Configurar o Microsoft Entra para Confiança Zero: Proteger identidades e segredos

Autenticação e autorização de usuário e aplicativo são o ponto de entrada em sua infraestrutura de identidade e segredos. Proteger todas as identidades e segredos é uma etapa fundamental em sua jornada de Confiança Zero e um pilar da Iniciativa Do Futuro Seguro.

As recomendações e as verificações de Confiança Zero que fazem parte desse pilar ajudam a reduzir o risco de acesso não autorizado. Proteger identidades e segredos representa o núcleo da Confiança Zero no Microsoft Entra. Os temas incluem o uso adequado de segredos e certificados, limites apropriados em contas privilegiadas e métodos modernos de autenticação sem senha.

Recomendações de segurança de Confiança Zero

Os aplicativos não têm segredos do cliente configurados

Aplicativos que usam segredos do cliente podem armazená-los em arquivos de configuração, codificá-los em scripts ou arriscar sua exposição de outras maneiras. As complexidades do gerenciamento de segredos tornam os segredos do cliente suscetíveis a vazamentos e atraentes para os invasores. Os segredos do cliente, quando expostos, fornecem aos invasores a capacidade de misturar suas atividades com operações legítimas, facilitando o bypass dos controles de segurança. Se um invasor comprometer o segredo do cliente de um aplicativo, ele poderá escalonar seus privilégios dentro do sistema, levando a um acesso e controle mais amplos, dependendo das permissões do aplicativo.

Aplicativos e entidades de serviço que têm permissões para APIs do Microsoft Graph ou outras APIs têm um risco maior porque um invasor pode potencialmente explorar essas permissões adicionais.

Ação de correção

• Afastar aplicativos de segredos compartilhados para identidades gerenciadas e adotar práticas mais seguras.
  • Usar identidades gerenciadas para recursos do Azure
  • Implantar políticas de Acesso Condicional para identidades de carga de trabalho
  • Implementar a verificação secreta
  • Implantar políticas de autenticação de aplicativo para impor práticas de autenticação seguras
  • Criar uma função personalizada com menos privilégios para girar as credenciais do aplicativo
  • Verifique se você tem um processo para fazer a triagem e monitorar aplicativos

Os principais de serviço não têm certificados ou credenciais associados a elas

Entidades de serviço sem credenciais de autenticação adequadas (certificados ou segredos do cliente) criam vulnerabilidades de segurança que permitem que atores de ameaças representem essas identidades. Isso pode levar a acesso não autorizado, movimentação lateral em seu ambiente, escalonamento de privilégios e acesso persistente que é difícil de detectar e corrigir.

Ação de correção

• Para os principais de serviço da sua organização: Adicione certificados ou segredos do cliente ao registro do aplicativo
• Para entidades de serviço externas: examine e remova as credenciais desnecessárias para reduzir o risco de segurança

Os aplicativos não têm certificados com expiração superior a 180 dias

Os certificados, se não armazenados com segurança, podem ser extraídos e explorados por invasores, levando ao acesso não autorizado. Certificados de longa duração são mais propensos a serem expostos ao longo do tempo. As credenciais, quando expostas, fornecem aos invasores a capacidade de misturar suas atividades com operações legítimas, tornando mais fácil ignorar os controles de segurança. Se um invasor comprometer o certificado de um aplicativo, ele poderá escalonar seus privilégios dentro do sistema, levando a um acesso e controle mais amplos, dependendo dos privilégios do aplicativo.

Ação de correção

• Definir configuração de aplicativo baseada em certificado
• Definir autoridades de certificação confiáveis para aplicativos e entidades de serviço no locatário
• Definir políticas de gerenciamento de aplicativos
• Impor padrões de segredo e certificado
• Criar um papel personalizado com privilégios mínimos para alternar as credenciais do aplicativo

Os certificados de aplicativo devem ser renovados regularmente.

Se os certificados não forem rotacionados regularmente, eles poderão dar aos agentes mal-intencionados um longo período para extraí-los e explorá-los, levando ao acesso não autorizado. Quando credenciais como essas são expostas, os invasores podem misturar suas atividades mal-intencionadas com operações legítimas, tornando mais fácil ignorar os controles de segurança. Se um invasor comprometer o certificado de um aplicativo, ele poderá escalonar seus privilégios dentro do sistema, levando a um acesso e controle mais amplos, dependendo dos privilégios do aplicativo.

Consulte todas as entidades de serviço e registros de aplicativo que têm credenciais de certificado. Verifique se a data de início do certificado é inferior a 180 dias.

Ação de correção

• Definir uma política de gerenciamento de aplicativos para gerenciar o tempo de vida do certificado
• Definir uma cadeia de confiança de certificados
• Criar um papel personalizado com privilégios mínimos para rotacionar as credenciais do aplicativo
• Saiba mais sobre políticas de gerenciamento de aplicativos para gerenciar credenciais baseadas em certificado

Impor padrões para segredos e certificados do aplicativo

Sem políticas de gerenciamento de aplicativos adequadas, os atores de ameaça podem explorar credenciais de aplicativo fracas ou configuradas incorretamente para obter acesso não autorizado aos recursos organizacionais. Aplicativos que usam segredos de senha de longa duração ou certificados criam janelas de ataque estendidas em que as credenciais comprometidas permanecem válidas por longos períodos. Se um aplicativo usa segredos do cliente que são codificados em arquivos de configuração ou têm requisitos de senha fracos, os atores de ameaça podem extrair essas credenciais por meio de diferentes meios, incluindo repositórios de código-fonte, despejos de configuração ou análise de memória. Se os atores de ameaça receberem essas credenciais, eles poderão executar movimentação lateral dentro do ambiente, escalonar privilégios se o aplicativo tiver permissões elevadas, estabelecer persistência criando mais credenciais de backdoor, modificar a configuração do aplicativo ou exfiltrar dados. A falta de gerenciamento do ciclo de vida de credenciais permite que as credenciais comprometidas permaneçam ativas indefinidamente, dando aos atores de ameaças acesso sustentado a ativos organizacionais e a capacidade de conduzir a exfiltração de dados, manipulação do sistema ou implantar ferramentas mais mal-intencionadas sem detecção.

A configuração de políticas de gerenciamento de aplicativos apropriadas ajuda as organizações a se manterem à frente dessas ameaças.

Ação de correção

• Saiba como impor padrões de segredo e certificado usando políticas de gerenciamento de aplicativos

Os aplicativos de serviços da Microsoft não têm credenciais configuradas

Os aplicativos de serviços da Microsoft que operam em seu locatário são identificados como entidades de serviço com a ID da organização proprietária "f8cdef31-a31e-4b4a-93e4-5f571e91255a". Quando essas entidades de serviço têm credenciais configuradas em seu locatário, elas podem criar possíveis vetores de ataque que os atores de ameaça podem explorar. Se um administrador adicionou as credenciais e elas não são mais necessárias, elas podem se tornar um alvo para invasores. Embora seja menos provável quando os controles preventivos e detectivos adequados estão em vigor nas atividades privilegiadas, os atores de ameaça também podem maliciosamente adicionar credenciais. Em ambos os casos, os atores de ameaça podem usar essas credenciais para se autenticar como a entidade de serviço, obtendo as mesmas permissões e direitos de acesso que o aplicativo de serviço da Microsoft. Esse acesso inicial poderá levar ao escalonamento de privilégios se o aplicativo tiver permissões de alto nível, permitindo a movimentação lateral entre o locatário. Em seguida, os invasores podem prosseguir para a exfiltração de dados ou estabelecimento de persistência por meio da criação de outras credenciais de backdoor.

