Proteger controladores de domínio contra ataques

Lei Número Três: se um bandido tem acesso físico irrestrito ao seu computador, ele já não é mais seu computador. - Dez leis imutáveis da segurança (versão 2.0).

Os controladores de domínio fornecem o armazenamento físico para o banco de dados do AD DS (Active Directory Domain Services), além de fornecer os serviços e dados que permitem que as empresas gerenciem efetivamente seus servidores, estações de trabalho, usuários e aplicativos. Se for obtido o acesso privilegiado a um controlador de domínio, um usuário mal-intencionado poderá modificar, corromper ou destruir o banco de dados do AD DS e, por extensão, todos os sistemas e contas gerenciados pelo Active Directory.

Como os controladores de domínio podem ler e gravar qualquer coisa do banco de dados do AD DS, o comprometimento de um controlador de domínio significa que sua floresta do Active Directory nunca mais pode ser considerada confiável, a menos que você possa se recuperar usando um bom backup conhecido e preencher as lacunas que permitiram o comprometimento.

Dependendo da preparação, das ferramentas e das habilidades do invasor, danos irreparáveis podem ser casados em questão de minutos ou horas, não dias ou semanas. O que importa não é por quanto tempo um invasor tem o acesso privilegiado ao Active Directory, mas quanto o invasor planejou obter no tempo de acesso obtido. Comprometer um controlador de domínio pode fornecer o caminho mais direto para a destruição de servidores membros, de estações de trabalho e do Active Directory. Devido a essa ameaça, os controladores de domínio devem ser protegidos separadamente e com mais rigor do que a infraestrutura geral.

Segurança física para controladores de domínio

Esta seção fornece informações sobre como proteger fisicamente os controladores de domínio. Os controladores de domínio podem ser máquinas físicas ou virtuais, em datacenters, filiais ou locais remotos.

Controladores de Domínio do Datacenter

Controladores de Domínio Físico

Em datacenters, os controladores de domínio físicos devem ser instalados em racks seguros dedicados ou em compartimentos separados da população geral de servidores. Quando possível, os controladores de domínio devem ser configurados com chips TPM (Trusted Platform Module) e todos os volumes nos servidores do controlador de domínio devem ser protegidos por meio da Criptografia de Unidade de Disco BitLocker. O BitLocker adiciona uma pequena sobrecarga de desempenho, mas protege o diretório contra o comprometimento mesmo se os discos forem removidos do servidor. Ele também pode ajudar a proteger sistemas contra ataques como rootkits, porque a modificação de arquivos de inicialização causa a inicialização do servidor no modo de recuperação para que os binários originais possam ser carregados. Se um controlador de domínio estiver configurado para usar o RAID de software, o SCSI anexado em série, o armazenamento SAN/NAS ou os volumes dinâmicos, o BitLocker não poderá ser implementado. Ou seja, o armazenamento anexado localmente (com ou sem o RAID de hardware) deve ser usado em controladores de domínio sempre que possível.

Controladores de Domínio Virtual

Se você implementar controladores de domínio virtual, deverá garantir que os controladores de domínio também sejam executados em hosts físicos separados e não em outras máquinas virtuais do ambiente. Mesmo se você usar uma plataforma de virtualização que não seja da Microsoft, considere implantar controladores de domínio virtuais no Hyper-V no Windows Server. Essa configuração fornece uma superfície de ataque mínima e pode ser gerenciada com os controladores de domínio que hospeda, em vez de ser gerenciada com o restante dos hosts de virtualização. Se você implementar o SCVMM (System Center Virtual Machine Manager) para gerenciamento da sua infraestrutura de virtualização, poderá delegar a administração para os hosts físicos em que residem as máquinas virtuais do controlador de domínio e os próprios controladores de domínio para administradores autorizados. Você também deve considerar a separação do armazenamento de controladores de domínio virtual a fim de impedir que os administradores de armazenamento acessem os arquivos da máquina virtual.

Observação

Se você pretende co-localizar controladores de domínio virtualizados com outras máquinas virtuais menos sensíveis nos mesmos servidores de virtualização física (hosts), considere implementar uma solução que imponha a separação baseada em função de tarefas, como VMs Blindadas no Hyper-V. Essa tecnologia fornece proteção abrangente contra administradores de malha mal-intencionados ou inexperientes (incluindo virtualização, rede, armazenamento e administradores de backups). Ele aproveita a raiz física de confiança com atestado remoto e provisionamento seguro de VM e garante efetivamente o nível de segurança que está em par com um servidor físico dedicado.

Locais dos Branches

Controladores de Domínio Físico nos branches

Nos locais em que vários servidores residem, mas que não são tão protegidos fisicamente quanto os servidores de datacenter, os controladores de domínio físicos devem ser configurados com chips TPM e Criptografia de Unidade do BitLocker para todos os volumes do servidor. Se um controlador de domínio não puder ser armazenado em uma sala trancada nas unidades dos branches, considere implantar os RODCs (Controladores de Domínio Somente Leitura) nesses locais.

