Proteger o Microsoft 365 de ataques locais
Muitos clientes conectam suas redes corporativas privadas ao Microsoft 365 para beneficiar seus usuários, dispositivos e aplicativos. No entanto, essas redes privadas podem ser comprometidas de várias maneiras bem documentadas. O Microsoft 365 age como um tipo de sistema nervoso para muitas organizações. É fundamental protegê-lo da infraestrutura local comprometida.
Este artigo mostra como configurar os sistemas para ajudar a proteger seu ambiente de nuvem do Microsoft 365 do comprometimento local, incluindo os seguintes elementos:
- Definições de configuração de locatário do Microsoft Entra
- Como os locatários do Microsoft Entra podem ser conectados com segurança a sistemas locais
- As compensações necessárias para operar seus sistemas de maneiras que protegem seus sistemas de nuvem contra o comprometimento local
A Microsoft recomenda fortemente que você implemente essas diretrizes.
Fontes de ameaças em ambientes locais
Seu ambiente de nuvem do Microsoft 365 se beneficia de uma ampla infraestrutura de monitoramento e segurança. O Microsoft 365 usa o aprendizado de máquina e a inteligência humana para analisar o tráfego mundial. Ele pode detectar ataques rapidamente e permitir que você reconfigure quase em tempo real.
As implantações híbridas podem conectar a infraestrutura local ao Microsoft 365. Nessas implantações, muitas organizações delegam confiança a componentes locais para as decisões de autenticação crítica e gerenciamento de estado do objeto do directory. Se o ambiente local estiver comprometido, essas relações de confiança se tornarão as oportunidades de um invasor para comprometer seu ambiente de Microsoft 365.
Os dois vetores de ameaça principais são relações de confiança de federação e sincronização de conta. Ambos os vetores podem conceder a um invasor acesso administrativo à sua nuvem.
As relações de confiança federadas, como a autenticação SAML (Security Assertions Markup Language), são usadas para autenticar Microsoft 365 por meio de sua infraestrutura de identidade local. Se um certificado de autenticação de tokens SAML for comprometido, a federação permitirá que qualquer pessoa que tenha esse certificado represente qualquer usuário em sua nuvem.
Recomendamos que você desabilite as relações de confiança de federação para autenticação para Microsoft 365 quando possível.
A sincronização de conta pode ser usada para modificar usuários privilegiados, incluindo suas credenciais, ou grupos que têm privilégios administrativos no Microsoft 365.
Recomendamos que você garanta que objetos sincronizados não tenham privilégios além de um usuário no Microsoft 365. Você pode controlar privilégios diretamente ou por meio da inclusão em funções ou grupos confiáveis. Verifique se esses objetos não têm nenhuma atribuição direta ou aninhada em grupos ou funções de nuvem confiáveis.
Proteger o Microsoft 365 de comprometimento local
Para abordar as ameaças descritas acima, recomendamos que você siga os princípios ilustrados no diagrama a seguir:
Isole completamente suas contas de administrador do Microsoft 365. Elas devem ser:
- Mestre em Microsoft Entra ID.
- Autenticadas usando a autenticação multifator.
- Protegido pelo acesso condicional do Microsoft Entra.
- Acessadas somente usando estações de trabalho gerenciadas pelo Azure.
Essas contas de administrador são contas de uso restrito. Nenhuma conta local deve ter privilégios administrativos no Microsoft 365.
Para saber mais, confira Sobre as funções de administrador. Também consulte Funções para serviços do Microsoft 365 no Microsoft Entra ID.
Gerenciar dispositivos do Microsoft 365. Use o Microsoft Entra Join e o MDM (gerenciamento de dispositivo móvel) baseado em nuvem para eliminar dependências em sua infraestrutura de gerenciamento de dispositivo local. Essas dependências podem comprometer o dispositivo e os controles de segurança.
Certifique-se de que nenhuma conta local tenha privilégios elevados para Microsoft 365. Algumas contas acessam aplicativos locais que exigem autenticação NTLM, LDAP ou Kerberos. Essas contas devem estar na infraestrutura de identidade local da organização. Verifique se essas contas, incluindo contas de serviço, não estão incluídas em grupos ou funções de nuvem privilegiadas. Além disso, certifique-se de que as alterações nessas contas não afetem a integridade do ambiente de nuvem. O software local privilegiado não deve ser capaz de afetar funções ou contas privilegiadas do Microsoft 365.