Quando as credenciais (como segredos do cliente ou certificados) são configuradas para essas entidades de serviço em seu locatário, isso significa que alguém - um administrador ou um ator mal-intencionado - permitiu que eles se autenticassem independentemente em seu ambiente. Essas credenciais devem ser investigadas para determinar sua legitimidade e necessidade. Se eles não forem mais necessários, eles devem ser removidos para reduzir o risco.

Se essa verificação não for aprovada, a recomendação será "investigar" porque você precisa identificar e examinar todos os aplicativos com credenciais não usadas configuradas.

Ação de correção

• Confirme se as credenciais adicionadas ainda são casos de uso válidos. Caso contrário, remova as credenciais dos aplicativos de serviço da Microsoft para reduzir o risco de segurança.
  • No Centro de administração do Microsoft Entra, navegue até Entra ID>Registros de aplicativos e selecione o aplicativo afetado.
  • Vá para a seção Certificados > segredos e remova as credenciais que não são mais necessárias.

As configurações de consentimento do usuário são restritas

Sem configurações restritas de consentimento do usuário, os atores de ameaça podem explorar configurações permissivas de consentimento do aplicativo para obter acesso não autorizado a dados organizacionais confidenciais. Quando o consentimento do usuário é irrestrito, os invasores podem:

• Use a engenharia social e ataques ilícitos de concessão de consentimento para enganar os usuários a aprovar aplicativos mal-intencionados.
• Faça-se passar por serviços legítimos para solicitar permissões amplas, como acesso a email, arquivos, calendários e outros dados empresariais críticos.
• Obtenha tokens OAuth legítimos que ignoram controles de segurança de perímetro, fazendo com que o acesso pareça normal para sistemas de monitoramento de segurança.
• Estabeleça o acesso persistente aos recursos organizacionais, realize o reconhecimento nos serviços do Microsoft 365, mova-se lateralmente por meio de sistemas conectados e potencialmente escalone privilégios.

O consentimento irrestrito do usuário também limita a capacidade de uma organização de impor a governança centralizada sobre o acesso a aplicativos, dificultando a manutenção da visibilidade de quais aplicativos não microsoft têm acesso a dados confidenciais. Essa lacuna cria riscos de conformidade em que aplicativos não autorizados podem violar regulamentos de proteção de dados ou políticas de segurança organizacional.

Ação de correção

• Defina as configurações restritas de consentimento do usuário para evitar concessões de consentimento ilícitos desabilitando o consentimento do usuário ou limitando-o apenas a editores verificados com permissões de baixo risco.

O fluxo de trabalho de consentimento do administrador está habilitado

Habilitar o fluxo de trabalho de consentimento do administrador em um locatário do Microsoft Entra é uma medida de segurança vital que reduz os riscos associados ao acesso de aplicativos não autorizados e ao escalonamento de privilégios. Essa verificação é importante porque garante que qualquer aplicativo que solicite permissão elevada passe por um processo de revisão por administradores designados antes que o consentimento seja concedido. O fluxo de trabalho de consentimento do administrador na ID do Microsoft Entra notifica os revisores que avaliam e aprovam ou negam solicitações de consentimento com base na legitimidade e necessidade do aplicativo. Se essa verificação não for aprovada, o que significa que o fluxo de trabalho está desabilitado, qualquer aplicativo pode solicitar e potencialmente receber permissões elevadas sem revisão administrativa. Isso representa um risco substancial à segurança, pois atores mal-intencionados podem explorar essa falta de supervisão para obter acesso não autorizado a dados confidenciais, realizar escalonamento de privilégios ou executar outras atividades mal-intencionadas.

Ação de correção

Para solicitações de consentimento do administrador, defina a configuração Usuários podem solicitar consentimento do administrador para aplicativos que não podem consentir, paraSim. Especifique outras configurações, como quem pode examinar solicitações.

• Habilitar o fluxo de trabalho de consentimento do administrador
• Ou utilize a API Update adminConsentRequestPolicy para definir a isEnabled propriedade como true e outras configurações

Alta proporção de administradores globais para usuários privilegiados

Quando as organizações mantêm uma taxa desproporcionalmente alta de Administradores Globais em relação à população total de usuários privilegiados, elas se expõem a riscos de segurança significativos que os atores de ameaças podem explorar por meio de vários vetores de ataque. Atribuições excessivas de Administrador Global criam vários alvos de alto valor para agentes de ameaça que podem explorar o acesso inicial através do comprometimento de credenciais, ataques de phishing ou ameaças internas para obter acesso irrestrito a todo o locatário do Microsoft Entra ID, bem como aos serviços conectados do Microsoft 365.

Ação de correção

• Minimizar o número de atribuições de função de Administrador Global

Os privilégios administrativos são estritamente limitados para impedir o comprometimento

A atribuição excessiva de funções como Administrador Global e Administrador Global de Acesso Seguro cria um caminho para que os atores de ameaças comprometam essas identidades. Com essas funções, um invasor pode autenticar, manipular políticas de segurança, criar ou elevar contas, desabilitar o monitoramento, acessar todos os dados corporativos e muito mais. Limite o acesso a essas funções a um pequeno conjunto de administradores e habilite o monitoramento de atribuições e ativação para grupos, convidados, entidades de serviço e contas desabilitadas para reduzir a superfície de ataque e impor menos privilégios.

Ação de correção

• As contas de acesso de emergência são configuradas adequadamente
• Limite as atribuições de função administrador global e administrador global de acesso seguro a um pequeno conjunto de administradores.
• Definir configurações de função para exigir aprovação para ativação do Administrador Global

Os direitos de administrador do aplicativo são restritos a aplicativos específicos do Acesso Privado

Uma função de Administrador de Aplicativos definida no nível do inquilino pode gerenciar todos os registros de aplicativos e aplicativos empresariais. Se um agente de ameaça comprometer um Administrador de Aplicativos com escopo em todo o locatário, ele poderá adicionar credenciais a qualquer principal de serviço, dar consentimento para APIs mal-intencionadas, modificar ou criar aplicativos que facilitam a exfiltração de dados, e desabilitar ou interferir com aplicativos de Acesso Privado. O escopo da função para apenas aplicativos empresariais de Acesso Privado necessários impõe privilégios mínimos e limita o raio de explosão.

Se você não definir o escopo das atribuições do Administrador de Aplicativos para aplicativos específicos:

• Um Administrador de Aplicativos comprometido pode gerenciar cada registro de aplicativo e aplicativo empresarial em seu locatário.
• Os atores de ameaça podem adicionar credenciais a qualquer principal de serviço, permitindo persistência e movimentação lateral.
• Não há nenhuma contenção de raio de explosão; uma única identidade comprometida pode afetar todos os aplicativos.

Ação de correção

• Atribua funções de Administrador de Aplicativos aplicadas a registros de aplicativos específicos em vez de abrangendo o inquilino inteiro.
• Atribua funções do Microsoft Entra com o menor privilégio necessário para executar as tarefas necessárias.
• Use o Privileged Identity Management para gerenciar a ativação de função just-in-time.
• Gerenciar atribuições de função do Microsoft Entra na central de administração.

