PingCastle 3.5.0.7 - Active Directory 安全检测和评估

PingCastle 3.5.0.7 - Active Directory 安全检测和评估

活动目录域安全分析工具

请访问原文链接：https://sysin.org/blog/pingcastle/ 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

在 20% 的时间内获得 80% 的 Active Directory 安全性

Active Directory 正迅速成为任何大型公司的关键故障点，因为它的安全既复杂又成本高昂。

人员和流程

PingCastle 的诞生基于一个发现：仅基于技术的安全是行不通的。这就是为什么 公司关注流程和人员 而不仅仅是技术。我们不卖产品！

使用我们的工具并应用我们的方法或查看我们的合作伙伴如何为您带来更多价值。

基于成熟度的方法论

我们不提供保护您的基础设施的解决方案 (sysin)。相反，我们提供工具来发现您必须保护的内容、评估其安全级别并提供有关分配的预算是否得到有效利用的见解。

对于 IT 运营

帮助检测关键安全问题、了解技术状况并提供解决问题的指导和建议。

对于 IT 管理

评估当前的安全级别，指出是否存在严重风险，并就行动计划的优先事项提供建议。

成熟度和结果

建立 IT 管理和 IT 运营之间的通用词汇并提供成熟度评估

可交付成果

我们专注于您需要的可交付成果。您的关键程度是多少？您知道您有多少个域名吗？你能制作一个用于管理的仪表板吗？

健康检查

可以快速收集 Active Directory 最重要的信息以对其进行概述。它根据模型和规则评估Active Directory子进程的分数。然后基于此评估，报告其风险评估。

示意图

绘制地图是通过“信任”链接的活动目录的表示 (sysin)。根据信息的新鲜度和信任链接的深度，它可能更不准确或更准确。事实上，当开始这个过程时，没有太多可用的信息，PingCastle 使用了一组技巧来尽可能地扩展它。

概览

当上下文信息可用时，PingCastle 可以生成一个仪表板以方便表示其收集的数据。这种视图既有全局层面的，也有局部层面的。

新增功能

PingCastle 3.5.0.37

发布说明

🔐 特权模式更新

• S-Vuln-MS14-068
• S-Vuln-MS17-010
  • 检测逻辑现在会检查域控制器上已安装的热修复程序（hotfix）。

如果未启用特权模式，这些规则将不再被评估。

🛠️ 规则更新与修复

✅ DNS 区域规则

A-DnsZoneUpdate1 & A-DnsZoneUpdate2：

• _msdcs.* 区域现在被归类为关键基础设施
• 报告内容已扩展 (sysin)，新增包含：
  • 区域名称
  • 域名
  • 可分辨名称（Distinguished Name）
  • 分区（Partition）

这使 DNS 相关信息更加清晰，并简化了后续的修复与整改规划。

✅ P-Kerberoasting

• 修复了当用户同时属于多个特权组时产生重复发现项的问题，使结果更加聚焦。
• 报告现在显示：
  • 每个存在风险的用户仅一行
  • 所有关联的组和 SPN 进行汇总展示

✅ T-SIDFiltering

• 修复了在旧版 Windows 2000 林内信任关系中的误报问题。
• 这些信任关系通常由于历史域升级，导致 TrustAttributes = 0。
• 新增基于 CrossRef 的过滤逻辑 (sysin)，能够正确识别林内信任关系，并且不再将其错误标记为不安全。

✅ Microsoft Defender 攻击面缩减（ASR）

• Microsoft 在 Windows Server 2025 中更改了 ASR 策略的位置。
• PingCastle 现在会检查全部三种可能的 GPO 路径。
• 确保在混合服务器版本环境中，ASR 检测依然可靠。

✅ 其他规则修复

• A-DnsZoneAUCreateChild
  • 修复了当域控制器上不存在 DNS 分区时出现的漏报问题。
  • 之前由于一段无法到达的代码路径，部分环境会被完全跳过。
• S-FolderOptions
  • 修复建议现在指向正确的 GPO 路径。

🚀 平台更新：升级至 ASP.NET 8

PingCastle 已升级至 ASP.NET 8，以与 PingCastle Enterprise 保持一致，并希望借此减少过去几个月在部分环境中观察到的杀毒软件误报问题。

✅ 你可以预期的变化

• 可执行文件体积更大（约 200 MB）
  • ASP.NET 8 被直接打包进可执行文件中，以简化运行方式。
  • 不再需要任何外部运行时依赖 (sysin)。
• 配置文件变更
  • 配置文件从 PingCastle.exe.config
    迁移至：appsettings.console.json
• 自动更新行为变更
  • 如果你使用 PingCastleAutoUpdater.exe，则需要执行两次：
    1. 第一次运行：下载新版本
    2. 第二次运行：自动将现有配置迁移到 appsettings.console.json

更新（2026 年 2 月 5 日）
经确认，PingCastle 在发布时由于构建与发布流水线中的顺序问题，错误地发布了未签名的二进制文件。因此，发布版本号已从 3.5.0.33 更新为 3.5.0.37。
这两个版本之间没有任何代码改动，仅对构建与发布流水线进行了调整。

下载地址

PingCastle 3.5.0.7 Professional for Windows (updated February 2026)

• 下载地址：https://sysin.org/blog/pingcastle/

相关产品：Windows 下载汇总