Purple Knight

Objectif et environnement

Objectif

L’utilisation de Purple Knight pour auditer le serveur Active Directory.

Environnement

Matériels :

• Dell PowerEdge r240 avec Proxmox 7.1-7

Adressage des VMS :

• Réseaux : 172.16.0.0/16

• Le logiciel PingCastle est installé directement sur la VM du l’Active Directory

Documentation

• https://www.it-connect.fr/comment-auditer-lactive-directory-avec-purple-knight/

• https://www.semperis.com/wp-content/uploads/PDFs/purple-knight-getting-started-guide.pdf

Processus

Téléchargement

Lien de téléchargement :

https://www.purple-knight.com/resources/

J’ai téléchargé l’archive et je l’ai extrait.

Réalisation d’un audit AD

J’exécute l’application Purple Knight.exe situé dans PurpleKnight-Community>PurpleKnight

Avertissement

Lors de l'exécution du .exe il se peut que cette erreur survienne. Dans ce cas-là il suffit de faire la ligne de commande indiqué dans la boite de dialogue.

J’ai rencontré cette erreur j’ai donc fait la commande suivante dans une invite de commande PowerShell :

dir -Path c:\PurpleKnight-Comunity | Unblock-File

J’exécute de nouveau le .exe de l’application.

Purple Knight s’éxécute.

J’accepte les termes de la licence et j’appuie sur la touche Next

Je coche « ACTIVE DIRECTORY », puis j’appuie sur Select, le domaine est automatiquement reconnu car c’est le seul. Je sélectionne la forêt appartenant au domaine que j’ai sélectionné (t2sr.io).

Je continue en appuyant sur Next

Je sélectionne tous les tests pour qu’il soit le plus complet possible comme il s’agit du test initial.

J’appuie sur Run Tests pour exécuter l’audit.

L’audit peut varier en durée à s’effectuer, une fois fini Purple Knight affiche un récap.

Il est possible de sauvegarder le rapport d’audit en PDF.

Les fichiers de l’audit ont été généré. Dans le dossier Output de PurpleKnight

Ils sont automatiquement générés en fonction de la date et l’heure, il n’y a donc pas de risque qu’un rapport en écrase un autre lors d’un nouvel audit.

De base Purple Knight de génère pas le rapport d’audit en pdf

Lecture du rapport de l’audit AD

J’ouvre dans un navigateur le fichier html du rapport d’audit

Je parcoure le rapport d’audit pour constater les faiblesses de l’AD

L’AD t2sr.io a eu une note relativement haute à savoir la lettre A et 90%, plus le score est élevé mieux c’est.

Malgré cette note relativement bonne l’AD n’est pas conforme aux recommandations sur 11 règles (IOEs found).

Juste en dessous de la notation de l’AD se trouver les critical IOEs found, qui sont les règles à traiter en priorité.

Ensuite viennent d’autres règles qui elles ne sont pas d’ordre primordial.

Toujours un peu plus bas dans le rapport, il y a des score par catégorie

Purple Knight fait le lien entre les points vérifiés et les recommandations du MITRE et de l’ANSSI. Chaque élément vérifié a notamment un “ANSSI ID”, par exemple :
“vuln1_permissions_adminsdholder”

Répertorier par l’ANSSI dans le guide “Point de contrôle de l’Active Directory”.

Grâce à Purple Knight on peut voir rapidement si notre Active Directory respecte les recommandations de l’ANSSI.

Conclusion

Purple Knight est un outil intéressant pour auditer l’Active Directory avant de sa mise en production et corrigé les règles de sécurité non conforme au recommandation.

  Pierre & Zoltan v: 0.1

Sur Pierre & Zoltan

Home

Sur GitHub

View

Search

Hosted by GitHub ·