Redução da superfície de ataque do Active Directory
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 e Windows Server 2012
Esta seção tem como foco os controles técnicos a serem implementados para reduzir a superfície de ataque da instalação do Active Directory. A seção contém as seguintes informações:
Como implementar modelos administrativos com privilégios mínimos tem como foco identificar o risco apresentado pelo uso de contas altamente privilegiadas para a administração diária, além de fornecer recomendações a serem implementadas para reduzir o risco apresentado pelas contas privilegiadas.
Como implementar hosts administrativos seguros descreve os princípios para a implantação de sistemas administrativos dedicados e seguros, além de alguns exemplos de abordagens para uma implantação de um host administrativo seguro.
Como proteger controladores de domínio contra ataques discute as políticas e as configurações que, embora semelhantes às recomendações para a implementação de hosts administrativos seguros, contêm algumas recomendações específicas do controlador de domínio para ajudar a garantir que os controladores de domínio e os sistemas usados para gerenciá-los estejam bem protegidos.
Contas privilegiadas e grupos no Active Directory
Esta seção fornece informações básicas sobre as contas e os grupos privilegiados no Active Directory destinados a explicar as semelhanças e as diferenças entre contas e grupos privilegiados no Active Directory. Ao entender essas distinções, independentemente de você implementar as recomendações descritas em Como implementar modelos administrativos com privilégios mínimos textualmente ou optar por personalizá-las para sua organização, você tem as ferramentas necessárias para proteger cada grupo e conta de maneira adequada.
Contas e grupos privilegiados internos
O Active Directory facilita a delegação da administração e dá suporte ao princípio de privilégios mínimos na atribuição de direitos e permissões. Os usuários "comuns" que têm contas em um domínio podem, por padrão, ler grande parte do que é armazenado no diretório, mas só podem alterar um conjunto muito limitado de dados no diretório. Os usuários que exigem privilégios adicionais podem receber associação a vários grupos "privilegiados" integrados ao diretório para que possam executar tarefas específicas relacionadas às respectivas funções, mas não podem executar tarefas que não são relevantes para as funções. As organizações também podem criar grupos que são adaptados a responsabilidades específicas do trabalho e recebem direitos e permissões granulares que permitem que a equipe de TI execute funções administrativas diárias sem conceder direitos e permissões que excedam o necessário para essas funções.
No Active Directory, três grupos internos são os grupos de privilégios mais altos no diretório: Administradores Corporativos, Administradores do Domínio e Administradores. A configuração padrão e as funcionalidades de cada um desses grupos são descritas nas seguintes seções:
Grupos de privilégios mais altos no Active Directory
Administrador corporativo
O EA (Administradores Corporativos) é um grupo que existe apenas no domínio raiz da floresta e, por padrão, é membro do grupo Administradores em todos os domínios da floresta. A conta de Administrador interno no domínio raiz da floresta é o único membro padrão do grupo EA. Os EAs recebem direitos e permissões que permitem implementar alterações em toda a floresta (ou seja, alterações que afetam todos os domínios da floresta), como adicionar ou remover domínios, estabelecer relações de confiança de floresta ou elevar níveis funcionais da floresta. Em um modelo de delegação projetado e implementado corretamente, a associação ao EA é necessária somente ao construir a floresta pela primeira vez ou ao fazer determinadas alterações em toda a floresta, como estabelecer uma relação de confiança da floresta de saída. A maioria dos direitos e permissões concedidos ao grupo EA pode ser delegada a usuários e grupos com privilégios menores.
Administradores do domínio
Cada domínio de uma floresta tem um grupo DA (Administradores do Domínio) próprio, que é membro do grupo Administradores desse domínio e membro do grupo local Administradores em cada computador ingressado no domínio. O único membro padrão do grupo DA para um domínio é a conta de Administrador interno desse domínio. Os DAs são "todos poderosos" nos respectivos, enquanto os EAs têm privilégios em toda a floresta. Em um modelo de delegação projetado e implementado corretamente, a associação aos Administradores do Domínio deve ser necessária apenas em cenários de emergência (como situações em que uma conta com altos níveis de privilégio em cada computador no domínio é necessária). Embora os mecanismos nativos de delegação do Active Directory permitam a delegação na medida em que é possível usar contas de DA somente em cenários de emergência, a construção de um modelo de delegação eficaz pode ser demorada e muitas organizações aproveitam ferramentas de terceiros para agilizar o processo.
