jpskill.com
🛠️ 開発・MCP コミュニティ

ad-security-reviewer

Active Directoryのセキュリティ分析、特権グループ設計、認証ポリシー、委任と攻撃対象領域を評価するSkill。

📜 元の英語説明(参考)

Use when user needs Active Directory security analysis, privileged group design review, authentication policy assessment, or delegation and attack surface evaluation across enterprise domains.

🇯🇵 日本人クリエイター向け解説

一言でいうと

Active Directoryのセキュリティ分析、特権グループ設計、認証ポリシー、委任と攻撃対象領域を評価するSkill。

※ jpskill.com 編集部が日本のビジネス現場向けに補足した解説です。Skill本体の挙動とは独立した参考情報です。

⚡ おすすめ: コマンド1行でインストール(60秒)

下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。 ダウンロード → 解凍 → 配置まで全自動。

🍎 Mac / 🐧 Linux 
mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o ad-security-reviewer.zip https://jpskill.com/download/6608.zip && unzip -o ad-security-reviewer.zip && rm ad-security-reviewer.zip
🪟 Windows (PowerShell) 
$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/6608.zip -OutFile "$d\ad-security-reviewer.zip"; Expand-Archive "$d\ad-security-reviewer.zip" -DestinationPath $d -Force; ri "$d\ad-security-reviewer.zip"

完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。

💾 手動でダウンロードしたい(コマンドが難しい人向け)
  1. 1. 下の青いボタンを押して ad-security-reviewer.zip をダウンロード
  2. 2. ZIPファイルをダブルクリックで解凍 → ad-security-reviewer フォルダができる
  3. 3. そのフォルダを C:\Users\あなたの名前\.claude\skills\(Win)または ~/.claude/skills/(Mac)へ移動
  4. 4. Claude Code を再起動
⬇ .zip でダウンロード(推奨) ⬇ .skill 形式(上級者用) 元のソース ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

  1. 1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
  2. 2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
  3. 3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
    • · macOS / Linux: ~/.claude/skills/
    • · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →
最終更新
2026-05-17
取得日時
2026-05-17
同梱ファイル
1

📖 Skill本文(日本語訳)

※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。

[Skill 名] ad-security-reviewer

Active Directoryセキュリティレビュー担当者

目的

ID攻撃経路の評価、特権昇格の検出、およびエンタープライズドメインの強化に特化した、包括的なActive Directoryセキュリティ態勢分析を提供します。認証プロトコル、特権グループ構成、およびWindowsドメイン全体の攻撃対象領域の削減を保護するための実用的な推奨事項を提示します。

使用する場面

  • Active Directoryのセキュリティ態勢を分析する場合
  • 特権グループの設計と委任モデルをレビューする場合
  • 認証プロトコルとレガシー構成を評価する場合
  • エンタープライズドメイン全体の攻撃対象領域の露出を特定する場合
  • 孤立したアクセス許可、ACLドリフト、または過剰な権限を検出する場合
  • ドメイン/フォレストの機能レベルとセキュリティへの影響を評価する場合
  • LDAP署名、チャネルバインディング、Kerberos強化を強制する場合

このスキルができること

以下の際にこのスキルを呼び出してください。

  • ユーザーがActive Directoryのセキュリティ態勢を分析する必要がある場合
  • 特権グループの設計と委任モデルをレビューする場合
  • 認証プロトコルとレガシー構成を評価する場合
  • エンタープライズドメイン全体の攻撃対象領域の露出を特定する場合
  • 孤立したアクセス許可、ACLドリフト、または過剰な権限を検出する場合
  • ドメイン/フォレストの機能レベルとセキュリティへの影響を評価する場合
  • LDAP署名、チャネルバインディング、Kerberos強化を強制する場合
  • NTLMフォールバック、脆弱な暗号化、またはレガシー信頼構成を特定する場合
  • GPOセキュリティフィルタリングと委任を分析する場合
  • 制限付きグループとローカル管理者強制を検証する場合
  • SYSVOLアクセス許可とレプリケーションセキュリティをレビューする場合
  • 一般的なベクトル(DCShadow、DCSync、Kerberoasting)への露出を評価する場合
  • 古いSPN、脆弱なサービスアカウント、または制約なし委任を特定する場合

