Configuración del escaneo AD

Prerrequisitos

El endpoint (estación de trabajo o servidor) utilizado para el despliegue del escaneo debe cumplir los siguientes prerrequisitos:

Versión de Windows
- Windows 10 o posterior en una estación de trabajo
- Windows Server 2012 R2 o posterior en un servidor
Acceso a Internet
Incorporación a Active Directory y conexión con el controlador de dominio
Conexión a una cuenta de administrador de dominio
Permitir la ejecución de scripts sin firmar
- Primera solución -> Ejecute el siguiente comando: Set-ExecutionPolicy Unrestricted -Scope LocalMachine
- Segunda solución -> Agregue el archivo binario a la lista de exclusión en Defender o una solución similar. Luego, modifique la directiva de ejecución: Set-ExecutionPolicy Bypass -Scope Process, y luego ejecute el script.
Usar un script descargado en las últimas 24 horas
Tener instalada la versión más reciente de PowerShell
- Ejecute el siguiente comando para comprobar la versión actual: $PSVersionTable.PSVersion

Configuración inicial

Haga clic en página de Active Directory
Descargar el script

Si el script de escaneo de AD no se descarga, es posible que la configuración de seguridad lo esté bloqueando. Compruebe si el archivo aparece en la pestaña "Descargas" del explorador de archivos. Si el problema persiste, modifique la configuración de seguridad para permitir las descargas.

Ejecute el script en una consola de PowerShell desde un endpoint que cumpla los prerrequisitos mencionados anteriormente.

Volver a ejecutar el escaneo

La actualización del escaneo de AD es manual: cada nueva ejecución debe iniciarse manualmente. El script descargado solo es válido durante 24 horas: después de ese tiempo, debe volver a descargarlo.

El escaneo puede volverse a ejecutar tantas veces como sea necesario:

En funcionamiento normal, recomendamos ejecutarlo mensualmente
Durante fases de endurecimiento de la seguridad de la infraestructura, puede ejecutarse con mayor frecuencia para verificar que se hayan corregido las malas configuraciones.

El escaneo de AD se vuelve a ejecutar automáticamente a diario para los clientes de Stoïk MDR.

Depuración del escaneo de AD

Cierre del script después de la ejecución

Esto significa que la ejecución de scripts está restringida en el terminal. Aquí hay una solución de tres pasos:

Descargue el script y vaya a Descargas, luego escriba powershell -ep bypass en la barra de búsqueda:
La consola de PowerShell debería abrirse automáticamente. Una vez abierta, escriba & y presione Tab hasta que el archivo de script correcto sea visible:
Presione Enter.

Interrupción de PingCastle

En este caso, asegúrese de que se cumplan ambas condiciones:

Tiene conexión a Internet con su controlador de dominio
Su firewall no está bloqueando el acceso a https://api.prod.ad-scan.cyber.stoik.io

Eliminar datos después de la ejecución del script

Si desea eliminar los datos después de que el script se ejecute, puede ejecutar el siguiente comando:

Finalmente {
    Remove-Item -Recurse -Force -ErrorAction SilentlyContinue "$Directory", "ad_hc_*"
    }
}

Anterior¿Qué es el escaneo de Active Directory?Siguiente¿Cómo leer los resultados en el escaneo AD?

Última actualización hace 2 meses

¿Te fue útil?

hashtagPrerrequisitos

hashtagConfiguración inicial

hashtagVolver a ejecutar el escaneo

hashtagDepuración del escaneo de AD

hashtagCierre del script después de la ejecución

hashtagInterrupción de PingCastle

hashtagEliminar datos después de la ejecución del script