Contas com privilégios são identidades nativas de nuvem

Se uma conta local estiver comprometida e for sincronizada com o Microsoft Entra, o invasor também poderá obter acesso ao locatário. Esse risco aumenta porque os ambientes locais normalmente têm mais superfícies de ataque devido à infraestrutura mais antiga e controles de segurança limitados. Os invasores também podem atacar a infraestrutura e as ferramentas usadas para permitir a conectividade entre ambientes locais e o Microsoft Entra. Esses destinos podem incluir ferramentas como o Microsoft Entra Connect ou os Serviços de Federação do Active Directory, onde eles possam representar ou manipular outras contas de usuário no local.

Se contas de nuvem privilegiadas forem sincronizadas com contas locais, um invasor que adquire credenciais para o local poderá usar essas mesmas credenciais para acessar recursos de nuvem e mover-se lateralmente para o ambiente de nuvem.

Ação de correção

• Protegendo o Microsoft 365 contra ataques locais

Para cada função com privilégios altos (atribuídos permanentemente ou qualificados por meio do Microsoft Entra Privileged Identity Management), você deve executar as seguintes ações:

• Examine os usuários que têm onPremisesImmutableId e onPremisesSyncEnabled definidos. Consulte tipo de recurso de usuário da API do Microsoft Graph.
• Crie contas de usuário somente na nuvem para esses indivíduos e remova sua identidade híbrida de funções privilegiadas.

Todas as atribuições de função com privilégios são ativadas sob demanda e não estão permanentemente ativas.

Os atores de ameaça têm como alvo contas privilegiadas porque têm acesso aos dados e recursos desejados. Isso pode incluir mais acesso ao seu locatário do Microsoft Entra, dados no Microsoft SharePoint ou a capacidade de estabelecer persistência de longo prazo. Sem um modelo de ativação JIT (just-in-time), os privilégios administrativos permanecem continuamente expostos, fornecendo aos invasores uma janela estendida para operar sem detecção. O acesso just-in-time mitiga o risco aplicando a ativação de privilégios limitada por tempo, com controles adicionais, como aprovações, justificativas e Política de Acesso Condicional, garantindo que permissões de alto risco sejam concedidas somente quando necessário e por uma duração limitada. Essa restrição minimiza a superfície de ataque, interrompe o movimento lateral e força os adversários a disparar ações que podem ser especialmente monitoradas e negadas quando não são esperadas. Sem acesso just-in-time, as contas de administrador comprometidas concedem controle indefinido, permitindo que os invasores desabilitem controles de segurança, apaguem logs e mantenham a furtividade, ampliando o impacto de um comprometimento.

Use o PIM (Microsoft Entra Privileged Identity Management) para fornecer acesso just-in-time associado ao tempo a atribuições de função privilegiadas. Use revisões de acesso na Governança de ID do Microsoft Entra para examinar regularmente o acesso privilegiado para garantir a necessidade contínua.

Ação de correção

• Começar usando o Privileged Identity Management
• Criar uma revisão de acesso do recurso do Azure e das funções do Microsoft Entra no PIM

Todas as atribuições de função com privilégios do Microsoft Entra são gerenciadas com PIM

Os atores de ameaça que comprometem contas privilegiadas atribuídas permanentemente obtêm acesso contínuo a operações de diretório de alto impacto. Esse acesso estendido permite que os invasores estabeleçam backdoors persistentes, modifiquem as configurações de segurança e desabilitem sistemas de monitoramento. Sem controles de acesso limitados por tempo, contas privilegiadas comprometidas proporcionam controle indefinido do inquilino.

Exigir que as atribuições de função qualificadas sejam ativadas a tempo reduz a superfície de ataque e limita o tempo de permanência do invasor.

Ação de correção

• Usar o Privileged Identity Management para gerenciar funções privilegiadas do Microsoft Entra

Método de autenticação por chave de acesso habilitado

Quando a autenticação com chave de acesso não está habilitada no Microsoft Entra ID, as organizações dependem de métodos de autenticação baseados em senha que são vulneráveis a phishing, roubo de senhas e ataques de reprodução. Os invasores podem usar senhas roubadas para obter acesso inicial, ignorar a autenticação multifator tradicional por meio de ataques AiTM (Adversário no Meio) e estabelecer acesso persistente por meio de roubo de token.

As chaves de acesso fornecem autenticação resistente a phishing usando prova criptográfica que os invasores não podem realizar phishing, interceptar ou reproduzir. Habilitar chaves de passe elimina a vulnerabilidade fundamental que permite cadeias de ataque baseadas em credencial.

Ação de correção

• Saiba como habilitar o método de autenticação passkey.
• Saiba como planejar uma implantação de autenticação sem senha resistente a phishing.

O atestado de chave de segurança é imposto

Quando o atestado de chave de segurança não é imposto, os atores de ameaça podem explorar hardware de autenticação fraco ou comprometido para estabelecer presença persistente em ambientes organizacionais. Sem validação de atestado, atores mal-intencionados podem registrar chaves de segurança FIDO2 não autorizadas ou falsificadas que ignoram controles de segurança com suporte de hardware, permitindo que eles realizem ataques de recheio de credenciais usando autenticadores fabricados que imitam chaves de segurança legítimas. Esse acesso inicial permite que os atores de ameaças escalonem privilégios usando a natureza confiável dos métodos de autenticação de hardware e, em seguida, movem-se lateralmente pelo ambiente registrando chaves de segurança mais comprometidas em contas de alto privilégio. A falta de imposição de atestado cria um caminho para os atores de ameaça estabelecerem comando e controle por meio de métodos de autenticação persistentes baseados em hardware, levando à exfiltração de dados ou ao comprometimento do sistema, mantendo a aparência da autenticação legítima protegida por hardware em toda a cadeia de ataque.

Ação de correção

• Habilite a imposição de atestado por meio da configuração da política de métodos de autenticação.
• Configure a lista aprovada de chaves de segurança pelo Autenticador Atestado Identificador Globalmente Exclusivo (AAGUID).

Contas privilegiadas têm métodos resistentes a phishing registrados

Quando a autenticação com chave de acesso não está habilitada no Microsoft Entra ID, as organizações dependem de métodos de autenticação baseados em senha que são vulneráveis a phishing, roubo de senhas e ataques de reprodução. Os invasores podem usar senhas roubadas para obter acesso inicial, ignorar a autenticação multifator tradicional por meio de ataques AiTM (Adversário no Meio) e estabelecer acesso persistente por meio de roubo de token.

As chaves de acesso fornecem autenticação resistente a phishing usando prova criptográfica que os invasores não podem realizar phishing, interceptar ou reproduzir. Habilitar chaves de passe elimina a vulnerabilidade fundamental que permite cadeias de ataque baseadas em credencial.

Ação de correção

• Saiba como habilitar o método de autenticação passkey.
• Saiba como planejar uma implantação de autenticação sem senha resistente a phishing.

As funções internas privilegiadas do Microsoft Entra são alvo de políticas de Acesso Condicional para impor métodos de resistência ao phishing

Sem métodos de autenticação resistentes a phishing, os usuários privilegiados são mais vulneráveis a ataques de phishing. Esses tipos de ataques enganam os usuários a revelar suas credenciais para conceder acesso não autorizado aos invasores. Se forem usados métodos de autenticação não resistentes a phishing, os invasores poderão interceptar credenciais e tokens, por meio de métodos como ataques adversários no meio, prejudicando a segurança da conta privilegiada.