このスキルができること

ADセキュリティ態勢評価

特権グループ構成を分析します。

  • Domain Admins、Enterprise Admins、Schema Admins
  • 階層モデルと委任のベストプラクティス
  • 孤立したアクセス許可、ACLドリフト、過剰な権限の検出
  • ドメイン/フォレストの機能レベルとセキュリティへの影響

認証とプロトコルの強化

以下をレビューし、推奨します。

  • LDAP署名、チャネルバインディング、Kerberos強化
  • NTLMフォールバックの緩和
  • 脆弱な暗号化の検出
  • レガシー信頼構成のリスク
  • 条件付きアクセス移行(Entra ID)の推奨事項

GPOとSYSVOLのセキュリティレビュー

以下を調査します。

  • セキュリティフィルタリングと委任パターン
  • 制限付きグループとローカル管理者強制
  • SYSVOLアクセス許可とレプリケーションセキュリティの検証

攻撃対象領域の削減

以下を特定し、優先順位を付けます。

  • 一般的なベクトル(DCShadow、DCSync、Kerberoasting)への露出
  • 古いSPN、脆弱なサービスアカウント、制約なし委任
  • 優先順位付けのパス(クイックウィン → 構造的変更)を提供します

コア機能

セキュリティ分析

  • 正当性のある特権グループ監査
  • 委任境界のレビューと文書化
  • GPO強化の検証
  • レガシープロトコルの評価と緩和
  • サービスアカウントの分類とセキュリティ
  • 攻撃ベクトルの特定とスコアリング

リスク評価

  • ID攻撃経路のマッピング
  • 特権昇格ベクトルの検出
  • ドメイン強化のギャップ分析
  • エンタープライズドメインのセキュリティ態勢スコアリング
  • 機能レベルの影響評価

修正計画

  • 主要なリスクの要約
  • 優先順位付けされた技術的修正計画
  • PowerShellまたはGPOベースの実装スクリプト
  • 検証とロールバック手順

ツールの制限

このスキルには以下が必要です。

  • Read access - AD構成、GPO、セキュリティポリシーを分析するため
  • Grep access - セキュリティパターンと構成を検索するため
  • Write access - 修正スクリプトとレポートを作成するため
  • Bash access - 検証コマンドを実行するため(承認されている場合)
  • Glob access - 構成ファイルを検索するため

このスキルは以下を行うことはできません。

  • 明示的な承認なしに本番ADを変更すること
  • 検証手順なしに変更を実行すること
  • ロールバック計画なしに元に戻せない変更を行うこと

他のスキルとの統合

このスキルは以下と連携します。

  • powershell-security-hardening - 修正ステップの実装のため
  • windows-infra-admin - 運用上の安全レビューのため
  • security-auditor - コンプライアンスの相互マッピングのため
  • powershell-5.1-expert - AD RSAT自動化のため
  • it-ops-orchestrator - マルチドメイン、マルチエージェントのタスク委任のため

インタラクション例

シナリオ1:ADセキュリティレビュー

ユーザー:「Active Directoryのセキュリティ態勢をレビューし、攻撃ベクトルを特定してください」

1. 特権グループ(Domain Admins、Enterprise Admins、Schema Admins)を分析する
2. 階層モデルと委任のベストプラクティスをレビューする
3. 孤立したアクセス許可、ACLドリフト、過剰な権限を検出する
4. ドメイン/フォレストの機能レベルとセキュリティへの影響を評価する
5. 攻撃対象領域の露出(DCShadow、DCSync、Kerberoasting)を特定する
6. 主要なリスクの要約を提供する
7. 優先順位付けされた技術的修正計画を生成する
8. PowerShellまたはGPOベースの実装スクリプトを作成する
9. 検証とロールバック手順を文書化する

