Purple Knightl'outil gratuit d'évaluation de la sécurité d'Active Directory (AD) téléchargé par plus de 10 000 utilisateurs, vous permet désormais d'identifier et de combler les lacunes en matière de sécurité dans votre environnement d'identité hybride. C'est exact : La dernière version de Purple Knight introduit les indicateurs de sécurité Entra ID. La capacité de combler les lacunes en matière de sécurité à la fois dans l'AD sur place et dans Entra ID vous donne un avantage dans la défense contre les menaces actuelles.
Avec un scénario hybride, la surface d'attaque potentielle s'élargit pour les adversaires. Les attaques commencent souvent sur site et se déplacent vers le nuage - comme dans l'attaque de SolarWinds - ou se déplacent du nuage vers le site. La nouvelle version de Purple Knight aide les organisations à découvrir les failles de sécurité qui peuvent exposer leurs systèmes d'identité hybrides aux attaquants.
Purple Knight-disponible en téléchargement ici-inclut également la prise en charge du modèle MITRE D3FEND™, de nouveaux indicateurs de sécurité AD on-prem, des améliorations de rapports, ainsi que quelques corrections de bugs et améliorations de scripts.
Quoi de neuf dans Purple Knight 1.5
En plus d'introduire 10 indicateurs de sécurité Entra ID, Purple Knight 1.5 inclut de nouvelles balises de cadre de sécurité pour le modèle MITRE D3FEND, un cadre bêta pour la défense des réseaux. MITRE D3FEND est une base de connaissances de techniques de contre-mesures de cybersécurité qui peut vous aider à concevoir, déployer et mieux défendre les systèmes en réseau. Purple Knight comprend également sept nouveaux indicateurs de sécurité pour AD on-prem ainsi que des améliorations des rapports HTML et PDF. Voici ce que comprend Purple Knight 1.5 :
- 10 indicateurs de sécurité Entra ID pour vous aider à comprendre votre position de sécurité globale dans l'environnement d'identité hybride
- Tags du cadre de sécurité pour le modèle D3FEND de MITRE, un cadre bêta pour la défense des réseaux
- Améliorations du rapport d'évaluation de la sécurité HTML, y compris un volet de navigation qui vous permet de localiser rapidement des informations spécifiques dans le rapport sans défilement et une structure de rapport mise à jour qui inclut à la fois les évaluations AD et Entra ID lorsqu'elles sont exécutées dans un environnement hybride.
- Possibilité de générer une version PDF améliorée du rapport d'évaluation de la sécurité
- Diverses corrections de bugs et améliorations de scripts
Utiliser Purple Knight pour évaluer la sécurité de votre environnement d'identité hybride
Purple Knight 1.5 analyse votre environnement Entra ID à la recherche des indicateurs d'exposition (IOE) suivants, qui signalent les configurations à risque que les attaquants peuvent exploiter :
- Utilisateurs privilégiés de l'AAD qui sont également privilégiés dans l'AD
- Les unités administratives ne sont pas utilisées
- Vérifier si les invités ont le droit d'inviter d'autres invités
- Vérifier les autorisations d'API risquées accordées aux mandants des services d'application
- Vérifier si l'authentification traditionnelle est autorisée
- MFA non configuré pour les comptes privilégiés
- Les utilisateurs non administrateurs peuvent enregistrer des applications personnalisées
- Les groupes privilégiés contiennent des comptes d'invités
- Les valeurs par défaut de la sécurité ne sont pas activées
- Consentement illimité de l'utilisateur autorisé
Télécharger le script pour connecter Purple Knight à Entra ID Active Directory
Pour exécuter Purple Knight dans votre environnement Entra ID, vous devez créer et mettre à jour l'enregistrement de l'application dans Entra ID avec un ensemble défini et consenti de permissions d'application pour le Microsoft Graph. Jorge de Almeida Pinto, architecte de solutions et gestionnaire de produits senior de Semperis, a créé un script PowerShell qui automatise cette étape.
Pour utiliser le script, vous aurez besoin de deux modules PowerShell - EntraID et Az.Accounts - etle compte qui crée l'enregistrement de l'application doit être un administrateur global. Le script prend en charge les tâches suivantes :
- Création et mise à jour de l'enregistrement de l'application dans Entra ID pour Purple Knight 1.5 afin de pouvoir analyser les vulnérabilités d'Entra ID.
- Supprime l'enregistrement de l'application dans Entra ID
- Attribue les autorisations requises pour l'application Microsoft Graph et donne son consentement lors de la création ou de la mise à jour de l'application.
- Crée un secret client qui, par défaut, est valable pendant une heure lors de la création ou de la mise à jour de l'application (si nécessaire, vous pouvez fournir une durée de vie en jours pour le secret client).
- Supprime tous les secrets des clients de l'enregistrement de l'application dans Entra ID.
- Affiche l'ID du locataire, l'ID de l'application, les autorisations attribuées et consenties, et le secret du client à utiliser dans le fichier exécutable Purple Knight .
Voir la liste complète des fonctions et des exemples et télécharger le script PowerShell Purple Knight 1.5 sur le compte GitHub de Semperis.
Nouveaux indicateurs de sécurité Active Directory
En plus de l'introduction des indicateurs de sécurité Entra ID, Purple Knight 1.5 comprend sept nouveaux indicateurs de sécurité AD sur site :
- Comptes avec délégation restreinte configurés sur krbtgt
- Modèles de certificats permettant aux demandeurs de spécifier un subjectAltName
- Modèles de certificats comportant au moins trois configurations non sécurisées
- FGPP non appliqué au groupe
- La signature LDAP n'est pas requise sur les contrôleurs de domaine
- Groupes d'opérateurs non vides
- Le type de cryptage RC4 est pris en charge par les contrôleurs de domaine.
Accéder à Purple Knight 1.5
Vous pouvez télécharger Purple Knight 1 .5 ici. N'oubliez pas de consulter le dernier document de démarrage rapide Purple Knight pour obtenir des conseils importants avant de décompresser et d'exécuter Purple Knight. Vous trouverez les détails de la dernière version et le SHA 256 ici.
Si vous ne connaissez pas encore Purple Knight, consultez également les ressources suivantes :
- Lire le document de démarrage rapide
- Rejoignez la communauté Slack Purple Knight
- Découvrez notre outil de suivi des indicateurs de sécurité
- Consultez notre guide de l'utilisateur Purple Knight
Purple Knight Lancement des indicateurs de sécurité Entra ID pour lutter contre les attaques d'identité hybrides
Avec l'introduction des indicateurs de sécurité Entra ID, Purple Knight est une ressource puissante dans votre défense contre les attaques qui ciblent les environnements AD hybrides. Vos commentaires et questions sont les bienvenus sur le canal SlackPurple Knight , ou vous pouvez nous envoyer un courriel ici.
