Implementar hosts administrativos seguros

Os hosts administrativos seguros são estações de trabalho ou servidores configurados especificamente para criar plataformas seguras nas quais as contas privilegiadas podem executar tarefas administrativas no Active Directory ou em controladores de domínio, sistemas ingressados no domínio e aplicativos em execução nos sistemas ingressados no domínio. Nesse caso, "contas privilegiadas" se referem não apenas a contas membros dos grupos mais privilegiados do Active Directory, mas a quaisquer contas que receberam direitos e permissões para a execução de tarefas administrativas.

Essas contas podem ser contas do Suporte Técnico que têm a capacidade de redefinir senhas para a maioria dos usuários em um domínio, contas usadas para administrar registros e zonas DNS ou contas usadas para o gerenciamento de configuração. Os hosts administrativos seguros são dedicados à funcionalidade administrativa e não executam software como aplicativos de email, navegadores da Web ou software de produtividade como o Microsoft Office.

Embora as contas e grupos "mais privilegiados" devam ser os mais protegidos rigorosamente, isso não elimina a necessidade de proteger as contas e grupos que receberam privilégios acima daqueles das contas de usuário padrão.

Um host administrativo seguro pode ser uma estação de trabalho dedicada usada apenas para tarefas administrativas, um servidor membro que executa a função de servidor de Gateway de Área de Trabalho Remota e à qual os usuários de TI se conectam para executar a administração de hosts de destino ou um servidor que executa a função do Hyper-V e fornece uma máquina virtual exclusiva para que cada usuário de TI utilize em suas tarefas administrativas. Em muitos ambientes, combinações das três abordagens podem ser implementadas.

A implementação de hosts administrativos seguros exige planejamento e configuração consistentes com o tamanho, as práticas administrativas, o apetite por risco e o orçamento da sua organização. As considerações e opções para implementar hosts administrativos seguros são fornecidas aqui para você usar no desenvolvimento de uma estratégia administrativa adequada para sua organização.

Princípios para criar hosts administrativos seguros

Para proteger efetivamente os sistemas contra ataques, alguns princípios gerais devem ser mantidos em mente:

  1. Você nunca deve administrar um sistema confiável (ou seja, um servidor seguro, como um controlador de domínio) em um host menos confiável (ou seja, uma estação de trabalho que não é protegida no mesmo grau que os sistemas que ela gerencia).

  2. Você não deve confiar em um só fator de autenticação ao executar atividades privilegiadas. Ou seja, combinações de nome de usuário e senha não devem ser consideradas uma autenticação aceitável, porque apenas um só fator (algo que você sabe) está representado. Você deve considerar o local em que as credenciais são geradas e armazenadas em cache ou armazenadas em cenários administrativos.

  3. Embora a maioria dos ataques no cenário de ameaças atual aproveite produtos de malware e invasões mal-intencionadas, não omita a segurança física ao criar e implementar hosts administrativos seguros.

Configuração de conta

Mesmo que sua organização não use cartões inteligentes no momento, você deve implementá-los para contas privilegiadas e hosts administrativos seguros. Os hosts administrativos devem ser configurados para exigir o logon de cartão inteligente para todas as contas, modificando a seguinte configuração em um GPO vinculado às UOs que contêm hosts administrativos:

Configuração do Computador\Políticas\Configurações do Windows\Políticas Locais\Opções de Segurança\Logon interativo: exigir cartão inteligente

Essa configuração exigirá que todos os logons interativos usem um cartão inteligente, independentemente da configuração em uma conta individual no Active Directory.

Você também deve configurar hosts administrativos seguros para permitir logons somente das contas autorizadas, que podem ser configuradas em:

Configuração do Computador\Políticas\Configurações do Windows\Políticas Locais\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário

Isso concede direitos de logons interativos (e, quando apropriado, Serviços de Área de Trabalho Remota) somente aos usuários autorizados do host administrativo seguro.

Segurança física

Para que os hosts administrativos sejam considerados confiáveis, eles devem ser configurados e protegidos no mesmo grau que os sistemas que eles gerenciam. A maioria das recomendações fornecidas em Proteger controladores de domínio contra ataque também é aplicável aos hosts usados para administrar controladores de domínio e o banco de dados do AD DS. Um dos desafios de implementar sistemas administrativos seguros, na maioria dos ambientes, é que a segurança física pode ser mais difícil de implementar, pois esses computadores geralmente residem em áreas que não são tão seguras quanto os servidores hospedados em data centers, como áreas de trabalho de usuários administrativos.