Depois que uma conta ou sessão com privilégios for comprometida devido a métodos de autenticação fracos, os invasores poderão manipular a conta para manter o acesso a longo prazo, criar outros backdoors ou modificar permissões de usuário. Os invasores também podem usar a conta com privilégios comprometidos para aumentar ainda mais seu acesso, potencialmente ganhando controle sobre sistemas mais confidenciais.

Ação de correção

• Introdução a uma implantação de autenticação sem senha resistente ao phishing
• Garanta que as contas privilegiadas registrem e utilizem métodos resistentes ao phishing
• Implantar uma política de Acesso Condicional para direcionar contas com privilégios e exigir credenciais resistentes a phishing
• Monitorar atividade do método de autenticação

Políticas de Acesso Condicional impõem autenticação forte para aplicativos privados

Quando as políticas de Acesso Condicional não protegem aplicativos de Acesso Privado exigindo autenticação forte, os atores de ameaças podem usar ataques de phishing, recheio de credenciais ou pulverização de senha para obter credenciais do usuário e entrar em aplicativos privados com apenas uma senha comprometida.

Sem autenticação forte:

• Os atores de ameaça obtêm acesso inicial a recursos internos que devem ser protegidos por controles mais fortes.
• Se a autenticação multifator estiver ausente ou forem usados métodos que podem ser interceptados, como SMS ou voz, ataques de adversário no meio do caminho poderão ocorrer, onde os atores de ameaça interceptam tokens de autenticação e cookies de sessão.
• Os atores de ameaça podem se mover lateralmente do aplicativo privado inicialmente comprometido para outros recursos internos.

A Microsoft recomenda a imposição de métodos de autenticação resistentes a phishing, como chaves de segurança FIDO2, Windows Hello para Empresas ou autenticação baseada em certificado para acesso a aplicativos privados, com autenticação multifator como a linha de base mínima aceitável.

Ação de correção

• Configure políticas de Acesso Condicional para exigir autenticação resistente a phishing.

Aplicativos proxy de aplicativo exigem pré-autenticação para bloquear o acesso anônimo

Sem a pré-autenticação do Microsoft Entra configurada em aplicativos proxy de aplicativo, os atores de ameaça podem acessar diretamente a URL interna de aplicativos locais publicados sem primeiro provar sua identidade. Quando você usa a autenticação de passagem direta, o Proxy de Aplicativo redireciona o tráfego sem validar o requerente, e toda a responsabilidade de autenticação recai sobre o aplicativo interno.

Se você não configurar a pré-autenticação em aplicações do Proxy de Aplicação:

• Os agentes mal-intencionados podem acessar endpoints internos do aplicativo sem a necessidade de verificação de identidade, permitindo reconhecimento e exploração de vulnerabilidades no back-end.
• As políticas de Acesso Condicional não podem ser impostas, portanto, você não pode exigir autenticação multifator, avaliar o risco de entrada ou aplicar restrições baseadas no local.
• Você não pode se integrar ao Microsoft Defender para Aplicativos de Nuvem para monitoramento e controle de sessão em tempo real.

Ação de correção

• Configure a pré-autenticação do Microsoft Entra para aplicativos do Proxy de Aplicativo alterando o método de pré-autenticação de Passthrough para Microsoft Entra ID.
• Use a API do Microsoft Graph para atualizar programaticamente as configurações do Proxy de Aplicativo.

Exigir notificações de redefinição de senha para funções de administrador

Configurar notificações de redefinição de senha para funções de administrador no Microsoft Entra ID aprimora a segurança notificando os administradores privilegiados quando outro administrador redefine sua senha. Essa visibilidade ajuda a detectar atividades não autorizadas ou suspeitas que podem indicar comprometimento de credenciais ou ameaças internas. Sem essas notificações, atores mal-intencionados poderiam explorar privilégios elevados para estabelecer persistência, escalonar o acesso ou extrair dados confidenciais. As notificações proativas dão suporte a ações rápidas, preservam a integridade de acesso privilegiado e fortalecem a postura geral de segurança.

Ação de correção

• Notificar todos os administradores quando outros administradores redefinirem suas senhas

A política que bloqueia a autenticação herdada está configurada

Protocolos de autenticação herdados, como autenticação básica para SMTP e IMAP, não dão suporte a recursos de segurança modernos, como a MFA (autenticação multifator), que é crucial para proteger contra acesso não autorizado. Essa falta de proteção torna as contas que usam esses protocolos vulneráveis a ataques baseados em senha e fornece aos invasores um meio de obter acesso inicial usando credenciais roubadas ou adivinhadas.

Quando um invasor obtém com êxito o acesso não autorizado às credenciais, ele pode usá-las para acessar serviços vinculados, usando o método de autenticação fraca como um ponto de entrada. Os invasores que obtêm acesso por meio da autenticação herdada podem fazer alterações no Microsoft Exchange, como configurar regras de encaminhamento de email ou alterar outras configurações, permitindo que eles mantenham o acesso contínuo a comunicações confidenciais.

A autenticação herdada também fornece aos invasores um método consistente para reentrada em um sistema usando credenciais comprometidas sem disparar alertas de segurança ou exigir autenticação.

A partir daí, os invasores podem usar protocolos herdados para acessar outros sistemas acessíveis por meio da conta comprometida, facilitando a movimentação lateral. Os invasores que usam protocolos herdados podem se misturar com atividades legítimas do usuário, dificultando a distinção entre o uso normal e o comportamento mal-intencionado.

Ação de correção

• Implantar uma política de acesso condicional para bloquear a autenticação herdada

Permissão de acesso temporário está habilitada

Sem o TAP (Passe de Acesso Temporário) habilitado, as organizações enfrentam desafios significativos para inicializar com segurança as credenciais do usuário, criando uma vulnerabilidade em que os usuários dependem de mecanismos de autenticação mais fracos durante a configuração inicial. Quando os usuários não podem registrar credenciais resistentes a phishing, como chaves de segurança FIDO2 ou Windows Hello para Empresas devido à falta de métodos de autenticação fortes existentes, eles permanecem expostos a ataques baseados em credenciais, incluindo phishing, pulverização de senha ou ataques semelhantes. Os agentes de ameaça podem explorar essa brecha de registro direcionando os usuários durante seu estado mais vulnerável, quando possuem opções de autenticação limitadas disponíveis e devem contar com combinações tradicionais de nome de usuário + senha. Essa exposição permite que os atores de ameaças comprometam as contas de usuário durante a fase de inicialização crítica, permitindo que eles interceptem ou manipulem o processo de registro para métodos de autenticação mais fortes, obtendo acesso persistente aos recursos organizacionais e potencialmente aumentando privilégios antes que os controles de segurança sejam totalmente estabelecidos.

Habilite o TAP e use-o com o registro de informações de segurança para proteger essa possível lacuna em suas defesas.

Ação de correção

• Saiba como habilitar a passagem de acesso temporário na política de métodos de autenticação
• Saiba como atualizar políticas de força de autenticação para incluir o Passe de Acesso Temporário
• Saiba como criar uma política de Acesso Condicional para registro de informações de segurança com imposição de força de autenticação

Restringir a passagem de acesso temporário para uso único

Quando o TAP (Passe de Acesso Temporário) é configurado para permitir vários usos, os atores de ameaça que comprometem a credencial podem reutilizá-la repetidamente durante seu período de validade, estendendo sua janela de acesso não autorizado além do evento de inicialização única pretendido. Essa situação cria uma oportunidade estendida para que os atores de ameaças estabeleçam persistência registrando métodos de autenticação fortes adicionais na conta comprometida durante o tempo de vida da credencial. Um TAP reutilizável que cai em mãos erradas permite que agentes de ameaça realizem atividades de reconhecimento em várias sessões, mapeando gradualmente o ambiente e identificando alvos de alto valor, permitindo manter padrões de acesso legítimos. O TAP comprometido também pode servir como um mecanismo de backdoor confiável, permitindo que atores de ameaças mantenham o acesso mesmo se outras credenciais comprometidas forem detectadas e revogadas, já que o TAP aparece como uma ferramenta administrativa legítima nos logs de segurança.