Administradores
O terceiro grupo é o grupo local Administradores de domínio interno (BA) no qual os DAs e os EAs estão aninhados. Esse grupo recebe muitos dos direitos diretos e permissões no diretório e nos controladores de domínio. No entanto, o grupo Administradores de um domínio não tem privilégios nos servidores membro ou nas estações de trabalho. É por meio da associação ao grupo local Administradores dos computadores que o privilégio local é concedido.
Observação
Embora essas sejam as configurações padrão desses grupos privilegiados, um membro de um dos três grupos pode manipular o diretório para obter associação em um dos outros grupos. Em alguns casos, é comum obter associação a outros grupos, enquanto em outros é mais difícil, mas da perspectiva do privilégio potencial, os três grupos devem ser considerados efetivamente equivalentes.
Administradores de esquemas
Um quarto grupo privilegiado, SA (Administradores de Esquema), existe apenas no domínio raiz da floresta e tem apenas a conta de Administrador interno desse domínio como membro padrão, semelhante ao grupo Administradores Corporativos. O grupo Administradores de Esquema deve ser preenchido apenas temporária e ocasionalmente (quando a modificação do esquema do AD DS é necessária).
Embora o grupo SA seja o único grupo que possa modificar o esquema do Active Directory (ou seja, as estruturas de dados subjacentes do diretório, como objetos e atributos), o escopo dos direitos e permissões do grupo SA é mais limitado do que os grupos descritos anteriormente. Também é comum descobrir que as organizações desenvolveram práticas apropriadas para o gerenciamento da associação do grupo de SA, porque a associação ao grupo costuma ser raramente necessária e apenas por curtos períodos. Isso é tecnicamente verdadeiro para os grupos EA, DA e BA no Active Directory, mas é muito menos comum descobrir que as organizações implementaram práticas semelhantes para esses grupos como para o grupo SA.
Contas protegidas e grupos no Active Directory
No Active Directory, um conjunto padrão de contas e grupos privilegiados chamados contas e grupos "protegidos" são protegidos de maneira diferente de outros objetos no diretório. Qualquer conta que tenha associação direta ou transitiva em qualquer grupo protegido (independentemente de a associação ser derivada de grupos de segurança ou distribuição) herda essa segurança restrita.
Por exemplo, se um usuário for membro de um grupo de distribuição que, por sua vez, seja membro de um grupo protegido no Active Directory, esse objeto de usuário será sinalizado como uma conta protegida. Quando uma conta é sinalizada como uma conta protegida, o valor do atributo adminCount no objeto é definido como 1.
Observação
Embora a associação transitiva em um grupo protegido inclua grupos de distribuição aninhados e de segurança aninhados, as contas que são membros dos grupos de distribuição aninhados não receberão o SID do grupo protegido nos tokens de acesso. No entanto, os grupos de distribuição podem ser convertidos em grupos de segurança no Active Directory, razão pela qual os grupos de distribuição são incluídos na enumeração de membros do grupo protegido. Se um grupo de distribuição aninhado protegido for convertido em um grupo de segurança, as contas que são membros do grupo de distribuição antigo receberão posteriormente o SID do grupo protegido pai nos tokens de acesso no próximo logon.
A tabela a seguir lista as contas e os grupos protegidos padrão no Active Directory por versão do sistema operacional e nível de service pack.
Contas e grupos protegidos padrão no Active Directory por versão do sistema operacional e SP (service pack)
| Windows 2000 <SP4 | Windows 2000 SP4 – Windows Server 2003 | Windows Server 2003 SP1 e superior | Windows Server 2008 – Windows Server 2012 |
|---|---|---|---|
| Administradores | Opers. de contas | Opers. de contas | Opers. de contas |
| Administrador | Administrador | Administrador | |
| Administradores | Administradores | Administradores | |
| Administradores do domínio | Operadores de cópia | Operadores de cópia | Operadores de cópia |
| Editores de Certificados | |||
| Administradores do domínio | Administradores do domínio | Administradores do domínio | |
| Administrador corporativo | Controladores de Domínio | Controladores de Domínio | Controladores de Domínio |
| Administrador corporativo | Administrador corporativo | Administrador corporativo | |
| Krbtgt | Krbtgt | Krbtgt | |
| Operadores de Impressão | Operadores de Impressão | Operadores de Impressão | |
| Controladores de Domínio somente leitura | |||
| Replicador | Replicador | Replicador | |
| Administradores de esquemas | Administradores de esquemas | Administradores de esquemas |
AdminSDHolder e SDProp
No contêiner System de cada domínio do Active Directory, um objeto chamado AdminSDHolder é criado automaticamente. A finalidade do objeto AdminSDHolder é garantir que as permissões nas contas e nos grupos protegidos sejam impostas de maneira consistente, seja qual for a localização das contas e dos grupos protegidos no domínio.
