Práticas recomendadas para proteger o Active Directory

Os ataques contra a infraestrutura de computação aumentaram na última década em todas as partes do mundo. Vivemos em uma era de guerra cibernética, crimes cibernéticos e hacktivismo. Como resultado, organizações de todos os tamanhos em todo o mundo tiveram que lidar com vazamentos de informações, roubo de IP (propriedade intelectual), ataques de DDoS (negação de serviço) ou até mesmo infraestrutura destruída.

No entanto, à medida que o cenário de ameaças mudou ao longo dos anos, o cenário de segurança também se adaptou para combater essas ameaças. Embora nenhuma organização com uma infraestrutura de TI (tecnologia da informação) esteja sempre perfeitamente imune a ataques, o objetivo final da segurança não é impedir totalmente as tentativas de ataque, mas proteger a infraestrutura de TI contra ataques. Com as políticas, processos e controles certos, você pode proteger partes importantes da infraestrutura de TI contra comprometimento.

Neste artigo, descrevemos os tipos mais comuns de vulnerabilidades que observamos em implantações do AD (Active Directory). Em seguida, fornecemos recomendações sobre como proteger esses pontos fracos contra comprometimentos. Criamos essas recomendações com base na experiência de nossas organizações MSIT (Microsoft IT) e ISRM (Microsoft Information Security and Risk Management). Também mostramos as etapas que você pode seguir para reduzir a quantidade de infraestrutura vulnerável, ou superfície de ataque, em seu AD exposta ao mundo exterior. Também incluímos sugestões de como recuperar dados vitais e a função de infraestrutura se houver um comprometimento de segurança.

Vulnerabilidades comuns de segurança

Para saber como proteger melhor sua infraestrutura, primeiro você precisa entender onde os ataques são mais propensos a ocorrer e como eles funcionam. Este artigo aborda apenas recomendações gerais, mas se quiser obter mais detalhes, incluímos links para artigos mais detalhados.

Agora, examinaremos as vulnerabilidades de segurança mais comuns.

Pontos de entrada comuns

Os alvos de violação iniciais, ou pontos de entrada, são áreas em que os invasores podem entrar mais facilmente na infraestrutura de TI. Os pontos de entrada geralmente são lacunas na segurança ou atualizações que os invasores podem explorar para obter acesso a um sistema na infraestrutura. Os invasores geralmente começam com um ou dois sistemas de cada vez e, em seguida, intensificam o ataque à medida que espalham sua influência por mais sistemas não detectados.

As vulnerabilidades mais comuns são:

  • Lacunas em implantações de antivírus e antimalware

  • Aplicação de patch incompleta

  • Aplicativos e sistemas operacionais desatualizados

  • Configuração incorreta

  • Ausência de práticas seguras de desenvolvimento de aplicativos

Roubo de credenciais

Ataques de roubo de credenciais são quando um invasor obtém acesso privilegiado a um computador em uma rede usando ferramentas para extrair credenciais de sessões de contas que estão atualmente conectados. Os invasores geralmente procuram contas específicas que já têm privilégios elevados. O invasor rouba as credenciais dessa conta para imitar sua identidade para obter acesso ao sistema.

Os ladrões de credenciais geralmente têm como alvo esses tipos de contas:

  • Contas com privilégios permanentes

  • Contas de VIP

  • Contas do Active Directory anexadas a privilégios

  • Controladores de domínio

  • Outros serviços de infraestrutura que afetam o gerenciamento de configuração, acesso e identidade, como servidores PKI (infraestrutura de chave pública) ou servidores de gerenciamento de sistemas

Os usuários com contas altamente privilegiadas aumentam o risco de terem suas credenciais roubadas ao se envolverem nos seguintes comportamentos:

  • Entrar em suas contas com privilégios em computadores não protegidos

  • Navegar pela Internet enquanto está conectado a uma conta com privilégios

Você também deve evitar configurações ruins e arriscadas para proteger a segurança de credenciais do sistema, como:

  • Configurar contas com privilégios locais com as mesmas credenciais em todos os sistemas.

