Partilhar via


Práticas recomendadas para proteger o Ative Directory

Os ataques contra infraestruturas informáticas aumentaram na última década em todas as partes do mundo. Vivemos na era da guerra cibernética, do cibercrime e do hacktivismo. Como resultado, organizações de todos os tamanhos em todo o mundo tiveram que lidar com vazamentos de informações, roubo de propriedade intelectual (IP), ataques de negação de serviço (DDoS) ou até mesmo infraestrutura destruída.

No entanto, como o cenário de ameaças mudou ao longo dos anos, o cenário de segurança também se adaptou para combater essas ameaças. Embora nenhuma organização com uma infraestrutura de tecnologia da informação (TI) esteja perfeitamente imune a ataques, o objetivo final da segurança não é impedir completamente as tentativas de ataque, mas proteger a infraestrutura de TI contra ataques. Com as políticas, processos e controles corretos, você pode proteger partes importantes de sua infraestrutura de TI contra comprometimento.

Neste artigo, descrevemos os tipos mais comuns de vulnerabilidades que observamos em implantações do Ative Directory (AD). De seguida, fornecemos-lhe recomendações sobre como proteger esses pontos fracos de compromissos. Concebemos estas recomendações com base na experiência das nossas organizações Microsoft IT (MSIT) e Microsoft Information Security and Risk Management (ISRM). Também mostramos as etapas que pode seguir para reduzir a quantidade de infraestrutura vulnerável, ou a superfície de ataque, que está exposta ao mundo exterior no seu Active Directory. Também incluímos sugestões sobre como recuperar dados vitais e a função de infraestrutura se houver um comprometimento de segurança.

Vulnerabilidades de segurança comuns

Para saber como proteger melhor sua infraestrutura, primeiro você precisa entender onde os ataques têm maior probabilidade de atingir e como eles funcionam. Este artigo cobre apenas recomendações gerais, mas se você quiser entrar em mais detalhes, incluímos links para artigos mais completos.

Agora, vamos analisar as vulnerabilidades de segurança mais comuns.

Pontos de entrada comuns

Os alvos iniciais de violação, ou pontos de entrada, são áreas onde os atacantes podem entrar mais facilmente na sua infraestrutura de TI. Os pontos de entrada geralmente são lacunas de segurança ou atualizações que os invasores podem explorar para obter acesso a um sistema dentro de sua infraestrutura. Os atacantes geralmente começam com um ou dois sistemas de cada vez, depois escalam seu ataque à medida que espalham sua influência por mais sistemas sem serem detetados.

As vulnerabilidades mais comuns são:

  • Lacunas nas implantações de antivírus e antimalware

  • Aplicação de patches incompleta

  • Aplicações e sistemas operativos desatualizados

  • Configuração incorreta

  • Falta de práticas seguras de desenvolvimento de aplicativos

Roubo de credenciais

Os ataques de roubo de credenciais ocorrem quando um invasor obtém acesso privilegiado a um computador em uma rede usando ferramentas para extrair credenciais de sessões de contas que estão conectadas no momento. Os atacantes geralmente optam por contas específicas que já têm privilégios elevados. O invasor rouba as credenciais dessa conta para imitar sua identidade e obter acesso ao sistema.

Os ladrões de credenciais geralmente têm como alvo esses tipos de contas:

  • Contas permanentemente privilegiadas

  • Contas VIP

  • Contas do Ative Directory com privilégios anexados

  • Controladores de domínio

  • Outros serviços de infraestrutura que afetam o gerenciamento de identidade, acesso e configuração, como servidores PKI (infraestrutura de chave pública) ou servidores de gerenciamento de sistemas

Os utilizadores com contas altamente privilegiadas aumentam o risco de terem as suas credenciais roubadas ao envolverem-se nos seguintes comportamentos:

  • Entrar nas suas contas privilegiadas em computadores desprotegidos

  • Navegar na Internet enquanto inicia sessão numa conta privilegiada

Você também deve evitar configurações ruins e arriscadas para proteger a segurança das credenciais do seu sistema, como:

  • Configuração de contas privilegiadas locais com as mesmas credenciais em todos os sistemas.