A segurança física inclui controlar o acesso físico a hosts administrativos. Em uma organização pequena, isso pode significar que você mantém uma estação de trabalho administrativa dedicada, que é mantida bloqueada em um escritório ou uma gaveta de mesa, quando não está em uso. Ou isso pode significar que, quando você precisa executar a administração do Active Directory ou dos seus controladores de domínio, você deve fazer logon diretamente no controlador de domínio.

Em organizações de médio porte, você pode implementar "jump servers" administrativos seguros que se encontram em um local seguro em um escritório e são usados quando o gerenciamento do Active Directory ou dos controladores de domínio é necessário. Você também pode implementar estações de trabalho administrativas bloqueadas em locais seguros, quando não estiverem em uso, com ou sem jump servers.

Em grandes organizações, você pode implantar jump servers hospedados no data center que fornecem acesso estritamente controlado ao Active Directory, controladores de domínio e servidores de arquivos, impressão ou aplicativos. É mais provável que a implementação de uma arquitetura de jump server inclua uma combinação de estações de trabalho e servidores seguros em ambientes grandes.

Independentemente do tamanho da sua organização e do design dos seus hosts administrativos, você deve proteger os computadores físicos contra acesso ou roubo não autorizado e deve usar a Criptografia de Unidade de Disco BitLocker para criptografar e proteger as unidades nos hosts administrativos. Ao implementar o BitLocker nos hosts administrativos, mesmo que um host seja roubado ou os discos removidos, você pode garantir que os dados na unidade fiquem inacessíveis para usuários não autorizados.

Configuração e versões do sistema operacional

Todos os hosts administrativos, sejam servidores ou estações de trabalho, devem executar o sistema operacional mais recente em uso na sua organização pelos motivos descritos anteriormente neste documento. Ao executar sistemas operacionais atuais, sua equipe administrativa aproveita novos recursos de segurança, suporte completo do fornecedor e a funcionalidade adicional introduzida no sistema operacional. Além disso, ao avaliar um novo sistema operacional e implantá-lo primeiro nos hosts administrativos, você precisará se familiarizar com os novos recursos, configurações e mecanismos de gerenciamento que ele oferece, que podem ser aproveitados posteriormente no planejamento de uma implantação mais ampla do sistema operacional. Até lá, os usuários mais avançados na sua organização também serão os usuários familiarizados com o novo sistema operacional e melhor posicionados para dar suporte a ele.

Assistente de Configuração de Segurança da Microsoft

Se você implementar jump servers como parte da sua estratégia de host administrativo, deve usar o Assistente de Configuração de Segurança interno para definir as configurações de serviço, registro, auditoria e firewall para reduzir a superfície de ataque do servidor. Quando as configurações do Assistente de Configuração de Segurança tiverem sido coletadas e definidas, poderão ser convertidas em um GPO usado para impor uma configuração de linha de base consistente em todos os jump servers. Você pode editar ainda mais o GPO para implementar configurações de segurança específicas para jump servers e pode combinar todas as configurações com as configurações de linha de base adicionais extraídas do Gerenciador de Conformidade de Segurança da Microsoft.

Microsoft Security Compliance Manager

O Gerenciador de Conformidade de Segurança da Microsoft é uma ferramenta disponível gratuitamente, que integra as configurações de segurança recomendadas pela Microsoft, com base na versão do sistema operacional e na configuração de função, e as coleta em uma única ferramenta e interface do usuário que podem ser usadas para criar e definir configurações de segurança de linha de base para controladores de domínio. Os modelos do Gerenciador de Conformidade de Segurança da Microsoft podem ser combinados com as configurações do Assistente de Configuração de Segurança, para produzir linhas de base de configuração abrangentes para os jump servers implantados e impostos pelos GPOs implantados nas UOs nas quais os jump servers estão localizados no Active Directory.

Observação

Até o momento, o Gerenciador de Conformidade de Segurança da Microsoft não inclui configurações específicas para jump servers ou outros hosts administrativos seguros, mas o SCM (Gerenciador de Conformidade de Segurança) ainda pode ser usado para criar linhas de base iniciais para seus hosts administrativos. No entanto, para proteger corretamente os hosts, você deve aplicar configurações de segurança adicionais apropriadas a estações de trabalho e servidores altamente protegidos.

