[TR] ADPulse: Active Directory Güvenlik Tarayıcısı

ADPulse Active Directory ortamlarının güvenlik durumunu hızlı, sistematik ve güvenli bir şekilde analiz etmek için geliştirilmiş açık kaynaklı bir güvenlik denetim aracıdır.

Domain Controller’a LDAP veya LDAPS üzerinden bağlanarak toplam 35 farklı güvenlik kontrolünü otomatik olarak çalıştırır ve ortaya çıkan bulguları anlaşılır, aksiyona dönüştürülebilir raporlar halinde sunar.

ADPulse özellikle sistem yöneticileri, güvenlik ekipleri ve sızma testi uzmanları için tasarlanmıştır. Amaç karmaşık kurulumlara veya ağır güvenlik çözümlerine ihtiyaç duymadan mevcut Active Directory yapısındaki yapılandırma hatalarını, zayıf noktaları ve potansiyel saldırı yüzeyini kısa sürede görünür hale getirmektir.

ADPulse tamamen salt okunur (read-only) çalışır. Yani Active Directory üzerinde hiçbir nesneyi, GPO’yu, ACL’yi ya da grup üyeliğini değiştirmez. Sadece analiz eder ve raporlar.

ADPulse Ne Yapar?

ADPulse Active Directory güvenliğini tek bir açıdan değil çok katmanlı bir perspektifle değerlendirir. Güvenlik kontrolleri yalnızca parola politikalarıyla sınırlı değildir, kimlik doğrulama mekanizmalarından delegasyon yapılandırmalarına, ADCS zafiyetlerinden ACL analizlerine kadar geniş bir kapsam sunar.

Toplam 35 kontrol başlığı altında şunlar incelenir;

Parola Politikaları ve Hesap Güvenliği

Minimum parola uzunluğu ve karmaşıklık gereksinimleri,
Hesap kilitlenme eşikleri,
Parola geçmişi,
Reversible encryption kullanımı,
Fine-grained password policy (PSO) yapılandırmaları,

Yetkili Hesaplar ve Kritik Gruplar

Domain Admins, Enterprise Admins, Schema Admins gibi hassas gruplar,
Süresi dolmayan parolalar,
Uzun süredir aktif olmayan yönetici hesapları,
Açıklama alanında parola barındıran hesaplar,
krbtgt hesabının yaşı,

Kerberos ve Kimlik Doğrulama Zafiyetleri

Kerberoast’a açık servis hesapları,
AS-REP roast’a açık kullanıcılar,
DES-only encryption kullanan hesaplar,
RC4-HMAC’e izin veren yapılandırmalar,
adminCount=1 + SPN kombinasyonu gibi yüksek riskli senaryolar,

Delegation Kontrolleri

Unconstrained Delegation yapılandırmaları,
Constrained Delegation ve S4U2Self geçişleri,
Domain Controller servislerine delegasyon yapan yüksek riskli hesaplar,
RBCD (Resource-Based Constrained Delegation) kontrolleri,

ADCS / PKI Analizi

ESC1’den ESC15’e kadar bilinen ADCS zafiyetleri,
Zayıf anahtar boyutları,
Enrollment izinlerinin analizi,

ACL ve Yetki İncelemesi

DCSync yetkileri,
AdminSDHolder ACL analizi,
Protected Users grubu kontrolleri,
Hassas nesneler üzerindeki riskli yazma izinleri,

Hesap Hijyeni

Uzun süredir kullanılmayan kullanıcı ve bilgisayar hesapları,
Hiç giriş yapmamış hesaplar,
PASSWD_NOTREQD flag,
Çift (duplicate) SPN kayıtları,

Protokol ve Legacy Güvenlik

SMBv1 kullanımı,
SMB signing enforcement,
Null session kabulü,
NTLMv1 ve WDigest rehberliği,
LDAP signing ve channel binding kontrol notları,

GPO ve SYSVOL Analizi

Yetim, boş veya bağlantısız GPO’lar,
SYSVOL içinde cpassword içeren GPP dosyalarının tespiti (MS14-025),
GPP şifrelerinin Microsoft’un bilinen AES anahtarı ile çözülmesi,

