Auditer Samba-AD avec PingCastle

PingCastle est un outil développé par la société Française PingCastle SAS.

PingCastle fournit des indicateurs de sécurité Active Directory. PingCastle fonctionne à la fois avec Samba-AD et MS-AD.

L’outil lance une batterie de requêtes AD (LDAP ou AD webservice) pour vérifier un ensemble de bonnes pratiques et de configurations.

Il donne une note globale de santé Active Directory.

L’objectif de l’exercice consiste à agir sur les configurations et les bonnes pratiques AD pour améliorer autant que possible cette note.

PingCastle est donc une excellente mesure de l’efficacité de vos actions de sécurisation Active Directory.

Note

La licence PingCastle (version 2.8.1.0) vous accorde un usage interne pour auditer votre propre système. Si vous auditez un réseau tiers dans un cadre commercial, alors il est nécessaire d’acheter une licence. Si vous utilisez donc l’outil dans le cadre de vos prestations, merci de soutenir Ping castle.

Le logiciel peut être téléchargé depuis le site de PingCastle. Ensuite on dézipper le fichier et on exécute la ligne ci-après avec cmd.exe.

PingCastle essaiera par défaut de se connecter à l’AD avec les webservices AD. Vu que les webservices AD ne sont pas implémentés dans Samba-AD, il faut indiquer à PingCastle qu’il devra exécuter ses requêtes en mode LDAP. Enfin, il est nécessaire de pointer la commande sur un serveur RWDC (pas un RODC).

pingcastle --server dc2 --protocol LDAPOnly --healthcheck

L’exécution dure plus ou moins longtemps en fonction de la taille du domaine, du nombre de GPO et du temps d’accès à l’AD. Cela peut aller d’une minute à plusieurs dizaines de minutes.

Suite à l’exécution du script un rapport HTML est créé dans le même répertoire que celui où le script a été lancé avec le nom ad_hc_mydomain.lan.html. Un fichier XML est également créé.