Use a autenticação de nuvem do Microsoft Entra para eliminar dependências em suas credenciais locais. Sempre use autenticação forte, como Windows Hello, FIDO, Microsoft Authenticator ou autenticação multifator do Microsoft Entra.
Recomendações de segurança específicas
As seções a seguir fornecem diretrizes sobre como implementar os princípios descritos acima.
Isolar identidades privilegiadas
No Microsoft Entra ID, os usuários que têm funções privilegiadas, como administradores, são a raiz de confiança para criar e gerenciar o restante do ambiente. Implemente as práticas a seguir para minimizar os efeitos de um comprometimento.
Use contas somente em nuvem para função com privilégios do Microsoft Entra ID e Microsoft 365.
Para cada função com privilégios altos, você deve fazer o seguinte:
- Revise os usuários que têm
onPremisesImmutableId
eonPremisesSyncEnabled
definidos. Consulte Tipo de recurso de usuário da API do Microsoft Graph. - Crie contas de usuário somente na nuvem para esses indivíduos e remova sua identidade híbrida de funções privilegiadas.
- Revise os usuários que têm
Implemente dispositivos com acesso privilegiado para acesso privilegiado para gerenciar o Microsoft 365 e o Microsoft Entra ID. Confira Funções e perfis do dispositivo.
Implante o Microsoft Entra PIM (Privileged Identity Management) para acesso just-in-time a todas as contas humanas que têm funções privilegiadas. Exija autenticação forte para ativar funções. Consulte O que é o Microsoft Entra Privileged Identity Management.
Forneça funções administrativas que permitam o privilégio mínimo necessário para executar as tarefas necessárias. ConsulteFunções com privilégios mínimos por tarefa no Microsoft Entra ID.
Para habilitar uma experiência de atribuição de função rica que inclui delegação e várias funções ao mesmo tempo, considere o uso de grupos de segurança do Microsoft Entra ou grupos de Microsoft 365. Esses grupos são chamados coletivamente de grupos de nuvem.
Também habilite o controle de acesso baseado em função. ConsulteAtribuir funções aos grupos do Microsoft Entra. Você pode usar unidades administrativas para restringir o escopo de funções a uma parte da organização. Consulte Unidades administrativas no Microsoft Entra ID.
Criar contas de acesso de emergência. Não use cofres de senha locais para armazenar credenciais. Consulte Gerenciar contas de acesso de emergência no Microsoft Entra ID.
Para obter mais informações, consulte Protegendo o acesso privilegiado. Também consulte Práticas de acesso seguro para administradores no Microsoft Entra ID.
Use autenticação na nuvem
As credenciais são um vetor de ataque primário. Implemente as seguintes práticas para tornar as credenciais mais seguras:
Crie autenticação sem senha. Reduza o uso de senhas tanto quanto possível implantando credenciais sem senha. Essas credenciais são gerenciadas e validadas nativamente na nuvem. Para mais informações, consulte Planejar uma implantação de autenticação sem senha no ID do Microsoft Entra.
Escolha um destes métodos de autenticação:
Usar a autenticação multifator. Para obter mais informações, consulte Planejar uma implantação de autenticação multifator do Microsoft Entra.
Provisione várias credenciais fortes usando a autenticação multifator do Microsoft Entra. Dessa forma, o acesso aos recursos de nuvem exigem uma credencial gerenciada do Microsoft Entra ID além de uma senha local. Para obter mais informações, confira Criar resiliência com o gerenciamento de credencial e Criar uma estratégia resiliente de gerenciamento de controle de acesso usando o Microsoft Entra.
Limitações e compensações
O gerenciamento de senha de conta híbrida requer componentes híbridos, como agentes de proteção de senha e agentes de write-back de senha. Se sua infraestrutura local estiver comprometida, os invasores poderão controlar os computadores nos quais esses agentes residem. Essa vulnerabilidade não comprometerá sua infraestrutura de nuvem. Mas suas contas de nuvem não protegerão esses componentes contra o comprometimento local.