  • Atribuir muitos usuários a grupos de domínio privilegiados, incentivando o uso excessivo.

  • Gerenciamento insuficiente da segurança do controlador de domínio.

Para obter mais informações sobre contas vulneráveis, confira Contas atraentes para roubo de credenciais.

Reduzir a superfície de ataque do Active Directory

Você pode evitar ataques reduzindo a superfície de ataque em sua implantação do Active Directory. Em outras palavras, você torna sua implantação mais segura ao fechar as lacunas de segurança mencionadas na seção anterior.

Evite conceder privilégios excessivos

Os ataques de roubo de credenciais dependem de administradores concederem privilégios excessivos a determinadas contas. Para evitar esses ataques, faça o seguinte:

  • Lembre-se de que há três grupos internos que têm os privilégios mais altos no Active Directory por padrão: Administradores Corporativos, Administradores de Domínio e Administradores. Certifique-se de tomar medidas para proteger esses três grupos, juntamente com qualquer outro grupo ao qual sua organização concedeu privilégios elevados.

  • Implemente modelos administrativos com privilégios mínimos. Não use contas altamente privilegiadas para tarefas administrativas diárias se você puder evitá-las. Além disso, verifique se suas contas de administrador têm apenas os privilégios de linha de base necessários para realizar seus trabalhos, sem privilégios extras de que não precisam. Evite dar privilégios excessivos a contas de usuário que não precisam delas. Certifique-se de não dar acidentalmente a uma conta os mesmos privilégios em todos os sistemas, a menos que eles sejam absolutamente necessários.

  • Verifique as seguintes áreas de sua infraestrutura para garantir que você não esteja concedendo privilégios excessivos a contas de usuário:

    • Active Directory

    • Servidores membros

    • Estações de trabalho

    • Aplicativos

    • Repositórios de dados

Para obter mais informações, confira Implementar modelos administrativos de privilégios mínimos.

Usar hosts administrativos seguros

Hosts administrativos seguros são computadores configurados para dar suporte à administração para Active Directories e outros sistemas conectados. Esses hosts não executam software não administrativo, como aplicativos de email, navegadores da Web ou software de produtividade, como o Microsoft Office.

Ao configurar um host administrativo seguro, siga estes princípios gerais:

  • Nunca administre um sistema confiável de um host menos confiável.

  • Exigir autenticação multifator ao usar contas com privilégios ou realizar tarefas administrativas.

  • A segurança física dos hosts administrativos é tão importante quanto a segurança do sistema e da rede.

Para obter mais informações, confira Implementar hosts administrativos seguros.

Mantenha seus controladores de domínio seguros

Se um invasor obtiver acesso privilegiado a um controlador de domínio, ele poderá modificar, corromper e destruir o banco de dados do AD. Um ataque ao controlador de domínio potencialmente ameaça todos os sistemas e contas gerenciados pelo AD em sua organização. Portanto, é importante que você tome as seguintes medidas para manter seus controladores de domínio seguros:

  • Mantenha os controladores de domínio fisicamente seguros em seus datacenters, filiais e locais remotos.

  • Familiarize-se com o sistema operacional do controlador de domínio.

  • Configure seus controladores de domínio com ferramentas de configuração internas e livremente disponíveis para tornar as linhas de base de configuração de segurança que você pode impor com GPOs (objetos de política de grupo).

Para obter mais informações, confira Proteção de controladores de domínio contra ataques.

Monitorar o Active Directory em busca de sinais de ataque ou comprometimento

Outra maneira de manter a implantação do AD segura é monitorá-la em busca de sinais de ataques mal-intencionados ou compromissos de segurança. Você pode usar categorias de auditoria herdadas e subcategorias de política de auditoria ou usar a Política de Auditoria Avançada. Para obter mais informações, confira As Recomendações de Política de Auditoria.