Ação de correção

• Configurar o Passe de Acesso Temporário para uso único na política de métodos de autenticação

Migrar de políticas de MFA e SSPR herdadas

A MFA (autenticação multifator) herdada e as políticas de SSPR (redefinição de senha de autoatendimento) no Microsoft Entra ID gerenciam métodos de autenticação separadamente, levando a configurações fragmentadas e experiência do usuário abaixo do ideal. Além disso, gerenciar essas políticas de forma independente aumenta a sobrecarga administrativa e o risco de configuração incorreta.

A migração para a política combinada de Métodos de Autenticação consolida o gerenciamento de métodos de autenticação MFA, SSPR e sem senha em uma única estrutura de política. Essa unificação permite um controle mais granular, permitindo que os administradores direcionem métodos de autenticação específicos para grupos de usuários e imponham medidas de segurança consistentes em toda a organização. Além disso, a política unificada dá suporte a métodos de autenticação modernos, como chaves de segurança FIDO2 e Windows Hello para Empresas, aprimorando a postura de segurança da organização.

A Microsoft anunciou a descontinuação das políticas antigas de MFA e SSPR, com data de desativação definitiva marcada para 30 de setembro de 2025. As organizações são aconselhadas a concluir a migração para a política de Métodos de Autenticação antes desta data para evitar possíveis interrupções e se beneficiar dos recursos aprimorados de segurança e gerenciamento da política unificada.

Ação de correção

• Habilitar o registro combinado de informações de segurança
• Como migrar as configurações de política de MFA e SSPR para a política Métodos de autenticação do Microsoft Entra ID

Impedir que os administradores usem o SSPR

"Redefinição de Senha em Autoatendimento para administradores permite que alterações de senha ocorram sem a necessidade de fatores fortes de autenticação secundários ou supervisão administrativa intensa." Os atores de ameaça que comprometem credenciais administrativas podem usar esse recurso para ignorar outros controles de segurança e manter o acesso persistente ao ambiente.

Depois de comprometidos, os invasores podem redefinir imediatamente a senha para bloquear administradores legítimos. Em seguida, eles podem estabelecer persistência, escalonar privilégios e implantar conteúdos mal-intencionados sem serem detectados.

Ação de correção

• Desabilitar a SSPR para administradores atualizando a política de autorização

A redefinição de senha de autoatendimento não usa perguntas de segurança

Permitir perguntas de segurança como um método de redefinição de senha de autoatendimento (SSPR) enfraquece o processo de redefinição de senha, pois as respostas são frequentemente adivinhadas, reutilizadas em sites ou descobertas por meio de inteligência de fontes abertas (OSINT). Os atores de ameaças enumeram ou fazem phishing de usuários, derivam respostas prováveis (sobrenomes, escolas e locais) e disparam fluxos de redefinição de senha para ignorar métodos mais fortes, explorando o ponto fraco baseado em conhecimento. Depois que eles redefinirem com êxito uma senha em uma conta que não esteja protegida pela autenticação multifator, eles poderão: obter credenciais primárias válidas, estabelecer tokens de sessão e expandir lateralmente registrando métodos de autenticação mais duráveis, adicionar regras de encaminhamento ou exfiltrar dados confidenciais.

Eliminar esse método remove um link fraco no processo de redefinição de senha. Algumas organizações podem ter motivos comerciais específicos para deixar as perguntas de segurança habilitadas, mas isso não é recomendado.

Ação de correção

• Desabilitar perguntas de segurança na política de SSPR
• Selecionar métodos de autenticação e opções de registro

Os métodos de autenticação sms e chamada de voz estão desabilitados

Quando métodos de autenticação fracos, como SMS e chamadas de voz, permanecem habilitados na ID do Microsoft Entra, os atores de ameaça podem explorar essas vulnerabilidades por meio de vários vetores de ataque. Inicialmente, os invasores costumam realizar uma análise estratégica para identificar organizações que utilizam esses métodos de autenticação mais fracos, seja por meio de engenharia social ou varredura técnica. Em seguida, eles podem executar o acesso inicial por meio de ataques de preenchimento de credenciais, ataques de pulverização de senha ou campanhas de phishing direcionadas às credenciais do usuário.

Depois que as credenciais básicas são comprometidas, os atores de ameaça usam essas fraquezas na autenticação baseada em SMS e voz. As mensagens SMS podem ser interceptadas por meio de ataques de troca de SIM, vulnerabilidades de rede SS7 ou malware em dispositivos móveis, enquanto as chamadas de voz são suscetíveis a phishing de voz (vishing) e manipulação de encaminhamento de chamadas. Com esses segundos fatores fracos ignorados, os invasores obtêm persistência registrando seus próprios métodos de autenticação. Contas comprometidas podem ser usadas para direcionar usuários com privilégios mais altos por meio de phishing interno ou engenharia social, permitindo que os invasores escalonem privilégios dentro da organização. Por fim, os atores de ameaça alcançam seus objetivos por meio de exfiltração de dados, movimentação lateral para sistemas críticos ou implantação de outras ferramentas mal-intencionadas, tudo isso mantendo a discrição usando caminhos de autenticação legítimos que parecem normais em logs de segurança.

Ação de correção

• Implantar campanhas de registro de método de autenticação para incentivar métodos mais fortes
• Desabilitar métodos de autenticação
• Desabilitar métodos baseados em telefone nas configurações antigas de MFA
• Implantar políticas de Acesso Condicional usando a força de autenticação

Desative o SSO transparente se não houver uso

O Logon único contínuo do Microsoft Entra (SSO Contínuo) é um recurso de autenticação legado projetado para fornecer acesso sem senha a dispositivos associados ao domínio que não estão associados ao Microsoft Entra ID híbrido. O SSO contínuo depende da autenticação Kerberos e é benéfico principalmente para sistemas operacionais mais antigos, como Windows 7 e Windows 8.1, que não dão suporte a PRT (Tokens de Atualização Primária). Se esses sistemas herdados não estiverem mais presentes no ambiente, continuar a usar o Seamless SSO introduz complexidade desnecessária e riscos potenciais de segurança. Os atores de ameaça podem explorar tíquetes Kerberos configurados incorretamente ou obsoletos ou comprometer a conta de AZUREADSSOACC computador no Active Directory, que contém a chave de descriptografia Kerberos usada pelo Microsoft Entra ID. Depois de comprometidos, os invasores podem representar usuários, ignorar controles de autenticação modernos e obter acesso não autorizado aos recursos de nuvem. Desabilitar o SSO contínuo em ambientes em que ele não é mais necessário reduz a superfície de ataque e impõe o uso de mecanismos de autenticação modernos baseados em token que oferecem proteções mais fortes.