As contas locais sincronizadas do Active Directory são marcadas para nunca expirarem no Microsoft Entra ID. Essa configuração geralmente é minimizada pelas configurações de senha do Active Directory local. Se sua instância do Active Directory estiver comprometida e a sincronização estiver desabilitada, defina a opção EnforceCloudPasswordPolicyForPasswordSyncedUsers para forçar as alterações de senha.
Provisionar o acesso do usuário na nuvem
O provisionamento refere-se à criação de contas de usuário e grupos em aplicativos ou provedores de identidade.
Recomendamos os seguintes métodos de provisionamento:
Provisione de aplicativos de RH na nuvem para o Microsoft Entra ID. Esse provisionamento permite que um compromisso local seja isolado. Esse isolamento não interrompe o ciclo joiner-mover-leaver de seus aplicativos de RH na nuvem para Microsoft Entra ID.
Aplicativos de nuvem. Sempre que possível, implante o provisionamento de aplicativo do Microsoft Entra em oposição às soluções de provisionamento local. Esse método protege alguns dos seus aplicativos SaaS (software como serviço) de perfis de hacker mal-intencionados em violações locais. Para obter mais informações, confira O que é o provisionamento de aplicativo no Microsoft Entra ID.
Identidades externas. Use a colaboração B2B do Microsoft Entra para reduzir a dependência de contas locais para colaboração externa com parceiros, clientes e fornecedores. Avalie cuidadosamente qualquer federação direta com outros provedores de identidade. Para obter mais informações, confira Visão geral da colaboração B2B.
É recomendável limitar as contas de convidado B2B das seguintes maneiras:
- Limite o acesso de convidado a grupos de navegação e outras propriedades no diretório. Use as configurações de colaboração externas para restringir a capacidade dos convidados de ler grupos dos quais não são membros.
- Bloqueie o acesso ao portal do Azure. Você pode fazer exceções raras necessárias. Crie uma política de acesso condicional que inclua todos os convidados e usuários externos. Em seguida, implemente uma política para bloquear o acesso. Confira Acesso condicional.
Florestas desconectadas. Use o provisionamento de nuvem do Microsoft Entra para se conectar a florestas desconectadas. Esse método elimina a necessidade de estabelecer confiança ou conectividade entre florestas, o que pode ampliar o efeito de uma violação local. Para obter mais informações, consulte O que é a sincronização de nuvem do Microsoft Entra Connect?.
Limitações e compensações
Quando usado para provisionar contas híbridas, o sistema Azure-AD-from-Cloud-HR depende da sincronização local para concluir o fluxo de dados do Active Directory para o Microsoft Entra ID. Se a sincronização for interrompida, os novos registros de funcionários não estarão disponíveis no Microsoft Entra ID.
Usar grupos de nuvem para colaboração e acesso
Os grupos de nuvem permitem dissociar sua colaboração e acesso de sua infraestrutura local.
- Colaboração. Use grupos de Microsoft 365 e Microsoft Teams para colaboração moderna. Descomissionar listas de distribuição locais e atualizar listas de distribuição para grupos de Microsoft 365 no Outlook.
- Acesso. Use grupos de segurança do Microsoft Entra ou grupos de Microsoft 365 para autorizar o acesso a aplicativos no Microsoft Entra.
- Licenciamento do Office 365. Use o licenciamento baseado em grupo para provisionar o Office 365 usando grupos somente de nuvem. Esse método separa o controle de associação de grupo da infraestrutura local.
Proprietários de grupos usados para acesso devem ser considerados identidades privilegiadas para evitar uma incorporação de subscrição em um comprometimento local. Um tomada inclui a manipulação direta da associação de grupo local ou a manipulação de atributos locais que podem afetar grupos de associação dinâmica no Microsoft 365.
Gerenciar dispositivos de nuvem
Use recursos para gerenciar dispositivos com segurança do Microsoft Entra.
Implante estações de trabalho do Windows 10 ingressadas no Microsoft Entra com políticas de gerenciamento de dispositivo móvel. Habilite o Windows Autopilot para uma experiência de provisionamento totalmente automatizada. Confira Planejar sua implementação de ingresso do Azure AD e Windows Autopilot.