Planejar compromissos de segurança

Embora você possa proteger seu AD de ataques externos, nenhuma defesa é verdadeiramente perfeita. É importante que, além de tomar medidas preventivas, você também planeje para os piores cenários possíveis. Ao planejar violações de segurança, siga as diretrizes no Planejamento de comprometimento, especialmente a seção Repensando a abordagem, você também deve ler Manutenção de um ambiente mais seguro.

Veja um breve resumo das coisas que você deve fazer ao planejar compromissos de segurança, conforme descrito em mais detalhes na Manutenção de um ambiente mais seguro:

  • Manter um ambiente mais seguro

  • Criar práticas de segurança centradas nos negócios para o AD

  • Atribuir propriedade de negócios a dados do AD

  • Implementar o gerenciamento do ciclo de vida orientados para os negócios

  • Classificar todos os dados do AD como sistemas, aplicativos ou usuários

Para continuar lendo mais detalhes sobre essas práticas, confira Manutenção de um ambiente mais seguro.

Tabela de resumo da medida de segurança

A tabela a seguir resume as recomendações listadas neste artigo, listadas em ordem de prioridade. Os mais próximos da parte inferior da tabela são os que você e sua organização devem priorizar ao configurar o Active Directory. No entanto, você também é livre para ajustar a ordem de prioridade e como implementar cada medida com base nas necessidades exclusivas da sua organização.

Cada medida também é categorizada com base em se é tática, estratégica, preventiva ou detectiva. As medidas táticas se concentram em componentes específicos do AD e em qualquer infraestrutura relacionada. As medidas estratégicas são mais abrangentes e, portanto, exigem mais planejamento para serem implementadas. As medidas preventivas evitam ataques de agentes mal-intencionados. As medidas detectivas ajudam a detectar violações de segurança no momento em que elas ocorrem, antes que possam se espalhar para outros sistemas.

Medida de segurança Táticas ou estratégicas Prevenção ou Detecção
Aplicativos de patch. Táticas Preventiva
Sistemas operacionais de patch. Táticas Preventiva
Implante e atualize prontamente o software antivírus e antimalware em todos os sistemas e monitore as tentativas de removê-los ou desabilitá-los. Táticas Ambos
Monitore as tentativas de modificação de objetos confidenciais do Active Directory e o Windows quanto a eventos que possam indicar uma tentativa de comprometimento. Táticas Detectiva
Proteger e monitorar contas para usuários que têm acesso a dados confidenciais Táticas Ambos
Impedir que contas avançadas sejam usadas em sistemas não autorizados. Táticas Preventiva
Eliminar a associação permanente em grupos com privilégios altos. Táticas Preventiva
Implementar controles para conceder associação temporária em grupos com privilégios quando necessário. Táticas Preventiva
Implementar hosts administrativos seguros. Táticas Preventiva
Use listas de permissão de aplicativo em controladores de domínio, hosts administrativos e outros sistemas confidenciais. Táticas Preventiva
Identificar ativos críticos e priorizar a segurança e o monitoramento deles. Táticas Ambos
Implementar controles de acesso com privilégios mínimos e baseados em função para administração do diretório e sua infraestrutura de suporte e sistemas ingressados no domínio. Estratégica Preventiva
Isolar sistemas e aplicativos herdados. Táticas Preventiva
Desativar sistemas e aplicativos herdados. Estratégica Preventiva
Implementar programas seguros de ciclo de vida de desenvolvimento em aplicativos personalizados. Estratégica Preventiva
Implementar o gerenciamento de configuração, examinar a conformidade regularmente e avaliar as configurações em cada nova versão de hardware ou software. Estratégica Preventiva
Migrar ativos críticos para florestas primitivas com requisitos rigorosos de segurança e monitoramento. Estratégica Ambos
Simplificar segurança para usuários finais. Estratégica Preventiva
Usar firewalls baseados em host para controlar e proteger as comunicações. Táticas Preventiva
Dispositivos de patch. Táticas Preventiva
Implementar o gerenciamento do ciclo de vida focado nos negócios para ativos de TI. Estratégica N/D
Criar ou atualizar planos de recuperação de incidentes. Estratégica N/D