AppLocker

Os hosts administrativos e as máquinas virtuais devem ser configurados com script, ferramenta e aplicativos por meio do AppLocker ou de um software de restrição de aplicativo de terceiros. Os aplicativos ou utilitários administrativos que não sigam as configurações seguras devem ser atualizados ou substituídos por ferramentas que sigam as práticas seguras administrativas e de desenvolvimento. Quando ferramentas novas ou adicionais são necessárias em um host administrativo, os aplicativos e utilitários devem ser testados minuciosamente e, se as ferramentas forem adequadas para a implantação nos hosts administrativos, elas poderão ser adicionadas aos sistemas.

Restrições de RDP

Embora a configuração específica varie dependendo da arquitetura dos seus sistemas administrativos, você deve incluir restrições sobre quais contas e computadores podem ser usados para estabelecer conexões de protocolo RDP para sistemas gerenciados, como usar os jump servers do Gateway de Área de Trabalho Remota para controlar o acesso a controladores de domínio e outros sistemas gerenciados de usuários e sistemas autorizados.

Você deve permitir logons interativos dos usuários autorizados e deve remover ou até mesmo bloquear outros tipos de logon que não sejam necessários para acesso ao servidor.

Gerenciamento de Configuração e Patch

Organizações menores podem contar com ofertas como o Windows Update ou o WSUS (Windows Server Update Services) para gerenciar a implantação de atualizações em sistemas Windows, enquanto organizações maiores podem implementar software de gerenciamento de configuração e patch empresarial, como o Microsoft Endpoint Configuration Manager. Independentemente dos mecanismos usados para implantar atualizações no servidor geral e na população da estação de trabalho, você deve considerar implantações separadas para sistemas altamente seguros, como controladores de domínio, autoridades de certificação e hosts administrativos. Ao separar esses sistemas da infraestrutura de gerenciamento geral, se o software de gerenciamento ou as contas de serviço estiverem comprometidos, o comprometimento não poderá ser facilmente estendido aos sistemas mais seguros em sua infraestrutura.

Embora você não deva implementar processos de atualização manuais para sistemas seguros, você deve configurar uma infraestrutura separada para atualizar sistemas seguros. Mesmo em organizações muito grandes, essa infraestrutura geralmente pode ser implementada por meio de servidores WSUS dedicados e GPOs para sistemas seguros.

Bloqueio do Acesso à Internet

Os hosts administrativos não devem ter permissão para acessar a Internet, nem devem navegar pela intranet de uma organização. Navegadores da Web e aplicativos semelhantes não devem ser permitidos nos hosts administrativos. Você pode bloquear o acesso à Internet para hosts seguros usando uma combinação de configurações de firewall de perímetro, configuração do WFAS e configuração de proxy de "buraco negro" em hosts seguros. Você também pode usar a lista de permissões do aplicativo para impedir que navegadores da Web sejam usados nos hosts administrativos.

Virtualização

Sempre que possível, implemente as máquinas virtuais como hosts administrativos. Usando a virtualização, você pode criar sistemas administrativos por usuário que são armazenados e gerenciados centralmente e que podem ser facilmente desligados, quando não estiverem em uso, garantindo que as credenciais não sejam deixadas ativas nos sistemas administrativos. Você também pode exigir que os hosts administrativos virtuais sejam redefinidos para um instantâneo inicial após cada uso, garantindo que as máquinas virtuais permaneçam intactas. Mais informações sobre as opções para virtualização de hosts administrativos são fornecidas na seção a seguir.

Abordagens de exemplo para implementar hosts administrativos seguros

Independentemente de como você cria e implanta sua infraestrutura de host administrativo, você deve ter em mente as diretrizes fornecidas em "Princípios para Criar Hosts Administrativos Seguros" anteriormente neste tópico. Cada uma das abordagens descritas aqui fornece informações gerais sobre como você pode separar os sistemas "administrativos" e de "produtividade" usados pela sua equipe de TI. Os sistemas de produtividade são computadores que os administradores de TI utilizam para verificar emails, navegar pela Internet e usar produtos gerais de software de produtividade, como o Microsoft Office. Os sistemas administrativos são computadores protegidos e dedicados a usar para a administração diária de um ambiente de TI.

A maneira mais simples de implementar hosts administrativos seguros é fornecer à sua equipe de TI as estações de trabalho protegidas nas quais eles podem executar tarefas administrativas. Em uma implementação somente da estação de trabalho, cada estação de trabalho administrativa é usada para iniciar ferramentas de gerenciamento e conexões RDP para gerenciar servidores e outras infraestruturas. As implementações somente da estação de trabalho podem ser eficazes em organizações menores, embora infraestruturas maiores e mais complexas possam se beneficiar de um design distribuído para hosts administrativos nos quais servidores administrativos dedicados e estações de trabalho são usados, conforme descrito em "Implementação de estações de trabalho administrativas seguras e jump servers" mais adiante neste tópico.