- Use estações de trabalho do Windows 10.
- Substitua as máquinas que executam o Windows 8.1 e versões anteriores.
- Não implante computadores que tenham sistemas operacionais de servidor como estações de trabalho.
- Use o Microsoft Intune como a autoridade para todas as cargas de trabalho de gerenciamento de dispositivos. Consulte Microsoft Intune.
- Implante dispositivos do acesso privilegiado. Para obter mais informações, confira Funções e perfis de dispositivo.
Cargas de trabalho, aplicativos e recursos
Sistemas de logon único (SSO) locais
Descontinue qualquer infraestrutura de gerenciamento de acesso à Web e federação local. Configure aplicativos para usar o Microsoft Entra ID.
Aplicativos SaaS e LOB (linha de negócios) que dão suporte a protocolos de autenticação modernos
Use o Microsoft Entra ID para SSO. Quanto mais aplicativos você configurar para usar o Microsoft Entra ID para autenticação, menor será o risco em um comprometimento local. Para obter mais informações, consulte O que é logon único no Microsoft Entra ID.
Aplicativos herdados
Você pode habilitar a autenticação, a autorização e o acesso remoto a aplicativos herdados que não dão suporte à autenticação moderna. Use o Proxy de aplicativo do Microsoft Entra. Ou habilite por meio de uma solução de rede ou de controlador de entrega de aplicativos usando integrações de parceiros de acesso híbrido seguro. Proteger aplicativos herdados com o Microsoft Entra ID.
Escolha um fornecedor de VPN que ofereça suporte à autenticação moderna. Integre sua autenticação com o Microsoft Entra ID. Em um comprometimento local, você pode usar o Microsoft Entra ID para desabilitar ou bloquear o acesso desabilitando a VPN.
Aplicativos e servidores de carga de trabalho
Os aplicativos ou recursos que precisam de servidores podem ser migrados para a infraestrutura como um serviço (IaaS) do Azure. Use o Serviços de Domínio do Microsoft Entra para separar a confiança e a dependência em instâncias locais do Active Directory. Para obter essa separação, verifique se as redes virtuais usadas para o Serviços de Domínio do Microsoft Entra não têm uma conexão com redes corporativas. Consulte Serviços de Domínio do Microsoft Entra.
Use a camada de credencial. Os servidores de aplicativos normalmente são considerados ativos de camada 1. Para obter mais informações, confira Modelo de acesso Enterprise.
Políticas de acesso condicional
Use o acesso condicional do Microsoft Entra para interpretar sinais e usá-los para tomar decisões de autenticação. Para obter mais informações, consulte o Plano de implantação de acesso condicional.
Use o acesso condicional para bloquear protocolos de autenticação herdados sempre que possível. Além disso, desabilite os protocolos de autenticação herdados no nível do aplicativo usando uma configuração específica do aplicativo. Confira Bloquear autenticação herdada.
Para obter mais informações, consulte Protocolos de autenticação herdados. Ou consulte detalhes específicos para o Exchange Online e o SharePoint Online.
Implemente as configurações recomendadas de acesso de dispositivo e identidade. Confira Políticas de acesso de dispositivo e identidade de Confiança Zero comuns.
Se você estiver usando uma versão do Microsoft Entra ID que não inclui acesso condicional, use Padrões de segurança do Microsoft Entra ID.
Para obter mais informações sobre o licenciamento de recursos do Microsoft Entra, consulte o guia de preços do Microsoft Entra.
Monitor
Depois de configurar seu ambiente para proteger seu Microsoft 365 de um comprometimento local, monitore proativamente o ambiente. Para obter mais informações, consulte O que é o monitor do Microsoft Entra?
Cenários a serem monitorados
Monitore os seguintes cenários principais, além de quaisquer cenários específicos para sua organização. Por exemplo, você deve monitorar proativamente o acesso aos seus aplicativos e recursos críticos para os negócios.
