Purple Knighta ferramenta gratuita de avaliação da segurança do Active Directory (AD), descarregada por mais de 10.000 utilizadores, permite-lhe agora identificar e resolver as lacunas de segurança no seu ambiente de identidade híbrida. É isso mesmo: A versão mais recente do Purple Knight introduz indicadores de segurança do Azure AD. A capacidade de resolver lacunas de segurança tanto no AD local como no Azure AD dá-lhe uma vantagem na defesa contra as ameaças actuais.
Com um cenário híbrido, a superfície de ataque potencial expande-se para os adversários. Actualmente, os ataques começam frequentemente no local e passam para a nuvem - como no ataque da SolarWinds - ou passam da nuvem para o local. A nova versão do Purple Knight ajuda as organizações a descobrir falhas de segurança que podem expor seus sistemas de identidade híbrida a invasores.
Purple Knight-disponível para transferência aqui- tambéminclui suporte para o modelo MITRE D3FEND™, novos indicadores de segurança do AD no local, melhorias nos relatórios e algumas correcções de erros e melhorias nos scripts.
O que há de novo em Purple Knight 1.5
Além de introduzir 10 indicadores de segurança do Azure AD, Purple Knight 1.5 inclui novas marcas de estrutura de segurança para o modelo MITRE D3FEND, uma estrutura beta para defesa de rede. O MITRE D3FEND é uma base de conhecimento de técnicas de contramedidas de segurança cibernética que pode ajudá-lo a projetar, implantar e defender melhor os sistemas em rede. Purple Knight também inclui sete novos indicadores de segurança para o AD local, bem como aprimoramentos de relatórios em HTML e PDF. Veja o que o Purple Knight 1.5 inclui:
- 10 indicadores de segurança do Azure AD para o ajudar a compreender a sua postura de segurança geral no ambiente de identidade híbrida
- Etiquetas de estrutura de segurança para o modelo MITRE D3FEND, uma estrutura beta para defesa de redes
- Melhorias no Relatório de Avaliação de Segurança HTML, incluindo um painel de navegação que lhe permite localizar rapidamente informações específicas no relatório sem deslocar e uma estrutura de relatório actualizada que inclui avaliações do AD e do Azure AD quando executadas num ambiente híbrido
- Capacidade de gerar uma versão PDF melhorada do relatório de avaliação da segurança
- Várias correcções de erros e melhorias nos scripts
Utilizar Purple Knight para avaliar a segurança do seu ambiente de identidade híbrida
Purple Knight 1.5 verifica o ambiente do Azure AD em busca dos seguintes indicadores de exposição (IOEs), que sinalizam configurações de risco que os atacantes podem explorar:
- Utilizadores com privilégios no AAD que também têm privilégios no AD
- As unidades administrativas não estão a ser utilizadas
- Verificar se os convidados têm permissões para convidar outros convidados
- Verificar as permissões API de risco concedidas aos service principals de applicações
- Verificar se a autenticação legacy é permitida
- MFA não configurado para contas privilegiadas
- Os utilizadores não-administradores podem registar aplicações personalizadas
- Os grupos privilegiados contêm contas de convidados
- Security Defaults não activados
- Consentimento sem restrições permitido a utilizadores
Transferir o script para ligar Purple Knight ao Azure Active Directory
Para executar o Purple Knight no seu ambiente Azure AD, é necessário criar e actualizar o registo da aplicação no Azure AD com um conjunto definido e consentido de permissões de aplicação para o Microsoft Graph. Jorge de Almeida Pinto, Arquitecto de Soluções Sénior e Gestor de Produtos da Semperis, criou um script PowerShell que automatiza este passo.
Para utilizar o script, são necessários dois módulos do PowerShell - AzureAD e Az.Accounts - ea conta que cria o registo da aplicação tem de ser um Administrador Global. O script suporta as seguintes tarefas:
- Cria e actualiza o registo da aplicação no Azure AD para Purple Knight 1.5 para poder procurar vulnerabilidades no Azure AD
- Elimina a App Registration do Azure AD
- Atribui as permissões de aplicação do Microsoft Graph necessárias e fornece consentimento ao criar ou atualizar a aplicação
- Cria um segredo do cliente que por omissão é válido por uma hora quando se cria ou actualiza a aplicação (se necessário, pode fornecer uma vida útil em dias para o segredo do cliente)
- Elimina todos os segredos dos clientes do registo da aplicação em Azure AD
- Apresenta o ID do Tenant, o ID da aplicação, as permissões atribuídas e consentidas e o segredo do cliente a ser utilizado no ficheiro executável Purple Knight
Veja a lista completa de funções e exemplos e transfira o script PowerShell Purple Knight 1.5 na conta GitHub da Semperis.
Novos indicadores de segurança do Active Directory
Para além de introduzir os indicadores de segurança do Azure AD, Purple Knight 1.5 inclui sete novos indicadores de segurança do AD no local:
- Contas com delegação restrita configuradas para krbtgt
- Modelos de certificados que permitem aos requerentes especificar um assuntoAltName
- Modelos de certificados com três ou mais configurações inseguras
- FGPP não aplicado ao grupo
- A assinatura LDAP não é necessária nos controladores de domínio
- Grupos de operadores que não estão vazios
- O tipo de encriptação RC4 é suportado pelos controladores de domínio
Obter acesso a Purple Knight 1.5
Pode transferir Purple Knight 1 .5 aqui. Lembre-se de revisar o documento de início rápido mais recente Purple Knight para obter orientações importantes antes de descompactar e executar Purple Knight. Encontrará os detalhes da versão mais recente e o SHA 256 aqui.
Se é novo no Purple Knight, consulte também os seguintes recursos:
- Ler o documento de início rápido
- Junte-se à comunidade Purple Knight Slack
- Explore o nosso rastreador de indicadores de segurança
- Consulte o nosso guia do utilizador Purple Knight
Purple Knight introduz indicadores de segurança do Azure AD para combater ataques de identidade híbrida
Com a introdução dos indicadores de segurança do Azure AD, Purple Knight é um recurso poderoso na sua defesa contra ataques que visam ambientes AD híbridos. Agradecemos os seus comentários e perguntas no canal do SlackPurple Knight , ou pode enviar-nos um e-mail aqui.