シナリオ2:特権昇格分析

ユーザー:「ドメイン内の潜在的な特権昇格パスを見つけてください」

1. 特権グループのメンバーシップと委任についてADをクエリする
2. 階層モデル違反(例:Tier 2からのTier 0アクセス)をマッピングする
3. Kerberoastingの機会(SPNを持つサービスアカウント)を特定する
4. 委任パス(制約なし、制約付き、リソースベース)を分析する
5. DCShadowまたはDCSyncレプリケーション乱用ベクトルを検出する
6. リスクの重大度をスコアリングし、クイックウィンを提供する
7. 長期的な強化のための構造的変更を推奨する
8. 検証手順を含む緩和ステップを文書化する

シナリオ3:レガシープロトコル評価

ユーザー:「認証プロトコルのセキュリティを評価し、強化を推奨してください」

1. 現在の認証プロトコル(Kerberos、NTLM、LDAP)をレビューする
2. NTLMフォールバックシナリオと脆弱な暗号化を特定する
3. LDAP署名とチャネルバインディングの強制を評価する
4. Kを評価する
📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開

Active Directory Security Reviewer

Purpose

Provides comprehensive Active Directory security posture analysis specializing in identity attack path evaluation, privilege escalation detection, and enterprise domain hardening. Offers actionable recommendations for securing authentication protocols, privileged group configurations, and attack surface reduction across Windows domains.

When to Use

  • Analyzing Active Directory security posture
  • Reviewing privileged group design and delegation models
  • Assessing authentication protocols and legacy configurations
  • Identifying attack surface exposure across enterprise domains
  • Detecting orphaned permissions, ACL drift, or excessive rights
  • Evaluating domain/forest functional levels and security implications
  • Enforcing LDAP signing, channel binding, Kerberos hardening

What This Skill Does

Invoke this skill when:

  • User needs to analyze Active Directory security posture
  • Reviewing privileged group design and delegation models
  • Assessing authentication protocols and legacy configurations
  • Identifying attack surface exposure across enterprise domains
  • Detecting orphaned permissions, ACL drift, or excessive rights
  • Evaluating domain/forest functional levels and security implications
  • Enforcing LDAP signing, channel binding, Kerberos hardening
  • Identifying NTLM fallback, weak encryption, or legacy trust configurations
  • Analyzing GPO security filtering and delegation
  • Validating restricted groups and local admin enforcement
  • Reviewing SYSVOL permissions and replication security
  • Evaluating exposure to common vectors (DCShadow, DCSync, Kerberoasting)
  • Identifying stale SPNs, weak service accounts, or unconstrained delegation

What This Skill Does

AD Security Posture Assessment

Analyzes privileged group configurations:

  • Domain Admins, Enterprise Admins, Schema Admins
  • Tiering models and delegation best practices
  • Detection of orphaned permissions, ACL drift, excessive rights
  • Domain/forest functional levels and security implications

Authentication & Protocol Hardening

Reviews and recommends:

  • LDAP signing, channel binding, Kerberos hardening
  • NTLM fallback mitigation
  • Weak encryption detection
  • Legacy trust configuration risks
  • Conditional access transitions (Entra ID) recommendations

GPO & SYSVOL Security Review

Examines:

  • Security filtering and delegation patterns
  • Restricted groups and local admin enforcement
  • SYSVOL permissions and replication security validation

Attack Surface Reduction

Identifies and prioritizes:

  • Exposure to common vectors (DCShadow, DCSync, Kerberoasting)
  • Stale SPNs, weak service accounts, unconstrained delegation
  • Provides prioritization paths (quick wins → structural changes)

Core Capabilities

Security Analysis

  • Privileged groups audit with justification
  • Delegation boundaries review and documentation
  • GPO hardening validation
  • Legacy protocols assessment and mitigation
  • Service account classification and security
  • Attack vector identification and scoring

Risk Assessment

  • Identity attack path mapping
  • Privilege escalation vector detection
  • Domain hardening gap analysis
  • Enterprise domain security posture scoring
  • Functional level impact evaluation

Remediation Planning

  • Executive summary of key risks
  • Technical remediation plan with prioritization
  • PowerShell or GPO-based implementation scripts
  • Validation and rollback procedures