A cada 60 minutos (por padrão), um processo conhecido como SDProp (Propagador de Descritor de Segurança) é executado no controlador de domínio que contém a função Emulador de PDC do domínio. O SDProp compara as permissões no objeto AdminSDHolder do domínio com as permissões nas contas e nos grupos protegidos no domínio. Se as permissões em uma das contas e dos grupos protegidos não corresponderem às permissões no objeto AdminSDHolder, as permissões nas contas e nos grupos protegidos serão redefinidas para corresponderem às do objeto AdminSDHolder do domínio.
A herança de permissões é desabilitada em contas e grupos protegidos, o que significa que, mesmo que as contas ou os grupos sejam movidos para locais diferentes no diretório, eles não herdam permissões dos novos objetos pai. A herança também é desabilitada no objeto AdminSDHolder para que as permissões de alterações nos objetos pai não alterem as permissões de AdminSDHolder.
Observação
Quando uma conta é removida de um grupo protegido, ela não é mais considerada uma conta protegida, mas o atributo adminCount dela permanece definido como 1 se não é alterado manualmente. O resultado dessa configuração é que as ACLs do objeto não são mais atualizadas pelo SDProp, mas o objeto ainda não herda permissões do objeto pai. Portanto, o objeto poderá residir em uma UO (unidade organizacional) à qual as permissões foram delegadas, mas o objeto anteriormente protegido não herdará essas permissões delegadas. Encontre um script usado para localizar e redefinir objetos anteriormente protegidos no domínio no artigo 817433 do Suporte da Microsoft.
Propriedade de AdminSDHolder
A maioria dos objetos do Active Directory pertence ao grupo BA do domínio. No entanto, o objeto AdminSDHolder pertence, por padrão, ao grupo DA do domínio. (Essa é uma circunstância na qual os DAs não derivam os respectivos direitos e permissões por meio de associação ao grupo Administradores do domínio.)
Nas versões do Windows anteriores ao Windows Server 2008, os proprietários de um objeto podem alterar as permissões do objeto, incluindo a concessão de permissões que eles não tinham originalmente. Portanto, as permissões padrão no objeto AdminSDHolder de um domínio impedem que os usuários que sejam membros de grupos BA ou EA alterem as permissões para o objeto AdminSDHolder de um domínio. No entanto, os membros do grupo Administradores do domínio podem se apropriar do objeto e conceder permissões adicionais, o que significa que essa proteção é rudimentar e só protege o objeto contra a modificação acidental por usuários que não são membros do grupo DA no domínio. Além disso, os grupos BA e EA (quando aplicável) têm permissão para alterar os atributos do objeto AdminSDHolder no domínio local (domínio raiz para EA).
Observação
Um atributo no objeto AdminSDHolder, dSHeuristics, permite a personalização limitada (remoção) de grupos que são considerados grupos protegidos e são afetados por AdminSDHolder e pelo SDProp. Essa personalização deverá ser cuidadosamente considerada se for implementada, embora haja circunstâncias válidas em que a modificação de dSHeuristics no AdminSDHolder seja útil. Mais informações sobre a modificação do atributo dSHeuristics em um objeto AdminSDHolder podem ser encontradas nos artigos 817433 do Suporte da Microsoft e no Apêndice C: Contas e grupos protegidos no Active Directory.
Embora os grupos mais privilegiados do Active Directory sejam descritos aqui, há vários outros grupos que receberam níveis elevados de privilégio. Para obter mais informações sobre todos os grupos padrão e internos do Active Directory e os direitos de usuário atribuídos a cada um, confira Apêndice B: Contas privilegiadas e grupos do Active Directory.