Implementação de estações de trabalho físicas separadas

Uma maneira de implementar hosts administrativos é emitir duas estações de trabalho para cada usuário de TI. Uma estação de trabalho é usada com conta de usuário "regular" para executar atividades como verificar emails e usar aplicativos de produtividade, enquanto a segunda estação de trabalho é dedicada estritamente a funções administrativas.

Para a estação de trabalho de produtividade, a equipe de TI pode receber contas de usuário regulares, em vez de usar contas privilegiadas para fazer logon em computadores desprotegidos. A estação de trabalho administrativa deve ter uma configuração rigorosamente controlada e a equipe de TI deve usar uma conta diferente para fazer logon na estação de trabalho administrativa.

Se você implementou cartões inteligentes, as estações de trabalho administrativas devem ser configuradas para exigir logons de cartão inteligente e a equipe de TI deve receber contas separadas para uso administrativo, também configuradas para exigir cartões inteligentes para logon interativo. O host administrativo deve ser protegido conforme descrito anteriormente e somente os usuários de TI designados devem ter permissão para fazer logon localmente na estação de trabalho administrativa.

Vantagens

Ao implementar sistemas físicos separados, você pode garantir que cada computador esteja configurado adequadamente para sua função e que os usuários de TI não possam expor inadvertidamente os sistemas administrativos a riscos.

Desvantagens

  • A implementação de computadores físicos separados aumenta os custos de hardware.

  • O logon em um computador físico com credenciais usadas para administrar sistemas remotos armazena as credenciais em cache na memória.

  • Se as estações de trabalho administrativas não forem armazenadas com segurança, elas poderão ficar vulneráveis ao comprometimento por meio de mecanismos como agentes de chave de hardware físico ou outros ataques físicos.

Implementação de uma estação de trabalho física segura com uma estação de trabalho de produtividade virtualizada

Nessa abordagem, os usuários de TI recebem uma estação de trabalho administrativa protegida na qual podem executar funções administrativas diárias, usando RSAT (Ferramentas de Administração de Servidor Remoto) ou conexões RDP para servidores no seu escopo de responsabilidade. Quando os usuários de TI precisam executar tarefas de produtividade, eles podem se conectar via RDP a uma estação de trabalho de produtividade remota em execução como máquina virtual. Credenciais separadas devem ser usadas para cada estação de trabalho e os controles como cartões inteligentes devem ser implementados.

Vantagens

  • As estações de trabalho administrativas e as estações de trabalho de produtividade são separadas.

  • A equipe de TI que usa estações de trabalho seguras para se conectar a estações de trabalho de produtividade pode utilizar credenciais e cartões inteligentes separados, e as credenciais privilegiadas não são depositadas no computador menos seguro.

Desvantagens

  • A implementação da solução exige trabalho de design e implementação e opções robustas de virtualização.

  • Se as estações de trabalho físicas não forem armazenadas com segurança, elas poderão ficar vulneráveis a ataques físicos que comprometem o hardware ou o sistema operacional e as tornam suscetíveis à interceptação de comunicações.

Implementação de uma única estação de trabalho segura com conexões para separar as Máquinas Virtuais "Administrativas" e de "Produtividade"

Nessa abordagem, você pode emitir aos usuários de TI uma única estação de trabalho física bloqueada, conforme descrito anteriormente, e na qual os usuários de TI não têm acesso privilegiado. Você pode fornecer conexões de Serviços de Área de Trabalho Remota às máquinas virtuais hospedadas em servidores dedicados, fornecendo à equipe de TI uma máquina virtual que executa emails e outros aplicativos de produtividade e uma segunda máquina virtual configurada como o host administrativo dedicado do usuário.

Você deve exigir o cartão inteligente ou outro logon multifator para as máquinas virtuais, usando contas separadas que não sejam a conta usada para fazer logon no computador físico. Depois que um usuário de TI faz logon em um computador físico, ele pode usar o cartão inteligente de produtividade para se conectar ao computador de produtividade remota e uma conta e um cartão inteligente separados para se conectar ao computador administrativo remoto.

Vantagens

  • Os usuários de TI podem usar uma única estação de trabalho física.