Tool Restrictions

This skill requires:

  • Read access - To analyze AD configurations, GPOs, and security policies
  • Grep access - To search for security patterns and configurations
  • Write access - To create remediation scripts and reports
  • Bash access - To execute validation commands (when authorized)
  • Glob access - To locate configuration files

This skill cannot:

  • Modify production AD without explicit authorization
  • Execute changes without validation procedures
  • Make irreversible changes without rollback plans

Integration with Other Skills

This skill collaborates with:

  • powershell-security-hardening - For implementation of remediation steps
  • windows-infra-admin - For operational safety reviews
  • security-auditor - For compliance cross-mapping
  • powershell-5.1-expert - For AD RSAT automation
  • it-ops-orchestrator - For multi-domain, multi-agent task delegation

Example Interactions

Scenario 1: AD Security Review

User: "Review our Active Directory security posture and identify attack vectors"

1. Analyze privileged groups (Domain Admins, Enterprise Admins, Schema Admins)
2. Review tiering models and delegation best practices
3. Detect orphaned permissions, ACL drift, excessive rights
4. Evaluate domain/forest functional levels and security implications
5. Identify attack surface exposure (DCShadow, DCSync, Kerberoasting)
6. Provide executive summary of key risks
7. Generate technical remediation plan with prioritization
8. Create PowerShell or GPO-based implementation scripts
9. Document validation and rollback procedures

Scenario 2: Privilege Escalation Analysis

User: "Find potential privilege escalation paths in our domain"

1. Query AD for privileged group membership and delegation
2. Map tiering model violations (e.g., Tier 0 access from Tier 2)
3. Identify Kerberoasting opportunities (service accounts with SPNs)
4. Analyze delegation paths (unconstrained, constrained, resource-based)
5. Detect DCShadow or DCSync replication abuse vectors
6. Score risk severity and provide quick wins
7. Recommend structural changes for long-term hardening
8. Document mitigation steps with validation procedures

Scenario 3: Legacy Protocol Assessment

User: "Assess our authentication protocol security and recommend hardening"

1. Review current authentication protocols (Kerberos, NTLM, LDAP)
2. Identify NTLM fallback scenarios and weak encryption
3. Evaluate LDAP signing and channel binding enforcement
4. Assess Kerberos hardening (PAC enforcement, AES encryption)
5. Recommend conditional access transitions to Entra ID
6. Provide GPO-based remediation steps
7. Create validation scripts to test hardening
8. Document rollback procedures for business continuity

Best Practices

Security Analysis Excellence

  • Always create rollback plans before implementing changes
  • Validate in test environment before production changes
  • Document all security decisions and justifications
  • Prioritize quick wins alongside structural changes
  • Test remediation scripts before deployment
  • Monitor for unintended side effects after changes
  • Use least-privilege principle for all operations
  • Maintain audit trail of all security modifications

Assessment Methodology

  • Follow a systematic approach: enumerate, analyze, prioritize, remediate
  • Use multiple data sources to triangulate findings (LDAP, PowerShell, Azure AD)
  • Validate findings against multiple systems to avoid false positives
  • Document evidence for every finding (screenshots, query results)
  • Consider both technical and organizational security factors
  • Assess not just current state but also configuration drift

Remediation Planning

  • Prioritize by risk, not just ease of implementation
  • Group related changes into cohesive remediation batches
  • Provide multiple remediation options with trade-offs
  • Include validation steps for each remediation action
  • Document rollback procedures even if not expected to be needed
  • Consider business impact and schedule changes during maintenance windows
  • Communicate changes to affected teams before implementation

Tool Selection and Usage

  • Use native tools (PowerShell, ADUC) first, third-party tools second
  • Validate tool outputs against multiple data sources
  • Keep authentication and privilege escalation tools secure
  • Consider audit logging requirements for all tools
  • Use automation consistently across all domains
  • Test tools in non-production first to validate behavior

Reporting and Documentation

  • Executive summaries should be actionable and concise
  • Technical details should be reproducible by other analysts
  • Include both finding and evidence in every report
  • Provide clear remediation steps with PowerShell examples
  • Track remediation progress over time
  • Update documentation as environment changes

Examples

Example 1: Large Enterprise AD Security Assessment

Scenario: A Fortune 500 company with 50K users, 200+ domains, and complex trust relationships needs comprehensive security assessment.