  • Atribuir demasiados utilizadores a grupos de domínio privilegiados, incentivando a utilização excessiva.

  • Gerenciamento insuficiente da segurança do controlador de domínio.

Para obter mais informações sobre contas vulneráveis, consulte Contas atraentes para roubo de credenciais.

Reduzir a superfície de ataque do Ative Directory

Você pode evitar ataques reduzindo a superfície de ataque em sua implantação do Ative Directory. Em outras palavras, você torna sua implantação mais segura fechando lacunas na segurança que mencionamos na seção anterior.

Evite conceder privilégios excessivos

Os ataques de roubo de credenciais dependem de os administradores concederem privilégios excessivos a determinadas contas. Você pode evitar esses ataques é fazer as seguintes coisas:

  • Lembre-se de que há três grupos internos que têm os privilégios mais altos no Ative Directory por padrão: Administradores de Empresa, Administradores de Domínio e Administradores. Certifique-se de tomar medidas para proteger esses três grupos, juntamente com quaisquer outros grupos aos quais sua organização concedeu privilégios elevados.

  • Implemente um modelo administrativo de privilégios mínimos. Não use contas altamente privilegiadas para tarefas administrativas diárias, se puder evitá-las. Além disso, certifique-se de que suas contas de administrador tenham apenas os privilégios de linha de base necessários para fazer seus trabalhos, sem privilégios extras de que não precisam. Evite dar privilégios excessivos a contas de usuário que não precisam deles. Certifique-se de não dar acidentalmente a uma conta os mesmos privilégios em todos os sistemas, a menos que eles absolutamente precisem deles.

  • Verifique as seguintes áreas da sua infraestrutura para se certificar de que não está a conceder privilégios excessivos às contas de utilizador:

    • Diretório Ativo

    • Servidores membros

    • Estações de trabalho

    • Aplicações

    • Repositórios de dados

Para obter mais informações, consulte Implementando modelos administrativos de privilégios mínimos.

Usar hosts administrativos seguros

Os hosts administrativos seguros são computadores configurados para dar suporte à administração de Ative Directories e outros sistemas conectados. Esses hosts não executam software não administrativo, como aplicativos de e-mail, navegadores da Web ou software de produtividade, como o Microsoft Office.

Ao configurar um host administrativo seguro, você deve seguir estes princípios gerais:

  • Nunca administre um sistema confiável a partir de um host menos confiável.

  • Exija autenticação multifator ao usar contas privilegiadas ou executar tarefas administrativas.

  • A segurança física para seus hosts administrativos é tão importante quanto a segurança do sistema e da rede.

Para obter mais informações, consulte Implementando hosts administrativos seguros.

Mantenha os controladores de domínio seguros

Se um invasor obtiver acesso privilegiado a um controlador de domínio, poderá modificar, corromper e destruir o banco de dados do AD. Um ataque ao controlador de domínio ameaça potencialmente todos os sistemas e contas gerenciados por AD em sua organização. Portanto, é importante que você tome as seguintes medidas para manter seus controladores de domínio seguros:

  • Mantenha seus controladores de domínio fisicamente seguros em seus datacenters, filiais e locais remotos.

  • Familiarize-se com o sistema operacional do controlador de domínio.

  • Configure seus controladores de domínio com ferramentas de configuração internas e disponíveis gratuitamente para criar linhas de base de configuração de segurança que você pode impor com objetos de diretiva de grupo (GPOs).

Para obter mais informações, consulte Protegendo controladores de domínio contra ataques.

Monitorar o Ative Directory em busca de sinais de ataque ou comprometimento

Outra maneira de manter sua implantação do AD segura é monitorá-la em busca de sinais de ataques mal-intencionados ou comprometimentos de segurança. Você pode usar categorias de auditoria herdadas e subcategorias de política de auditoria ou usar Política de Auditoria Avançada. Para obter mais informações, consulte Recomendações de política de auditoria.

