Découverte de Purple Knight
Découverte et mise en place de l’outil.
Initialement, je voulais présenter le logiciel Ping Castle, qui est un logiciel permettant d’auditer les domaines Active Directory, qui est Open Source, gratuit pour un usage personnel, et qui plus est est français ! #Cocorico.
Cependant, j’ai vu qu’il y a quelques mois le site IT-Connect avait d’ores et déjà publié un article à ce sujet, et voulant tout de même parler d’audit d’AD je me suis rabattu sur un soft propriétaire mais tout aussi performant, voir plus complet : Purple Knight… Second bémol, Florian Brunel toujours d’IT-Connect a aussi posté un article sur ce soft…
Mais bref, ce n’est ni le premier et je ne serai ni le dernier à parler de ce genre de logiciel donc autant se lancer ! Au passage je vous conseille vivement d’aller voir ses articles à lui, même si vous les avez déjà sûrement déjà parcouru 😉
Bref, allons-y !
I) Auditer un Active Directory ?
En entreprise, c’est bien joli d’avoir un pare-feu dernière génération, de sensibiliser ses utilisateurs sur les dangers du phishing, de maintenir son parc à jour en temps réel, mais on oublie trop souvent les misconfigurations, les oublis, les “je ferai ça plus tard“, ou encore les “c’est déjà assez secure comme ça non ?“.
Ce n’est clairement pas un reproche, Active Directory est si complet que connaître toutes les best-practices, surtout en terme de sécurité, ça demande un temps considérable et ce n’est même pas humainement faisable.
Heureusement pour nous, il existe pléthore d’outils permettant d’auditer notre domaine. Que ce soit dans le monde Open Source (PingCastle), ou propriétaire (Purple Knight), et tant d’autres.
II) Here comes Purple Knight
Purple Knight est donc un soft édité par la société Semperis, très connue pour ses solutions de sécurité directement liées à AD/Azure AD.
Pour le télécharger, rien de plus simple, on se rend ici. Au niveau de ce lab, j’aurais une simple VM Active Directory avec quelques OUs et quelques users, rien de transcendant, et j’aurais une seconde VM qui hébergera justement l’outil d’audit.
Concernant l’installation à proprement parler, il n’y en a pas réellement, c’est un simple .exe qui exécutera ensuite une série de scripts Powershell. Libre à vous donc de l’utiliser directement sur votre machine et non sur un serveur dédié forcément prévu pour ça.
III) Démarrage et premier audit
Une fois le soft lancé, c’est du “Suivant suivant”. On accepte en premier lieu les CGU :
Si votre ordinateur/serveur fait déjà parti du domaine, celui-ci sera détecté automatiquement, sinon vous devrez modifier vos DNS et l’encoder manuellement :
On peut ensuite choisir quel groupe de tests va être exécuter, on peut bien-entendu adapter au besoin, le tout est assez bien fichu :
Et c’est tout ! La série de tests se lancent :
Vous obtenez ensuite un “score de sécurité globale”, ainsi qu’un fichier report au format HTML ou CSV, voir PDF :
Voici un exemple du dit rapport, bien-entendu selon le domaine en question il va de soit que le score et les points seront différents… le tout est en anglais (forcément ?), mais très bien détaillé !
On notera qu’il s’agissait ici d’un domaine “fraîchement installé”, comme quoi même avec une installation basique, impossible d’attendre le St Graal. Si vous avez un minimum peuplé votre AD, votre score en pâtira clairement, mais comme vous pourrez le constater avec les différentes explications et ressources, il est très facile de corriger le tir.
IV) Conclusion
Ceci clôture donc déjà cet article sur la présentation de Purple Knight. Il existe comme dit en début bien d’autres outils d’audit, que ce soit pour Active Directory mais pour beaucoup d’autres services aussi.
J’espère comme d’habitude vous avoir appris quelques bricoles, voir plus, et vous donne rendez-vous bientôt pour un article où nous nous attaquerons très sûrement à une box TryHackMe, histoire d’avoir un peu plus de pratique ! 🙂
Sur ce, une bonne journée/soirée à vous !
Laisser un commentaire