🇫🇷 Français | 🇬🇧 English
DelegationAudit-AD est un outil d'audit de sécurité 100% défensif pour la délégation Kerberos dans Active Directory. Il détecte les configurations à risque et recommande des remédiations via des requêtes LDAP en lecture seule.
Aucun code d'exploitation n'est inclus.
-
Audit de délégation Kerberos :
- Énumération de la délégation non contrainte (Unconstrained)
- Énumération de la délégation contrainte (Constrained)
- Détection de la transition de protocole (S4U2Self)
- Énumération RBCD (Resource-Based Constrained Delegation)
- Classification par risque et inventaire complet
- Détection des comptes périmés avec délégation
-
Analyse de risque :
- Graphe NetworkX des relations de délégation
- Détection de chaînes de délégation multi-sauts
- Scoring de risque par entrée et global
- Conformité ANSSI (7 contrôles de délégation)
- Bonnes pratiques Microsoft (5 recommandations)
-
Recommandations de durcissement :
- Plan de remédiation en 4 phases
- Scripts PowerShell d'audit (lecture seule)
- Guide de migration vers RBCD et gMSA
- Mapping MITRE ATT&CK
-
Rapports :
- Dashboard HTML avec graphe de délégation
- JSON structuré
- Markdown
pip install -e ".[dev]"# Audit de délégation complet
delegationaudit-ad audit -s dc01.corp.local -d corp.local -u admin@corp.local -p 'Password'
# Analyse de risque
delegationaudit-ad risks --audit-results audit_output.json
# Plan de durcissement
delegationaudit-ad harden --risk-results risk_output.json
# Graphe de délégation
delegationaudit-ad graph --audit-results audit_output.json
# Rapports
delegationaudit-ad report --audit-results audit_output.json --risk-results risk.json -o ./reportspytest tests/ -v --cov=src/delegationaudit_adAyi NEDJIMI - contact@ayinedjimi-consultants.fr
DelegationAudit-AD is a 100% defensive security audit tool for Kerberos delegation in Active Directory. It detects risky configurations and recommends remediations via read-only LDAP queries.
No exploitation code is included.
-
Kerberos Delegation Audit:
- Unconstrained delegation enumeration
- Constrained delegation enumeration
- Protocol transition (S4U2Self) detection
- RBCD (Resource-Based Constrained Delegation) enumeration
- Risk classification and complete inventory
- Stale delegation detection
-
Risk Analysis:
- NetworkX graph of delegation relationships
- Multi-hop delegation chain detection
- Per-entry and overall risk scoring
- ANSSI compliance (7 delegation controls)
- Microsoft best practices (5 recommendations)
-
Hardening Recommendations:
- 4-phase remediation plan
- Read-only PowerShell audit scripts
- Migration guide to RBCD and gMSA
- MITRE ATT&CK mapping
-
Reports:
- HTML dashboard with delegation graph
- Structured JSON
- Markdown
pip install -e ".[dev]"# Full delegation audit
delegationaudit-ad audit -s dc01.corp.local -d corp.local -u admin@corp.local -p 'Password'
# Risk analysis
delegationaudit-ad risks --audit-results audit_output.json
# Hardening plan
delegationaudit-ad harden --risk-results risk_output.json
# Delegation graph
delegationaudit-ad graph --audit-results audit_output.json
# Reports
delegationaudit-ad report --audit-results audit_output.json --risk-results risk.json -o ./reportspytest tests/ -v --cov=src/delegationaudit_adAyi NEDJIMI - contact@ayinedjimi-consultants.fr
This project is licensed under the MIT License - see the LICENSE file for details.