Le minacce all'identità aziendale sono in continua evoluzione e, quando un aggressore viola il sistema di identità, l'impatto è duraturo e costoso. In questo contesto, l'audit e il rafforzamento di Active Directory (AD) e della sua controparte cloud, Entra ID/Azure AD, sono diventati una necessità quotidiana per l'IT e la sicurezza. Scegliere gli strumenti giusti e capire cosa offre ciascuno È il primo passo per colmare le lacune prima che qualcuno le sfrutti.
Tra le opzioni gratuite più note ci sono Purple Knight (Semperis) e PingCastle (originariamente creato da Vincent Le Toux e attualmente parte dell'ecosistema Netwrix). Entrambi funzionano senza problemi e forniscono preziose funzionalità diagnostiche, ma il loro approccio, la loro metodologia e il loro pubblico di riferimento differiscono. Confrontateli attentamente, senza trascurare i loro limiti e i loro punti di forza.Ti consente di decidere quando utilizzare l'uno o l'altro, o perché combinarli per ottenere il massimo da entrambi.
Sicurezza dell'identità: perché puntare su Active Directory e Entra ID
AD ed Entra ID solitamente concentrano il controllo di account, autorizzazioni, autenticazione e relazioni di fiducia; se falliscono, viene meno il cuore dell'accesso aziendale. Le intrusioni in questi sistemi possono rimanere invisibili per mesi.Ciò espone risorse critiche e facilita il movimento laterale. Pertanto, il rafforzamento della sicurezza delle identità richiede di dare priorità ad Active Directory e al suo livello cloud. Strumenti di valutazione una tantum aiutano a ottenere un quadro chiaro del rischio, mentre strumenti di monitoraggio continuo consentono di intervenire tempestivamente per correggere eventuali deviazioni.
PingCastle: un'istantanea basata sulla maturità dell'ambiente AD
PingCastle è nato come strumento di valutazione di Active Directory sviluppato in C# da Vincent Le Toux e consolidato sul mercato con un'edizione base gratuita dal 2017. Il suo scopo è misurare il rischio e la maturità della sicurezza di Active Directory in base a modelli e regolegenerare un report sulla salute e sui rischi fortemente incentrato sulle decisioni pratiche.
Cosa fa bene PingCastle
Uno dei suoi punti di forza è la traduzione dei dati tecnici in informazioni contestuali: analizza, tra le altre cose, i sottoprocessi di Active Directory, le relazioni di trust, gli account privilegiati e gli oggetti obsoleti. Il risultato è un punteggio di rischio e un report dettagliato che può essere consolidato con altri per facilitare i confronti nel tempo. Inoltre, incorpora una mappa di Active Directory per visualizzare gerarchie e trust.Ciò accelera la comprensione di ambienti complessi e porta alla luce domini dimenticati.
- Valutazione del rischio e della salute basato su modelli e regole interne, con punteggio e reporting dei rischi.
- Visibilità dei privilegi e potenziali percorsi verso oggetti critici, con particolare attenzione agli account ad alto accesso.
- Mappatura di domini e trust per visualizzare le relazioni, comprese le considerazioni sulla fiducia con Azure AD/Entra ID.
- Consolidamento dei report per benchmarking, KPI e dashboard di gestione (nelle edizioni superiori).
PingCastle va oltre la directory ed esegue scansioni delle workstation per individuare pratiche non sicure. Rileva amministratori locali eccessivirisorse condivise scarsamente protette, vulnerabilità come WannaCry e persino irregolarità nei tempi di avvio, che aiutano a scoprire backdoor e debolezze di delega che potrebbero facilitare il movimento laterale.
Come funziona e cosa offre
Il motore di PingCastle raccoglie i dati utilizzando query LDAP non privilegiate e WMI e può essere integrato con Script di PowerShelle applica un modello di rischio raggruppato per categorie: oggetti obsoleti, account privilegiati, trust e anomalie. Il rapporto risultante evidenzia problemi critici (ad esempio, protocolli di trust obsoleti, deleghe fragili, configurazioni Kerberos deboli o percorsi di controllo non sicuri) e assegna un punteggio di integrità AD: più basso è, meglio è.
Negli ambienti ibridi, PingCastle può segnalare se la relazione di trust con Azure AD è ben protetta. La visualizzazione della mappa e il consolidamento dei risultati Sono particolarmente utili per le organizzazioni con molti domini o più relazioni di trust, in cui è facile perdere il filo.
