad Azure Active Directory

Per eseguire Purple Knight nell'ambiente Azure AD, è necessario creare e aggiornare la registrazione dell'applicazione in Azure AD con una serie di autorizzazioni definite e consentite per il Microsoft Graph. Jorge de Almeida Pinto, Senior Solutions Architect e Product Manager di Semperis, ha creato uno script PowerShell che automatizza questo passaggio.

Per utilizzare lo script, sono necessari due moduli PowerShell - AzureAD e Az.Accounts - el'account che crea la registrazione dell'applicazione deve essere un Global Admin. Lo script supporta le seguenti attività:

Crea e aggiorna la registrazione dell'app in Azure AD per Purple Knight 1.5 per poter eseguire la scansione delle vulnerabilità in Azure AD.
Elimina la registrazione dell'applicazione in Azure AD
Assegna le autorizzazioni necessarie per l'applicazione Microsoft Graph e fornisce il consenso quando crea o aggiorna l'applicazione.
Crea un segreto del cliente che, per impostazione predefinita, è valido per un'ora quando si crea o si aggiorna l'applicazione (se necessario, è possibile fornire una durata di vita del cliente in giorni per il segreto del cliente).
Elimina tutti i secrets del client dalla registrazione dell'applicazione in Azure AD.
Visualizza l'ID del tenant, l'ID dell'applicazione, le autorizzazioni assegnate e consentite e il segreto del client da utilizzare nel file eseguibile Purple Knight .

L'elenco completo delle funzioni e degli esempi e il download dello script PowerShell Purple Knight 1.5 sono disponibili sull'account GitHub di Semperis.

Nuovi indicatori di sicurezza di Active Directory

Oltre all'introduzione degli indicatori di sicurezza di Azure AD, Purple Knight 1.5 include sette nuovi indicatori di sicurezza di AD on-prem:

Conti con delega vincolata configurati su krbtgt
Modelli di certificato che permettono ai richiedenti di specificare un subjectAltName
Modelli di certificato con tre o più configurazioni non sicure
FGPP non applicato al gruppo
La firma LDAP non è richiesta sui controller di dominio.
Gruppi di operatori non vuoti
Il tipo di crittografia RC4 è supportato dai controller di dominio.

Accedere a Purple Knight 1.5

È possibile scaricare Purple Knight 1 .5 qui. Prima di decomprimere ed eseguire Purple Knight, ricordate di consultare l'ultimo documento di avvio rapido Purple Knight per ottenere indicazioni importanti. I dettagli della versione più recente e l'SHA 256 sono disponibili qui.

Se siete nuovi di Purple Knight, consultate anche le seguenti risorse:

Leggete il documento di avvio rapido
Unitevi alla comunità Slack di Purple Knight
Scopri il nostro tracker degli indicatori di sicurezza
Consultate la nostra guida all'uso di Purple Knight