Ação de correção

• Examinar como o SSO contínuo funciona
• Desabilitar o SSO Sem Interrupções
• Limpar dispositivos obsoletos na ID do Microsoft Entra

Proteger o registro de MFA (Minhas Configurações de Segurança)

Sem políticas de Acesso Condicional que protegem o registro de informações de segurança, os atores de ameaças podem explorar fluxos de registro desprotegidos para comprometer os métodos de autenticação. Quando os usuários registram métodos de autenticação multifator e redefinição de senha de autoatendimento sem controles adequados, os atores de ameaça podem interceptar essas sessões de registro por meio de ataques adversários no meio ou explorar dispositivos não gerenciados que acessam o registro de locais não confiáveis. Depois que os atores de ameaça obtiverem acesso a um fluxo de registro desprotegido, eles poderão registrar seus próprios métodos de autenticação, seqüestrando efetivamente o perfil de autenticação do destino. Os atores de ameaça podem ignorar controles de segurança e potencialmente escalonar privilégios em todo o ambiente porque podem manter o acesso persistente controlando os métodos de MFA. Os métodos de autenticação comprometidos se tornam a base para a movimentação lateral, pois os atores de ameaça podem se autenticar como o usuário legítimo em vários serviços e aplicativos.

Ação de correção

• Implantar uma política de Acesso Condicional para registro de informações de segurança
• Configurar locais de rede conhecidos
• Habilitar o registro combinado de informações de segurança

Use autenticação na nuvem

Um servidor de federação local introduz uma superfície de ataque crítica, servindo como um ponto de autenticação central para aplicativos de nuvem. Os atores de ameaça geralmente ganham uma posição comprometendo um usuário privilegiado, como um representante de suporte técnico ou um engenheiro de operações por meio de ataques como phishing, recheio de credenciais ou exploração de senhas fracas. Eles também podem ter como alvo vulnerabilidades não corrigidas na infraestrutura, usar explorações de execução de código remoto, atacar o protocolo Kerberos ou usar ataques de passagem de hash para escalonar privilégios. Ferramentas de acesso remoto configuradas incorretamente, como RDP (protocolo de área de trabalho remota), VPN (rede virtual privada) ou jump servers, fornecem outros pontos de entrada, enquanto compromissos na cadeia de suprimentos ou agentes internos mal-intencionados aumentam ainda mais a exposição. Uma vez dentro, os atores de ameaça podem manipular fluxos de autenticação, forjar tokens de segurança para representar qualquer usuário e dinamizar em ambientes de nuvem. Estabelecendo persistência, eles podem desabilitar logs de segurança, evitar a detecção e exfiltrar dados confidenciais.

Ação de correção

• Migrar da federação para a autenticação em nuvem, como a sincronização de hash de senha do Microsoft Entra (PHS).

Todos os usuários devem se registrar no MFA

Exigir o registro de MFA (autenticação multifator) para todos os usuários. Com base em estudos, sua conta tem mais de 99% menos chances de ser comprometida se você estiver usando a MFA. Mesmo que você não exija MFA o tempo todo, essa política garante que seus usuários estejam prontos quando necessário.

Ação de correção

• Configurar a política de registro de autenticação multifator

Os usuários têm métodos de autenticação fortes configurados

Os invasores poderão obter acesso se a MFA (autenticação multifator) não for aplicada universalmente ou se houver exceções em vigor. Os invasores podem obter acesso explorando vulnerabilidades de métodos MFA mais fracos, como SMS e chamadas telefônicas por meio de técnicas de engenharia social. Essas técnicas podem incluir a troca de SIM ou phishing para interceptar códigos de autenticação.

Os invasores podem usar essas contas como pontos de entrada no locatário. Usando sessões de usuário interceptadas, os invasores podem disfarçar suas atividades como ações legítimas do usuário, evitar a detecção e continuar seu ataque sem levantar suspeitas. A partir daí, eles podem tentar manipular as configurações de MFA para estabelecer persistência, planejar e executar novos ataques com base nos privilégios das contas comprometidas.

Ação de correção

• implantar autenticação multifator
• Introdução a uma implantação de autenticação sem senha resistente ao phishing
• Implantar uma política de Acesso Condicional para exigir MFA resistente a phishing para todos os usuários
• atividade de revisão dos métodos de autenticação

A atividade de entrada do usuário usa a proteção de token

Um ator de ameaça pode interceptar ou extrair tokens de autenticação da memória, armazenamento local em um dispositivo legítimo ou inspecionando o tráfego de rede. O invasor pode reproduzir esses tokens para ignorar controles de autenticação em usuários e dispositivos, obter acesso não autorizado a dados confidenciais ou executar novos ataques. Como esses tokens são válidos e associados ao tempo, a detecção de anomalias tradicional geralmente falha ao sinalizar a atividade, o que pode permitir acesso sustentado até que o token expire ou seja revogado.

A proteção de token, também chamada de associação de token, ajuda a evitar o roubo de token, certificando-se de que um token seja utilizável somente do dispositivo pretendido. A proteção de token usa criptografia para que, sem a chave do dispositivo cliente, ninguém possa usar o token.

Ação de correção

• Implantar uma política de Acesso Condicional para exigir proteção de token

Todas as atividades de entrada do usuário usam métodos de autenticação resistentes a phishing

Métodos de autenticação resistentes a phishing, como chaves de passe e chaves de segurança FIDO2, fornecem a proteção mais forte contra roubo de credenciais e ataques de phishing sofisticados. Os métodos tradicionais de MFA permanecem vulneráveis a ataques adversários no meio e engenharia social. A imposição de métodos resistentes a phishing para todos os usuários por meio de políticas de Acesso Condicional ajuda a impedir o acesso não autorizado mesmo quando os invasores tentam interceptar fluxos de autenticação.

Ação de correção

• Configurar o Acesso Condicional para todos os usuários com nível de segurança do MFA
• Implantar autenticação sem senha resistente a phishing

Toda a atividade de entrada vem de dispositivos gerenciados

Exigir entradas de dispositivos gerenciados garante que os usuários acessem recursos organizacionais somente de dispositivos que atendam aos seus requisitos de segurança e conformidade. Dispositivos não gerenciados carecem de controles de segurança organizacional e proteção de endpoint, criando potenciais pontos de entrada para invasores. Usar o Acesso Condicional para exigir dispositivos híbridos ingressados no Microsoft Entra ou em conformidade com ele ajuda a proteger contra roubo de credenciais e acesso não autorizado a partir de pontos de extremidade não confiáveis.

Ação de correção

• Exigir dispositivos ingressados em conformidade ou híbridos com acesso condicional
• Configurar políticas de conformidade do dispositivo no Microsoft Intune

Método de autenticação de chave de segurança habilitado

As chaves de segurança FIDO2 fornecem autenticação resistente a phishing e com suporte de hardware que protege contra roubo de credenciais e acesso não autorizado. As chaves de segurança usam a prova criptográfica de identidade associada a um dispositivo específico, impossibilitando a replicação ou phishing de credenciais. Habilitar esse método de autenticação permite que os usuários registrem chaves de segurança para autenticação forte sem senha.

Ação de correção

• Habilitar o método de autenticação de chave de segurança FIDO2
• Gerenciar métodos de autenticação

Funções privilegiadas não são atribuídas a identidades obsoletas

As funções privilegiadas não devem permanecer atribuídas a identidades que não mostram nenhuma atividade de entrada recente. Contas obsoletas com privilégios administrativos são destinos atraentes para invasores porque podem ser comprometidas sem disparar alertas de análise comportamental. Revisar e remover regularmente as atribuições de funções privilegiadas de identidades inativas reduz o risco de ataques baseados em credenciais e ajuda a manter o acesso de menor privilégio.