Edizioni, licenza e ambito
L'edizione base è gratuita per l'audit del proprio ambiente, mentre le edizioni Auditor/Standard e Professional aggiungono funzionalità avanzate e supporto commerciale. Vengono commercializzati abbonamenti come Auditor (circa $ 3.449/anno) e Professional. (circa 10.347 dollari per dominio all'anno), più un'edizione Enterprise con funzionalità di consolidamento e una prospettiva globale per le grandi aziende. Il progetto firma i suoi binari e rilascia il codice con licenza OSL 3.0 (Non-Profit), con restrizioni sull'uso commerciale senza licenza.
Limitazioni note di PingCastle
Nelle distribuzioni con molti domini, i report possono essere densi e alquanto difficili da consultare se non vengono definiti processi di consolidamento e visualizzazioni. L'edizione gratuita non include report avanzati o guide dettagliate per la correzione.e l'attenzione è rivolta agli indicatori di esposizione e rischio, non ai segnali di compromesso che si sono già materializzati.
Purple Knight: indicatori di esposizione e coinvolgimento a portata di clic
Semperis ha lanciato Purple Knight nel 2021 come strumento gratuito di valutazione della sicurezza per Active Directory e ambienti ibridi. Da allora, è diventato uno dei preferiti grazie alla sua attenzione agli Indicatori di Esposizione (IOE) e agli Indicatori di Compromissione (IOC). Il suo obiettivo è scoprire configurazioni rischiose e prove di intrusione. In AD, inserisci ID/Azure AD e anche Okta.
Indicatori, categorie e quadri di riferimento
Purple Knight raggruppa i risultati in cinque aree principali: delega AD, sicurezza dell'infrastruttura AD, sicurezza dell'account, Sicurezza dei criteri di gruppo (GPO) e sicurezza Kerberos. Il rapporto utilizza un "bollettino" con una valutazione per categoria e una percentuale complessiva., offrendo rimedi prioritari, gravità (informativa, di avviso o critica) e mappature a framework quali MITRE ATT&CK e ANSSI, oltre a riferimenti al modello MITRE D3FEND.
- Più di cento indicatori (e le versioni recenti superano facilmente tale cifra) coprendo i vettori di attacco più comuni.
- Differenza tra IOE e IOC per separare una potenziale configurazione errata dalle prove di compromissione attiva.
- Linee guida per la correzione prescrittiva e classificati in base al rischio e alla probabilità di sfruttamento.
- Copertura ibrida con AD locale, supporto Enter ID/Azure AD e Okta.
Esperienza utente e reporting
Lo strumento è portatile e ha un'interfaccia grafica. Si scarica un file ZIP, lo si estrae e si esegue il binario; all'avvio, rileva foreste e domini e consente di selezionare quale IOE/IOC eseguire, una granularità apprezzata sia dai team blu che da quelli rossi. La scansione viene solitamente completata in pochi minuti e genera un report HTML che include un elenco di controllo degli IOE critici e spiegazioni chiare con link alla documentazione.
Il formato "pagella" è comodo: una lettera e una percentuale, con pesi diversi per ogni categoria. Le descrizioni includono il motivo, l'impatto, l'idoneità ai quadri di sicurezza e le misure correttive.Purple Knight viene eseguito in modalità di lettura, non apporta modifiche ad Active Directory e non effettua chiamate a casa; può essere ripetuto periodicamente senza rischi per la produzione.
Registrazione, versione comunitaria e sviluppo
Per scaricare lo strumento, Semperis richiede la registrazione e fornisce il link; inoltre, informa gli utenti sulle nuove versioni e sui continui miglioramenti. L'edizione Community viene aggiornata frequentemente E nonostante la sua giovinezza, mantiene una notevole raffinatezza, con miglioramenti basati sul feedback della community.
Limitazioni e come viene integrato
Purple Knight esegue valutazioni una tantum; non è una soluzione di monitoraggio continuo né automatizza autonomamente la mitigazione. Questo livello è fornito da Directory Services Protector (DSP) di Semperis.si tratta di un servizio a pagamento orientato al rilevamento e alla risposta alle minacce all'identità (ITDR) in tempo reale, con avvisi e annullamento delle modifiche dannose.
Purple Knight vs PingCastle: cosa hanno in comune e in cosa differiscono
Sebbene entrambi gli strumenti possano essere utilizzati per valutare la sicurezza di Active Directory e supportare ambienti ibridi con Entra ID/Azure AD, il loro obiettivo non è identico. PingCastle dà priorità a metodologia di maturità e un report di “controllo sanitario” con punteggio di rischio; Purple Knight si concentra su IOE/IOC e sulla fornitura di una guida di bonifica altamente praticabile. Il primo esamina attentamente il “modello” e lo stato dell’ecosistema AD, mentre il secondo fornisce un'istantanea molto ricca da correggere rapidamente.
