Wer kann den Active Directory-Scan einrichten?
Jeder Endpunkt, der mit Active Directory verbunden ist, reicht aus, um das Skript auszuführen; es ist nicht erforderlich, es mit einem Administratorkonto auszuführen. Es kann auf einem beliebigen, mit AD verbundenen, Rechner ausgeführt werden.
Ausführen des Active Directory-Scans
Die Installation des Tools erfolgt in 3 Schritten:
- Gehen Sie auf die Registerkarte Active Directory in Stoïk Protect.
- Laden Sie das Skript herunter.
- Führen Sie es in einer PowerShell-Konsole aus. Während der Ausführung werden die Tools PingCastle und BloodHound heruntergeladen.
Die Ergebnisse dieser Prüfung zeigen potenzielle Schwachstellen auf, die in 4 Stufen eingeteilt sind: niedrig, mittel, hoch und kritisch. Wenn nach dem Scan eine Schwachstelle entdeckt wird, werden die zur Behebung erforderlichen Schritte angegeben.
Um sicherzustellen, dass die Aktivierung des Scans funktioniert, überprüfen Sie, ob:
- Sie ein lokales Active Directory (on-premise) nutzen;
- Der Computer mit dem Internet verbunden ist;
- Der Rechner, auf dem das Script ausgeführt wird, mit dem zu prüfenden AD verbunden ist.
Den Active Directory-Scan erneut starten
Jede neue Ausführung muss erneut manuell gestartet werden. Das heruntergeladene Skript ist nur 24 Stunden gültig. Nach Ablauf dieser Frist muss es erneut über die Registerkarte Active Directory unter Einstellungen heruntergeladen werden.
Der Scan kann so oft wie gewollt neu gestartet werden. Bei normalem Betrieb wird empfohlen, ihn jeden Monat durchzuführen. Während einer Härtungsphase der Infrastruktur sollte er häufiger gestartet werden, um zu überprüfen, ob fehlerhafte Konfigurationen korrigiert wurden.