Ação de correção

• Examinar atribuições de função com privilégios usando revisões de acesso
• Remover atribuições de função privilegiada de identidades inativas
• Configurar revisões de acesso automatizadas para funções privilegiadas

Restringir o fluxo de código do dispositivo

O fluxo de código do dispositivo é um fluxo de autenticação entre dispositivos projetado para dispositivos com restrição de entrada. Ele pode ser explorado em ataques de phishing, em que um invasor inicia o fluxo e engana um usuário para concluí-lo em seu dispositivo, enviando assim os tokens do usuário para o invasor. Considerando os riscos de segurança e o uso legítimo pouco frequente do fluxo de código do dispositivo, você deve habilitar uma política de Acesso Condicional para bloquear esse fluxo por padrão.

Ação de correção

• Implante uma política de Acesso Condicional para bloquear o fluxo de código do dispositivo.

A transferência de autenticação está bloqueada

Bloquear a transferência de autenticação na ID do Microsoft Entra é um controle de segurança crítico. Ele ajuda a proteger contra ataques de roubo e reprodução de token, impedindo o uso de tokens de dispositivo para autenticar silenciosamente em outros dispositivos ou navegadores. Quando a transferência de autenticação está habilitada, um ator de ameaça que obtém acesso a um dispositivo pode acessar recursos para dispositivos não aprovados, ignorando verificações padrão de autenticação e conformidade do dispositivo. Quando os administradores bloqueiam esse fluxo, as organizações podem garantir que cada solicitação de autenticação deve se originar do dispositivo original, mantendo a integridade da conformidade do dispositivo e do contexto de sessão do usuário.

Ação de correção

• Implantar uma política de Acesso Condicional para bloquear a transferência de autenticação

O aplicativo Microsoft Authenticator mostra o contexto de entrada

Sem contexto de entrada, os atores de ameaça podem explorar a fadiga da autenticação inundando os usuários com notificações por push, aumentando a chance de que um usuário aprove acidentalmente uma solicitação mal-intencionada. Quando os usuários recebem notificações por push genéricas sem o nome do aplicativo ou a localização geográfica, eles não têm as informações necessárias para tomar decisões de aprovação informadas. Essa falta de contexto torna os usuários vulneráveis a ataques de engenharia social, especialmente quando atores de ameaça cronometram suas solicitações durante períodos de atividade legítima do usuário. Essa vulnerabilidade é especialmente perigosa quando atores de ameaça obtêm acesso inicial por meio de ataques de coleta de credenciais ou pulverização de senha e, em seguida, tentam estabelecer persistência aprovando solicitações de MFA (autenticação multifator) de aplicativos ou locais inesperados. Sem informações contextuais, os usuários não podem detectar tentativas de entrada incomuns, permitindo que atores de ameaças mantenham acesso e escalonem privilégios movendo-se lateralmente pelos sistemas depois de ignorar a barreira de autenticação inicial. Sem o contexto de aplicativo e local, as equipes de segurança também perdem telemetria valiosa para detectar padrões suspeitos de autenticação que podem indicar atividades contínuas de comprometimento ou reconhecimento.

Ação de correção Dê aos usuários o contexto necessário para tomar decisões de aprovação informadas. Configure as notificações do Microsoft Authenticator definindo a política de métodos de autenticação para incluir o nome do aplicativo e a localização geográfica.

• Usar contexto adicional em notificações do Authenticator – política de métodos de autenticação

A configuração de atividade suspeita do relatório do aplicativo Microsoft Authenticator está habilitada

Os atores de ameaça dependem cada vez mais de bombardeios rápidos e proxies de phishing em tempo real para coagir ou enganar os usuários a aprovar desafios fraudulentos de autenticação multifator (MFA). Sem a funcionalidade de Relatar atividade suspeita do aplicativo Microsoft Authenticator habilitada, um invasor pode iterar até que um usuário cansado aceite. Esse tipo de ataque pode levar a escalonamento de privilégios, persistência, movimentação lateral em cargas de trabalho confidenciais, exfiltração de dados ou ações destrutivas.

Quando os relatórios são habilitados para todos os usuários, qualquer prompt de push ou telefone inesperado pode ser sinalizado ativamente, elevando imediatamente o risco do usuário para alto e gerando uma detecção de risco de usuário de alta precisão (userReportedSuspiciousActivity) que as políticas de Acesso Condicional baseadas em risco ou outras automações de resposta podem usar para bloquear ou exigir remediação segura.

Ação de correção

• Ativar a opção de relatar atividade suspeita no aplicativo Microsoft Authenticator

A expiração da senha está desabilitada

Quando as políticas de expiração de senha permanecem habilitadas, os atores de ameaça podem explorar os padrões previsíveis de rotação de senha que os usuários normalmente seguem quando forçados a alterar senhas regularmente. Os usuários frequentemente criam senhas mais fracas fazendo modificações mínimas nas existentes, como incrementar números ou adicionar caracteres sequenciais. Os atores de ameaça podem facilmente prever e explorar esses tipos de alterações por meio de ataques de recheio de credenciais ou campanhas de pulverização de senha direcionada. Esses padrões previsíveis permitem que os atores de ameaça estabeleçam persistência por meio de:

• Credenciais comprometidas
• Privilégios elevados alvejando contas de administrador com senhas rotativas fracas
• Mantendo o acesso a longo prazo prevendo futuras variações de senha

Pesquisas mostram que os usuários criam senhas mais fracas e previsíveis quando são forçados a expirar. Essas senhas previsíveis são mais fáceis para invasores experientes quebrarem, pois muitas vezes fazem modificações simples em senhas existentes em vez de criar senhas totalmente novas e fortes. Além disso, quando os usuários são obrigados a alterar senhas com frequência, eles podem recorrer a práticas inseguras, como anotar senhas ou armazená-las em locais facilmente acessíveis, criar mais vetores de ataque para que os atores de ameaças explorem durante o reconhecimento físico ou campanhas de engenharia social.

Ação de correção

• Defina a política de expiração de senha para sua organização.
  • Entre no centro de administração do Microsoft 365. Vá para Configurações>Configurações de Organização>** Segurança e Privacidade **>Política de Expiração de Senha. Verifique se a configuração Definir senhas para nunca expirar está marcada.
• Desabilite a expiração de senha usando o Microsoft Graph.
• Definir senhas de usuário individuais para nunca expirar usando o Microsoft Graph PowerShell
  • Update-MgUser -UserId <UserID> -PasswordPolicies DisablePasswordExpiration

Limite de bloqueio inteligente definido como 10 ou menos

Quando o limite de bloqueio inteligente é definido como mais de 10, os atores de ameaça podem explorar a configuração para realizar o reconhecimento, identificar contas de usuário válidas sem disparar proteções de bloqueio e estabelecer o acesso inicial sem detecção. Depois que os invasores obtiverem acesso inicial, eles poderão se mover lateralmente pelo ambiente usando a conta comprometida para acessar recursos e escalonar privilégios.

O bloqueio inteligente ajuda a bloquear atores ruins que tentam adivinhar as senhas dos usuários ou usam métodos de força bruta para entrar. O bloqueio inteligente reconhece entradas provenientes de usuários válidos, tratando-as de forma distinta daquelas de invasores ou de outras fontes desconhecidas. Um limite de mais de 10 fornece proteção insuficiente contra ataques automatizados de pulverização de senha, tornando mais fácil para os atores de ameaças comprometer contas e, ao mesmo tempo, evitar mecanismos de detecção.