In termini di facilità d'uso, Purple Knight si distingue per la sua interfaccia e la selezione granulare dei test; in PingCastle, la mappa dei domini e il consolidamento dei report sono eccellenti nelle organizzazioni con numerose foreste e trust. Nei report, Purple Knight classifica le categorie con un punteggio e una percentuale.E PingCastle offre un punteggio di salute generale: un numero basso è un valore migliore.
Per quanto riguarda la copertura, Purple Knight comprende AD, Entra ID/Azure AD e Okta e mappa i risultati su MITRE ATT&CK e ANSSI, dando priorità alla correzione. PingCastle, da parte sua, offre analisi di deleghe, oggetti obsoleti, privilegi locali e vulnerabilità degli endpoint.E può valutare la sicurezza dell'affidabilità con Azure AD. La possibilità di individuare domini dimenticati e unificare i risultati è un vantaggio quando il perimetro è diventato confuso.
In termini di licenza, Purple Knight è offerto come strumento gratuito (previa registrazione); le funzionalità continue e correttive sono presenti in Semperis DSP, che è commerciale. PingCastle offre un'edizione base gratuita per uso personale. e edizioni a pagamento (Auditor/Standard, Professional, Enterprise) con funzionalità estese, supporto e scalabilità.
Quale scegliere? Se cerchi una valutazione rapida e chiara con istruzioni di riparazione prioritarie, Purple Knight è la soluzione perfetta. Se ciò di cui hai bisogno è un metodo di maturità con mappatura del dominio e consolidamento del rischio Per centinaia o migliaia di segmenti, PingCastle potrebbe essere la soluzione migliore, soprattutto con le sue edizioni a pagamento. In pratica, molte organizzazioni utilizzano entrambi: la combinazione offre convalida incrociata e una copertura più approfondita.
Dettagli pratici di implementazione e risultati
Entrambi gli strumenti sono portatili e possono essere eseguiti con credenziali utente standard nella maggior parte dei contesti, raccogliendo i dati principalmente tramite lettura. Ciò semplifica l'adozione da parte dei team con risorse limitate. ed evita attriti con i sistemi di produzione, poiché non apportano modifiche.
Purple Knight memorizza i risultati in formato HTML con una struttura logica e link alla documentazione, oltre a una checklist che evidenzia ciò che è urgente. La ripartizione per gravità e il riferimento ai quadri Fornisce contesto ai CISO e ai team tecnici. PingCastle, da parte sua, fornisce un report con punteggi, risultati classificati in base alle priorità e, se desiderato, viste consolidate per facilitare l'individuazione di KPI e il monitoraggio trimestrale.
Avvertenze e considerazioni operative
Con PingCastle, in ambienti multi-foresta o con decine di domini, i report potrebbero richiedere ulteriore lavoro per essere esplorati e assegnati in base alle priorità. L'edizione base non dispone di funzionalità avanzate e di guide di correzione di bozze estese.Queste funzionalità sono incluse nelle licenze a pagamento. Purple Knight, essendo una valutazione una tantum, non sostituisce un sistema di monitoraggio continuo e le sue funzionalità di mitigazione automatizzata non sono disponibili nella versione gratuita.
Nessuno dei due è concepito come un IDS/IPS per l'AD; sono complementi diagnostici che alimentano i piani di bonifica e di maturazione. In scenari con esigenze di allerta e risposta in tempo realeEntrano in gioco soluzioni ITDR come Semperis DSP o offerte di audit continuo.
Altri strumenti che completano l'ecosistema
Quando l'attenzione è rivolta alla continuità e alla registrazione di ogni modifica con il contesto, Netwrix Auditor fornisce il controllo delle modifiche in Active Directory e in altri sistemi (Exchange, SQL Server, SharePoint, Microsoft 365, Teams, ecc.). Il suo obiettivo è quello di avvisare gli utenti di modifiche sospette. (ad esempio, se un utente viene aggiunto al gruppo Amministratori di dominio) e mantenere una cronologia delle configurazioni con visualizzazioni utili per la governance.
Per comprendere i percorsi di attacco e le relazioni di controllo, BloodHound è un classico strumento open source (GPL-3.0) che modella oggetti, relazioni e autorizzazioni in AD, con compilatori come SharpHound e AzureHound. È fondamentale per le squadre rosse e anche per quelle blu che vogliono visualizzare il "percorso più breve" verso obiettivi critici e chiudere le vie di arrampicata.