SID History ve Shadow Credentials

sIDHistory alanı dolu hesaplar,
Yetkili gruplara enjekte edilmiş SID’ler,
msDS-KeyCredentialLink üzerinden şüpheli sertifika tabanlı kimlik doğrulama girişimleri,

Altyapı ve Replikasyon

Tek Domain Controller riski,
FSMO rol dağılımı,
FRS yerine DFSR kullanımı,
Site/subnet yapılandırma hataları,
Replikasyon aralıkları,

Bu kapsam sayesinde ADPulse hem klasik yapılandırma hatalarını hem de modern saldırı tekniklerine zemin hazırlayan yanlış yapılandırmaları ortaya çıkarır.

Raporlama ve Görselleştirme

ADPulse çıktıları üç farklı formatta üretir:

Konsol Çıktısı

Renk kodlu ve hızlı okunabilir terminal çıktısı sayesinde kritik bulgular anında fark edilir.

JSON

Makine tarafından işlenebilir yapıdadır. SIEM sistemleri, ticketing platformları veya özel dashboard’lar ile entegrasyon için idealdir.

HTML Rapor

Koyu temalı, tek dosya halinde üretilen detaylı bir rapordur.
İçerisinde:

Severity rozetleri
Açılır/kapanır bölümler
İstatistik kartları
Risk skoru özeti
ADCS şablon envanteri bulunur. Teknik ekipler ve yöneticiler için anlaşılır bir özet sunar.

Skorlama Mantığı

ADPulse güvenlik durumunu sayısal bir skorla özetler.

Başlangıç puanı 100’dür ve her bulgu belirli bir puan düşürür.

80–100 → LOW
60–79 → MEDIUM
40–59 → HIGH
0–39 → CRITICAL

Bu yaklaşım sayesinde hem teknik ekipler hem de yönetim tarafı güvenlik seviyesini hızlıca değerlendirebilir.

Nasıl Çalışır?

Bağlantı
Önce LDAPS (636) denenir, başarısız olursa LDAP (389) ile bağlanılır. NTLM veya SIMPLE bind kullanılır.
Tarama
35 kontrol LDAP sorguları ile gerçekleştirilir. Bazı kontroller için:
- SMB port 445 üzerinden hafif ağ testleriSYSVOL dosya sistemi taramasıBinary DACL çözümlemesi yapılır.
Skorlama
Her bulgu severity seviyesine göre değerlendirilir ve toplam skor hesaplanır.
Raporlama
Sonuçlar konsola yazdırılır ve isteğe bağlı olarak JSON ve HTML formatında dışa aktarılır.

Tüm işlemler salt okunur olarak gerçekleştirilir.

Güvenlik ve Operasyonel Notlar

Domain kimlik bilgileri güvenli şekilde saklanmalıdır.
HTML raporlar hassas bilgiler içerebilir (hesap adları, grup üyelikleri, SPN detayları, çözümlenmiş GPP parolaları).
SMB probe kontrolleri ağ seviyesinde test içerir; yetkili ortamlarda çalıştırılmalıdır.
GPP/cpassword kontrolü için SYSVOL erişimi gereklidir.

Sınırlamalar

NTLMv1, WDigest ve bazı LDAP signing ayarları registry tabanlıdır; LDAP üzerinden okunamaz ve manuel doğrulama gerektirir.
GPO içerikleri tamamen parse edilmez (metadata seviyesinde analiz edilir).
Çok büyük domain’lerde 10.000 sonuç limitli LDAP sorguları ek yapılandırma gerektirebilir.
Windows Hello for Business kullanılan ortamlarda Shadow Credentials bulguları manuel inceleme gerektirir.

ADPulse, Active Directory güvenliğini karmaşık kurumsal araçlara ihtiyaç duymadan analiz etmek isteyen ekipler için pratik, kapsamlı ve güvenli bir çözümdür. Hem hızlı bir ilk değerlendirme aracı olarak hem de düzenli güvenlik kontrolleri için kullanılabilir.

Kaynak : https://github.com/dievus/ADPulse