Planejar comprometimentos de segurança

Embora você possa proteger seu AD de ataques externos, nenhuma defesa é verdadeiramente perfeita. É importante que, além de tomar medidas preventivas, você também planeje para os piores cenários. Ao planejar violações de segurança, você deve seguir as diretrizes em Planejando o comprometimento, particularmente a seção Repensando a abordagem, Você também deve ler Mantendo um ambiente mais seguro.

Aqui está um breve resumo das coisas que você deve fazer ao planejar comprometimentos de segurança, conforme descrito em mais detalhes em Mantendo um ambiente mais seguro:

  • Mantenha um ambiente mais seguro

  • Criar práticas de segurança centradas nos negócios para o AD

  • Atribuir propriedade comercial aos dados do AD

  • Implemente o gerenciamento do ciclo de vida orientado para os negócios

  • Classificar todos os dados do AD como sistemas, aplicativos ou usuários

Para continuar lendo mais detalhes sobre essas práticas, consulte Mantendo um ambiente mais seguro.

Tabela de resumo das medidas de segurança

A tabela a seguir resume as recomendações listadas neste artigo, listadas em ordem de prioridade. Os que estão mais próximos da parte inferior da tabela são aqueles que você e sua organização devem priorizar ao configurar o Ative Directory. No entanto, você também é livre para ajustar a ordem de prioridade e como implementar cada medida com base nas necessidades exclusivas da sua organização.

Cada medida também é categorizada com base em se é tática, estratégica, preventiva ou detetive. As medidas táticas concentram-se em componentes específicos do AD e em qualquer infraestrutura relacionada. As medidas estratégicas são mais abrangentes e, por conseguinte, requerem um maior planeamento para serem implementadas. Medidas preventivas evitam ataques de maus atores. As medidas de deteção ajudam-no a detetar violações de segurança à medida que acontecem, antes que se possam espalhar para outros sistemas.

Medida de segurança Tático ou Estratégico Preventiva ou Detetiva
Aplicações de patches. Tática Preventivo
Corrija sistemas operacionais. Tática Preventivo
Implante e atualize prontamente o software antivírus e antimalware em todos os sistemas e monitore as tentativas de removê-lo ou desativá-lo. Tática Ambos
Monitore objetos confidenciais do Ative Directory para tentativas de modificação e o Windows para eventos que possam indicar tentativa de comprometimento. Tática Detetive
Proteja e monitore contas de usuários que têm acesso a dados confidenciais Tática Ambos
Impeça que contas poderosas sejam usadas em sistemas não autorizados. Tática Preventivo
Eliminar a pertença permanente a grupos altamente privilegiados. Tática Preventivo
Implemente controles para conceder associação temporária em grupos privilegiados quando necessário. Tática Preventivo
Implemente hosts administrativos seguros. Tática Preventivo
Use listas de permissões de aplicativos em controladores de domínio, hosts administrativos e outros sistemas confidenciais. Tática Preventivo
Identifique ativos críticos e priorize sua segurança e monitoramento. Tática Ambos
Implemente controlos de acesso baseados em funções e privilégios mínimos para a administração do diretório, da sua infraestrutura de suporte e dos sistemas integrados no domínio. Estratégico Preventivo
Isolar sistemas e aplicativos legados. Tática Preventivo
Desative sistemas e aplicações legadas. Estratégico Preventivo
Implemente programas de ciclo de vida de desenvolvimento seguro para aplicativos personalizados. Estratégico Preventivo
Implemente o gerenciamento de configuração, revise a conformidade regularmente e avalie as configurações com cada nova versão de hardware ou software. Estratégico Preventivo
Migre ativos críticos para florestas intactas com requisitos rigorosos de segurança e monitoramento. Estratégico Ambos
Simplifique a segurança para os utilizadores finais. Estratégico Preventivo
Use firewalls baseados em host para controlar e proteger as comunicações. Tática Preventivo
Dispositivos de correção. Tática Preventivo
Implemente o gerenciamento do ciclo de vida centrado nos negócios para ativos de TI. Estratégico N/A
Crie ou atualize planos de recuperação de incidentes. Estratégico N/A