Nell'ambito della risposta e del monitoraggio in tempo reale, Directory Services Protector (DSP) di Semperis offre monitoraggio continuo, avvisi e persino rollback automatico in risposta a modifiche dannose, sia in AD che in Entra ID. Agisce come livello ITDR mancante in una valutazione puntuale. e accelera il contenimento degli incidenti di identità.
L'ANSSI (Agenzia francese per la sicurezza dei dati) fornisce utility come ORADAD per Active Directory e ORADAZ per Azure/Entra, utilizzate negli audit avanzati. Sebbene la raccolta dei dati sia pubblica, l'elaborazione completa richiede strumenti non pubblicati. Si tratta di riferimenti preziosi per i team che seguono le linee guida governative. o desiderano allineare gli audit alle migliori pratiche riconosciute.
Alcuni confronti di mercato mostrano offerte con hosting e distribuzioni varie (servizio Windows, portatile, on-premise o SaaS), correlazione con MITRE ATT&CK, esportazione in CSV, capacità multi-tenant e opzioni per accettare i rischi in modo documentato. In pratica, la scelta si riduce a bilanciare l'audit spot, il rilevamento degli incidenti e la governance continuaTenendo conto dei budget, delle licenze (gratuite per uso personale in alcuni casi) e del supporto dei partner.
Domande frequenti: Posso impedire a un utente di eseguire questi strumenti?
Questa è una domanda comune quando si scopre che gli strumenti portatili possono essere eseguiti senza privilegi di amministratore. In genere, Purple Knight e PingCastle funzionano in modalità di sola lettura, con autorizzazioni utente per interrogare la directory. Se l'obiettivo è limitarne l'esecuzione, allora entra in gioco il controllo dell'applicazione.Criteri come AppLocker o Windows Defender Application Control (WDAC), o regole di restrizione software, aiutano a limitare i file binari non autorizzati. Inoltre, il rafforzamento delle autorizzazioni in Active Directory riduce l'esposizione di dati sensibili agli utenti standard.
Detto questo, il modello di sicurezza AD presuppone che determinate informazioni siano leggibili dagli utenti autenticati, perché molte applicazioni dipendono da esse. Una mitigazione efficace prevede il rafforzamento delle deleghe, la verifica dei percorsi di controllo e la riduzione dei privilegi.Utilizzare questi strumenti per rilevare e correggere ciò che non dovrebbe essere visibile o abilitato. La prevenzione non dovrebbe basarsi esclusivamente sul blocco degli eseguibili, ma piuttosto sull'eliminazione della superficie di attacco a livello di configurazione.
Casi d'uso comuni e combinazione intelligente
Un piccolo team IT che necessita di una diagnosi rapida e di una guida chiara per la risoluzione dei problemi apprezzerà Purple Knight. Prioritizzazione in base alla gravità e relativa mappatura ai framework abilitanti Permette agli utenti di preparare penetration test, dimostrare i progressi e comunicare i rischi al management. Nel frattempo, gli audit interni ricorrenti e le società di consulenza che operano su più domini beneficiano del modello di maturità, della mappatura dei domini e delle funzionalità di consolidamento di PingCastle.
Molte organizzazioni utilizzano entrambi gli strumenti in cicli diversi per ottenere informazioni complementari: prima un'istantanea con IOE/IOC, seguita da una revisione dei processi e della maturità con controlli di integrità consolidati. La convalida incrociata riduce i falsi negativi e migliora la priorità di correzione.accelerare la chiusura delle lacune critiche e migliorare l'igiene dell'identità nel medio termine.
Non esiste una soluzione miracolosa. Scegliere bene significa allineare le esigenze alle capacità: un'istantanea con linee guida prescrittive o modelli e mappe di maturità? Una valutazione una tantum o un monitoraggio continuo con ITDR? La risposta è solitamente un "sì, e..." piuttosto che un sonoro "o"combinando la valutazione gratuita con soluzioni di monitoraggio personalizzate in base al rischio e al budget.
Se l'obiettivo è quello di migliorare in modo sostenibile la sicurezza dell'identità, è consigliabile pianificare valutazioni regolari, rivedere le deleghe e i trust e mantenere l'igiene degli account, i GPO (e File ADMX) e Kerberos. L'uso combinato di Purple Knight e PingCastle, più un livello di controllo delle modifiche e/o ITDROffre il giusto equilibrio tra diagnosi precoce, correzione prioritaria e monitoraggio continuo dello stato di AD e Entra ID.