Atividade suspeita
Monitore todos os eventos de risco do Microsoft Entra em busca de atividades suspeitas. Confira Como Investigar o risco. O Microsoft Entra ID Protection é integrado nativamente ao Microsoft Defender para Identidade.
Defina locais nomeados da rede para evitar detecções com ruídos em sinais baseados no local. Confira Usar a condição de localização em uma política de Acesso condicional.
Alertas de UEBA (análise comportamental de entidade e usuário)
Use UEBA para obter insights sobre a detecção de anomalias. O Microsoft Defender para Aplicativos de Nuvem oferece o UEBA na nuvem. Confira Investigar usuários suspeitos.
Você pode integrar o UEBA local da ATP (proteção avançada contra ameaças) do Azure. O Microsoft Defender para Aplicativos de Nuvem lê sinais do Microsoft Entra ID Protection. Confira Conectar ao seu Active Directory Forest.
Atividade de contas de acesso de emergência
Monitore qualquer acesso que use contas de acesso de emergência. Consulte Gerenciar contas de acesso de emergência no Microsoft Entra ID. Crie alertas para investigações. Esse monitoramento deve incluir as seguintes ações:
- Entradas
- Gerenciamento de credenciais
- Quaisquer atualizações em associações de grupo
- Atribuições de aplicativos
Atividade de função com privilégios
Configurar e examinar alertas de segurança gerados pelo Microsoft Entra Privileged Identity Management (PIM). Monitore a atribuição direta de funções privilegiadas fora do PIM, gerando alertas sempre que um usuário é atribuído diretamente. Confira Alertas de segurança.
Configurações de todo o locatário do Azure AD
Qualquer alteração nas configurações de todo o locatário deve gerar alertas no sistema. Essas alterações incluem:
- Domínios personalizados atualizados
- O Microsoft Entra B2B muda para lista de permitidos e lista de bloqueados
- Alterações do Microsoft Entra B2B para provedores de identidade permitidos, como provedores de identidade SAML por meio de federação direta ou entradas sociais
- Alterações de política de risco ou de acesso condicional
Objetos de aplicativo e entidade de serviço
- Novos aplicativos ou entidades de serviço que podem exigir políticas de acesso condicional
- Credenciais adicionadas às entidades de serviço
- Atividade de consentimento do aplicativo
Funções personalizadas
- Atualizações para as definições de função personalizadas
- Funções personalizadas criadas recentemente
Gerenciamento de Log
Defina um armazenamento de log e uma estratégia de retenção, design e implementação para facilitar um conjunto de ferramentas consistente. Por exemplo, você pode considerar sistemas de SIEM (gerenciamento de evento e informações de segurança) como o Microsoft Azure Sentinel, consultas comuns e guias estratégicos de investigação e análise.
Logs do Microsoft Entra. Ingerir logs e sinais gerados seguindo consistentemente as práticas recomendadas para configurações como diagnóstico, retenção de log e ingestão de SIEM.
A estratégia de log deve incluir os seguintes logs do Microsoft Entra:
- Atividade de entrada
- Logs de auditoria
- Eventos de risco
O Microsoft Entra ID fornece integração com o Azure Monitor para o log de atividades de entrada e logs de auditoria. Consulte Logs de atividades do Microsoft Entra no Azure Monitor.
Use o API do Microsoft Graph para ingerir eventos de risco. Confira Usar as APIs de proteção de ID do Microsoft Graph.
Você pode transmitir logs do Microsoft Entra para os logs do Azure Monitor. Confira Integrar logs do Microsoft Entra aos logs do Azure Monitor.
Logs de segurança do sistema operacional de infraestrutura híbrida. Todos os logs do sistema operacional de infraestrutura de identidade híbrida devem ser arquivados e cuidadosamente monitorados como um sistema de camada 0, devido às implicações da área de superfície. Inclui os seguintes elementos:
Agentes do Proxy de Aplicativo
Agentes do write-back de senha
Computadores do gateway de proteção de senha
NPSs (servidores de diretivas de rede) que têm a extensão RADIUS de autenticação multifator do Microsoft Entra
Microsoft Entra Connect
Você deve implantar o Microsoft Entra Connect Health para monitorar a sincronização de identidades. Consulte O que é o Microsoft Entra Connect.