  • Ao exigir contas separadas para os hosts virtuais e usar conexões dos Serviços de Área de Trabalho Remota com as máquinas virtuais, as credenciais dos usuários de TI não são armazenadas em cache na memória no computador local.

  • O host físico pode ser protegido no mesmo grau que os hosts administrativos, reduzindo a probabilidade de comprometimento do computador local.

  • Nos casos em que a máquina virtual de produtividade de um usuário de TI ou a máquina virtual administrativa pode ter sido comprometida, a máquina virtual pode ser facilmente redefinida para um estado "bom conhecido".

  • Se o computador físico estiver comprometido, nenhuma credencial privilegiada será armazenada em cache na memória e o uso de cartões inteligentes poderá impedir que as credenciais sejam comprometidas por agentes de pressionamento de tecla.

Desvantagens

  • A implementação da solução exige trabalho de design e implementação e opções robustas de virtualização.

  • Se as estações de trabalho físicas não forem armazenadas com segurança, elas poderão ficar vulneráveis a ataques físicos que comprometem o hardware ou o sistema operacional e as tornam suscetíveis à interceptação de comunicações.

Implementação de estações de trabalho administrativas seguras e jump servers

Como alternativa para proteger as estações de trabalho administrativas ou em combinação com elas, você pode implementar jump servers seguros e os usuários administrativos podem se conectar aos jump servers usando o protocolo RDP e cartões inteligentes para executar tarefas administrativas.

Os jump servers devem ser configurados para executar a função do Gateway de Área de Trabalho Remota para permitir que você implemente restrições em conexões com o jump server e com os servidores de destino que serão gerenciados a partir dele. Se possível, você também deve instalar a função do Hyper-V e criar Áreas de Trabalho Virtuais Pessoais ou outras máquinas virtuais por usuário para que os usuários administrativos usem para suas tarefas nos jump servers.

Ao fornecer máquinas virtuais por usuário aos usuários administrativos no jump server, você oferece segurança física para as estações de trabalho administrativas e os usuários administrativos podem redefinir ou desligar suas máquinas virtuais, quando não estiverem em uso. Se preferir não instalar a função do Hyper-V e a função do Gateway de Área de Trabalho Remota no mesmo host administrativo, você poderá instalá-los em computadores separados.

Sempre que possível, as ferramentas de administração remota devem ser usadas para gerenciar servidores. O recurso RSAT (Ferramentas de Administração de Servidor Remoto) deve ser instalado nas máquinas virtuais dos usuários (ou no jump server, se você não estiver implementando máquinas virtuais por usuário para administração) e a equipe administrativa deve se conectar usando o protocolo RDP às máquinas virtuais para executar tarefas administrativas.

Nos casos em que um usuário administrativo deve se conectar via RDP a um servidor de destino para gerenciá-lo diretamente, o Gateway de Área de Trabalho Remota deve ser configurado para permitir que a conexão seja feita somente se o usuário e o computador apropriados forem usados para estabelecer a conexão com o servidor de destino. A execução das ferramentas RSAT (ou semelhantes) deve ser proibida em sistemas que não são sistemas de gerenciamento designados, como estações de trabalho de uso geral e servidores membros que não são jump server.

Vantagens

  • A criação de jump servers permite mapear servidores específicos para as "zonas" (coleções de sistemas com requisitos semelhantes de configuração, conexão e segurança) na sua rede e exigir que a administração de cada zona seja realizada pela equipe administrativa que se conecta nos hosts administrativos seguros a um servidor de "zona" designado.

  • Ao mapear os jump servers para as zonas, você pode implementar controles granulares para propriedades de conexão e requisitos de configuração e pode identificar facilmente as tentativas de conexão de sistemas não autorizados.

  • Ao implementar máquinas virtuais por administrador em jump servers, você impõe o desligamento e a redefinição das máquinas virtuais para um estado limpo conhecido, quando as tarefas administrativas são concluídas. Ao impor o desligamento (ou reinicialização) das máquinas virtuais, quando as tarefas administrativas são concluídas, as máquinas virtuais não podem ser alvo de invasores e os ataques de roubo de credenciais não são viáveis, pois as credenciais armazenadas em cache de memória não persistem além de uma reinicialização.

Desvantagens

  • Servidores dedicados são necessários para jump servers, sejam físicos ou virtuais.

  • A implementação de jump servers designados e estações de trabalho administrativas exige planejamento e configuração cuidadosos mapeados para todas as zonas de segurança configuradas no ambiente.