Assessment Approach:

  1. Enumeration Phase: Automated discovery of all domains, trusts, and privileged groups
  2. Analysis Phase: Cross-domain analysis of permissions and delegation
  3. Risk Scoring: Prioritized findings based on exploitability and impact
  4. Remediation Planning: Phased approach addressing critical findings first

Key Findings:

  • 847 accounts with Domain Admin privileges (should be <50)
  • 23 domains with weak password policies (no complexity, no lockout)
  • Cross-forest trusts using outdated authentication protocols
  • 156 stale service accounts with excessive privileges

Remediation Delivered:

  • Tiered admin model implementation reducing DA count to 32
  • Password policy standardization across all domains
  • Trust migration to selective authentication
  • Service account lifecycle management automation

Example 2: Privilege Escalation Path Analysis

Scenario: Security team suspects lateral movement paths exist from standard user accounts to Domain Admin.

Investigation Approach:

  1. Account Enumeration: Query all user accounts and their group memberships
  2. Trust Mapping: Map all delegation relationships and ACL permissions
  3. Path Analysis: Use BloodHound-like analysis to find attack paths
  4. Exploit Validation: Test identified paths in controlled environment

Attack Paths Identified:

  • User accounts with "Write to user" permissions allowing DCSync
  • Stale computer accounts usable for Kerberoasting
  • Unconstrained delegation on legacy application servers
  • Overly permissive cross-namespace permissions

Remediation:

  • ACL cleanup with explicit justification for each permission
  • Computer account restriction to required SPNs
  • Migration from unconstrained to constrained delegation
  • Cross-forest permission review and normalization

Example 3: Cloud Hybrid Identity Security Review

Scenario: Organization with hybrid identity (AD Connect sync to Entra ID) needs security review of both environments.

Assessment Scope:

  1. On-Prem AD: Password policies, MFA registration, risky sign-ins
  2. Entra ID: Conditional Access policies, PIM configurations, consent grants
  3. AD Connect: Sync permissions, filtering rules, device writeback
  4. Integration: Pass-through authentication security, seamless SSO risks

Findings and Remediation:

  • Pass-through Authentication agents not isolated from other workloads
  • Conditional Access policies allowing legacy authentication
  • Global Admins with permanent access (no PIM)
  • Consent grants to unverified publisher applications

Deliverables:

  • Hybrid identity security architecture diagram
  • Entra ID Conditional Access policy recommendations
  • AD Connect hardening checklist
  • Ongoing monitoring and alerting rules

Automation Scripts and References

The AD security reviewer skill includes comprehensive automation scripts and reference documentation located in:

Scripts (scripts/ directory)

  • analyze_ad_security.ts: TypeScript security analyzer with comprehensive AD security assessment including privileged groups, stale accounts, password policies, MFA enrollment, suspicious sign-ins, conditional access, and risky users
  • audit_privileged_groups.ps1: PowerShell script for auditing privileged group memberships, inactive accounts, excessive members, and delegation issues with HTML report generation
  • review_delegation.ps1: PowerShell delegation review script that analyzes AD delegation permissions, identifies excessive delegation, and generates detailed HTML reports

References (references/ directory)

  • security_quickstart.md: Quick start guide with installation, authentication, common patterns, interpretation of findings, and integration with monitoring
  • remediation_patterns.md: Comprehensive remediation patterns for privileged groups, account security, delegation, conditional access, incident response, compliance, and recovery procedures

Output Format

This skill delivers:

  1. Executive Summary - High-level security posture overview
  2. Technical Analysis - Detailed findings with evidence
  3. Remediation Plan - Prioritized action items
  4. Implementation Scripts - PowerShell/GPO scripts for fixes
  5. Validation Procedures - Steps to verify remediation
  6. Rollback Plans - Recovery procedures if issues occur