Ação de correção

• Defina o limite de bloqueio inteligente do Microsoft Entra como 10 ou menos.

A duração do bloqueio inteligente é definida como um mínimo de 60

Quando a duração do Bloqueio Inteligente é configurada abaixo dos 60 segundos padrão, os atores de ameaça podem explorar períodos de bloqueio reduzidos para conduzir ataques de pulverização de senha e de recheio de credencial com mais eficiência. Janelas de bloqueio reduzidas permitem que os invasores retomem as tentativas de autenticação mais rapidamente, aumentando sua probabilidade de sucesso e, ao mesmo tempo, evitando sistemas de detecção que dependem de períodos de observação mais longos.

Ação de correção

• Definir a duração do Bloqueio Inteligente como 60 segundos ou superior

Adicionar termos organizacionais à lista de senhas proibidas

As organizações que não preenchem e impõem a lista personalizada de senhas proibidas se expõem a uma cadeia de ataque sistemática em que os atores de ameaça exploram padrões previsíveis de senha organizacional. Esses atores de ameaça normalmente começam com fases de reconhecimento, em que coletam a OSINT (inteligência de software livre) de sites, mídias sociais e registros públicos para identificar componentes de senha prováveis. Com esse conhecimento, eles iniciam ataques de pulverização de senhas que testam variações de senha específicas da organização em várias contas de usuário, permanecendo abaixo dos limites de bloqueio para evitar a detecção. Sem a proteção que a lista de senhas proibidas personalizada oferece, os funcionários geralmente adicionam termos organizacionais familiares às suas senhas, como locais, nomes de produtos e termos do setor, criando vetores de ataque consistentes.

A lista de senhas proibidas personalizada ajuda as organizações a tapar essa lacuna crítica para evitar senhas facilmente adivinhadas que podem levar ao acesso inicial e ao movimento lateral subsequente dentro do ambiente.

Ação de correção

• Saiba como habilitar a proteção personalizada de senha proibida e adicionar termos organizacionais

Exigir autenticação multifator para ingresso no dispositivo e registro de dispositivo usando a ação do usuário

Atores de ameaça podem explorar a falta de autenticação multifator durante o registro de novos dispositivos. Depois de autenticados, eles podem registrar dispositivos invasores, estabelecer persistência e contornar controles de segurança vinculados a pontos de extremidade confiáveis. Essa base permite que os invasores exfiltram dados confidenciais, implantem aplicativos mal-intencionados ou se movam lateralmente, dependendo das permissões das contas que estão sendo usadas pelo invasor. Sem a imposição de MFA, o risco aumenta à medida que os adversários podem reautenticar, evitar a detecção e executar objetivos continuamente.

Ação de correção

• Implante uma política de Acesso Condicional para exigir autenticação multifator para registro de dispositivo.

A Solução de Senha do Administrador Local é implantada

Sem a LAPS (Solução de Senha de Administrador Local) implantada, os atores de ameaça exploram senhas de administrador local estáticas para estabelecer o acesso inicial. Depois que os atores de ameaça comprometerem um único dispositivo com uma credencial de administrador local compartilhada, eles poderão se mover lateralmente pelo ambiente e autenticar para outros sistemas que compartilham a mesma senha. O acesso de administrador local comprometido fornece privilégios no nível do sistema aos atores de ameaças, permitindo que eles desabilitem controles de segurança, instalem backdoors persistentes, exfiltram dados confidenciais e estabeleçam canais de comando e controle.

A rotação automatizada de senhas e o gerenciamento centralizado do LAPS fecham essa lacuna de segurança e adicionam controles para ajudar a gerenciar quem tem acesso a essas contas críticas. Sem soluções como laps, você não pode detectar ou responder ao uso não autorizado de contas de administrador local, dando aos atores de ameaça tempo de espera estendido para alcançar seus objetivos enquanto permanecem não detectados.

Ação de correção

• Configurar a solução de senha de administrador local do Windows.

A Sincronização do Entra Connect está configurada com as Credenciais da Entidade de Serviço

O Microsoft Entra Connect Sync usando contas de usuário em vez de entidades de serviço cria vulnerabilidades de segurança. A autenticação de conta de usuário legada com senhas é mais suscetível a roubo de credenciais e ataques de senha do que a autenticação de principal de serviço com certificados. Contas de conector comprometidas permitem que os atores de ameaça manipulem a sincronização de identidade, criem contas de backdoor, escalonem privilégios ou interrompam a infraestrutura de identidade híbrida.

Ação de correção

• Configurar a autenticação do service principal para o Entra Connect
• Remover contas herdadas de sincronização de diretório

Nenhum uso da ADAL no locatário

A Microsoft encerrou as correções de suporte e segurança para a ADAL em 30 de junho de 2023. O uso contínuo da ADAL ignora as proteções de segurança modernas disponíveis apenas na MSAL, incluindo a imposição de acesso condicional, a CAE (Avaliação de Acesso Contínuo) e a proteção avançada de token. Os aplicativos ADAL criam vulnerabilidades de segurança usando padrões de autenticação herdados mais fracos, muitas vezes chamando endereços de API preteridos do Azure AD Graph e impedindo a adoção de fluxos de autenticação fortalecidos que poderiam atenuar futuros avisos de segurança.

Ação de correção

• Migrar aplicação para a MSAL (Biblioteca de Autenticação da Microsoft)

Bloquear o módulo do PowerShell do Azure AD herdado

Os agentes de ameaças frequentemente têm como alvo interfaces de gerenciamento legadas, como o módulo PowerShell do Azure AD (AzureAD e AzureADPreview), que não oferecem suporte à autenticação moderna, à aplicação de Acesso Condicional ou ao registro de auditoria avançada. O uso contínuo desses módulos expõe o ambiente a riscos, incluindo autenticação fraca, bypass de controles de segurança e visibilidade incompleta em ações administrativas. Os invasores podem explorar essas fraquezas para obter acesso não autorizado, escalonar privilégios e executar alterações mal-intencionadas.

Bloqueie o módulo do PowerShell do Azure AD e imponha o uso do Microsoft Graph PowerShell ou do Microsoft Entra PowerShell para garantir que apenas canais de gerenciamento seguros, compatíveis e auditáveis estejam disponíveis, o que fecha lacunas críticas na cadeia de ataque.

Ação de correção

• Desabilitar a entrada do usuário para o aplicativo

Habilitar os padrões de segurança do Microsoft Entra ID para locatários gratuitos

Habilitar padrões de segurança no Microsoft Entra é essencial para organizações com licenças do Microsoft Entra Free para proteger contra ataques relacionados à identidade. Esses ataques podem levar a acesso não autorizado, perda financeira e danos à reputação. Os padrões de segurança exigem que todos os usuários se registrem na MFA (autenticação multifator), garantam que os administradores usem a MFA e bloqueiem os protocolos de autenticação herdados. Isso reduz significativamente o risco de ataques bem-sucedidos, pois mais de 99% de ataques comuns relacionados à identidade são interrompidos usando mfa e bloqueando a autenticação herdada. Os padrões de segurança oferecem proteção básica sem custo adicional, o que os torna acessíveis a todas as organizações.

Ação de correção

• Habilitar padrões de segurança no Microsoft Entra ID