griffin31-lab/Griffin31-ToolKit

# Griffin31 ToolKit ### Microsoft 365、Entra ID 和云身份的开源安全工具。

由安全工程师构建，专为安全工程师服务。生产级 PowerShell 工具
这些工具与 Griffin31 态势管理平台相辅相成。

官方网站  ·  讨论  ·  报告问题  ·  安全策略

## 为什么要使用 Griffin31 ToolKit？ Microsoft 365 和 Entra ID 是现代企业的入口门，也是最常见的攻击目标。内置工具无法覆盖所有角落：老旧设备、权限过度的应用程序、过期凭证、条件访问盲点、SPF 配置错误、Exchange 权限泛滥。 该工具包是一组**专注于生产环境的脚本**——每个脚本解决一个我们在实际环境中遇到的单一问题。无安装程序、无云端后端、无遥测。下载、运行、查看输出。 已在 Griffin31 内部针对真实客户租户使用，并在此公开供社区使用。 ## 工具列表

### [CA-Policy-Analyzer](CA-Policy-Analyzer/) **条件访问态势、差距与分析** 导出完整的 CA 配置，对每个策略进行 0-100 分评分，标记与 Microsoft 2026 最佳实践的租户级差距（包括 2026 年 5 月的强制执行变更），并生成包含态势评分、优先级排序的洞察以及每个策略详细分析的独立 HTML 报告。 `Conditional Access` · `Entra ID` · `Posture` · `Zero Trust`	### [Entra-AppCredentials-Audit](Entra-AppCredentials-Audit/) **捕获过期和即将过期的应用注册凭证** 扫描所有应用注册，标记即将过期或已过期的证书和客户端密钥，解析所有者，并可选择移除已过期的凭证。生成包含直接链接到 Entra 门户的 Excel 报告。 `Entra ID` · `App Registrations` · `Credential Hygiene`
### [CA-Update-AffectedApps](CA-Update-AffectedApps/) **为 Microsoft 2026 年 5 月的强制执行变更做准备** 识别使用基本 OIDC 范围的租户应用，交叉引用登录日志中的 MFA 状态，并生成 Excel 风险报告，以便在 Microsoft 的强制执行变更破坏身份验证之前进行修复。 `Conditional Access` · `App Assessment` · `MFA`	### [Entra-StaleDevices-Cleanup](Entra-StaleDevices-Cleanup/) **审计、禁用或删除陈旧设备** 查找超过 X 天未登录的设备，按操作系统和所属身份过滤，显示完整审计信息（包括 MDM 信息），然后提供决策选项——仅导出、禁用或删除。 `Entra ID` · `Device Management` · `Compliance`
### [EXO-AppPermissions-Manager](EXO-AppPermissions-Manager/) **Exchange Online 应用到邮箱的范围分配自动化** 创建管理范围、分配角色并在一个流程中验证配置。支持全部 13 种 Exchange 应用角色和所有邮箱类型。 `Exchange Online` · `RBAC` · `Mailbox Scoping`	### [SPF-Lookup-Validator](SPF-Lookup-Validator/) **符合 RFC 7208 的 SPF 链分析** 递归遍历完整的 SPF 包含链，统计实际 DNS 查询次数与 10 次查询限制进行对比，并在影响邮件传递之前捕获配置错误。 `SPF` · `Email Security` · `DNS`

## 快速开始 ``` # Clone the repository git clone https://github.com/griffin31-lab/Griffin31-ToolKit.git cd Griffin31-ToolKit # Pick a tool, open its folder, follow its README cd CA-Policy-Analyzer pwsh ./CA-Manager.ps1 ``` 每个工具都是独立的。大多数工具需要： - **PowerShell 7.x** — [安装指南](https://aka.ms/install-powershell) - **Microsoft.Graph 模块** — 首次运行时自动安装 - **委派管理员权限** — 每个工具的 README 中列出了所需的确切作用域 无需 Griffin31 账户。无遥测。无 Microsoft Graph 以外的网络调用。 ## 设计原则

#### **一个问题，一个工具** 每个脚本解决一个单一、真实、高频的问题。无框架、无不必要的抽象。

#### **默认安全** 默认情况下为只读。任何破坏性操作都需要明确确认。内置熔断机制。

#### **诚实输出** 报告展示工具能够和不能够确定的信息。不夸大评分，不使用营销数据——输出就是你希望在审计中看到的内容。

## 安全 发现漏洞？请遵循我们的 [安全策略](SECURITY.md) —— 负责任披露至 **security@griffin31.ai**。我们将在 48 小时内响应。 所有工具在发布前均经过供应链风险扫描，并对照 OWASP 和 Microsoft Graph 最小权限原则进行审查。 ## 贡献 我们欢迎贡献——错误修复、新工具、文档改进。 - **问题** — [提交工单](https://github.com/griffin31-lab/Griffin31-ToolKit/issues) 用于报告漏洞和功能请求 - **讨论** — [加入讨论](https://github.com/griffin31-lab/Griffin31-ToolKit/discussions) 提问、分享想法和展示案例 - **贡献指南** — 请参阅 [CONTRIBUTING.md](CONTRIBUTING.md) - **行为准则** — 请参阅 [CODE_OF_CONDUCT.md](CODE_OF_CONDUCT.md) ## 关于 Griffin31 [Griffin31](https://www.griffin31.com) 正在构建 Microsoft 365 的安全态势管理平台——持续监控、优先推荐和自动修复，涵盖 Entra ID、Exchange Online、SharePoint、Teams 和 Intune。 该工具包是同一分析引擎的免费开源基础，这些引擎也支撑着我们的商业产品。

标签：AD攻击面, AI合规, Entra ID, Exchange权限, GitHub开源, Libemu, M365安全, Microsoft 365, PB级数据处理, PowerShell安全, SEO, SPF配置, URL发现, 云平台安全, 云身份安全, 关键词优化, 凭证安全, 安全合规, 安全工具集, 安全工程师工具, 安全检测, 安全运维, 开源安全工具包, 权限管理, 条件访问, 模型越狱, 生产级脚本, 网络代理, 设备安全, 身份安全