Controladores de Domínio Virtual nos branches

Sempre que possível, você deve executar controladores de domínio virtual em branches de hosts físicos separados do que as outras máquinas virtuais no site. Nos branches em que os controladores de domínio virtual não podem ser executados em hosts físicos separados do restante da população de servidores virtuais, você deve implementar chips TPM e Criptografia de Unidade do BitLocker em hosts nos quais os controladores de domínio virtuais são executados no mínimo e todos os hosts, se possível. Dependendo do tamanho da filial e da segurança dos hosts físicos, você deve considerar a implantação de RODCs em locais de filial.

Locais Remotos com Espaço Limitado e Segurança

Se a sua infraestrutura incluir locais em que apenas um servidor físico pode ser instalado, um servidor capaz de executar cargas de trabalho de virtualização deverá ser instalado e a Criptografia de Unidade do BitLocker deverá ser configurada para proteger todos os volumes do servidor. Uma máquina virtual do servidor deve ser executada como um RODC, com outros servidores em execução como máquinas virtuais separadas no host. Informações sobre o planejamento para implantação de RODCs são fornecidas no Guia de Planejamento e Implantação do Controlador de Domínio Somente Leitura. Para obter mais informações sobre como implantar e proteger controladores de domínio virtualizados, confira Como Executar Controladores de Domínio no Hyper-V. Para obter diretrizes mais detalhadas a fim de proteger a segurança do Hyper-V, delegar o gerenciamento de máquinas virtuais e protegê-las, confira o Acelerador de Solução do Guia de Segurança do Hyper-V no site da Microsoft.

Sistemas operacionais do controlador de domínio

Você deve executar todos os controladores de domínio na versão mais recente do Windows Server com suporte na sua organização. As organizações devem priorizar o encerramento de sistemas operacionais herdados na população do controlador de domínio. Você deve priorizar manter os controladores de domínio atualizados e eliminar controladores de domínio herdados, permitindo que você aproveite a nova funcionalidade e a segurança. Talvez essa funcionalidade não esteja disponível em domínios ou florestas com controladores de domínio executando o sistema operacional herdado.

Observação

Quanto a qualquer configuração de uso único e sensível à segurança, recomendamos que você implante o sistema operacional na opção de instalação Núcleo do Servidor. Ele oferece vários benefícios, como minimizar a superfície de ataque, melhorar o desempenho e reduzir a probabilidade de erro humano. É recomendável que todas as operações e gerenciamento sejam executadas remotamente, de pontos de extremidade altamente seguros dedicados, como PAW (estações de trabalho de acesso privilegiado) ou Hosts administrativos seguros.

Configuração segura dos controladores de domínio

As ferramentas podem ser usadas para criar uma linha de base de configuração de segurança inicial para controladores de domínio a serem aplicados com GPOs. Essas ferramentas são descritas na seção Administrar configurações de política de segurança da documentação de sistemas operacionais da Microsoft ou da Configuração do Estado Desejado (DSC) para Windows.

Restrições de RDP

Os Objetos de Política de Grupo que são vinculados a todas as OUs de controladores de domínio em uma floresta devem ser configurados para permitir conexões RDP somente em usuários e sistemas autorizados (por exemplo, jump servers). O controle pode ser obtido por meio de uma combinação de configurações de direitos de usuário e da configuração do Firewall do Windows com Segurança Avançada (WFAS). Esses controles podem ser implementados com os GPOs para que a diretiva seja aplicada de forma consistente. Se a política for ignorada, a próxima atualização da Política de Grupo retornará o sistema à configuração apropriada.

Gerenciamento de Patch e Configuração para Controladores de Domínio

Embora isso possa parecer contraintuitivo, você deve considerar a aplicação de patches de controladores de domínio e de outros componentes críticos da infraestrutura separadamente da infraestrutura geral do Windows. Se você usar um software de gerenciamento de configuração corporativa para todos os computadores da infraestrutura, o comprometimento do software de gerenciamento de sistemas poderá ser usado para comprometer ou destruir todos os componentes da infraestrutura gerenciados pelo software. Separando o gerenciamento de patch e de sistemas para controladores de domínio da população geral, você pode reduzir a quantidade de programas de software instalados nos controladores de domínio, além de controlar mais rigidamente o gerenciamento deles.

Bloquear o Acesso à Internet para Controladores de Domínio

Uma das verificações executadas como parte de uma Avaliação de Segurança do Active Directory é o uso e a configuração de navegadores da Web em controladores de domínio. Nenhum navegador da Web deve ser usado em controladores de domínio. Uma análise de milhares de controladores de domínio revelou vários casos em que usuários privilegiados usaram o Internet Explorer para navegar na intranet da organização ou na Internet.

Navegar na Internet ou em uma intranet infectada de um dos computadores mais avançados de uma infraestrutura do Windows representa um risco extraordinário para a segurança de uma organização. Seja por meio de uma unidade por download ou pelo download de "utilitários" infectados por malware, os invasores podem obter acesso a tudo o que precisam para comprometer ou destruir completamente o ambiente do Active Directory.

A inicialização de navegadores da Web em controladores de domínio deve ser restrita usando-se controles técnicos e de diretiva. O acesso geral à Internet de e para controladores de domínio também deve ser rigorosamente controlado.

A Microsoft incentiva todas as organizações a migrarem para uma abordagem baseada em nuvem que permita o gerenciamento de identidade e acesso e a migração do Active Directory para o Microsoft Entra ID. O Microsoft Entra ID é uma solução completa de gerenciamento de acesso e identidade de nuvem para gerenciar diretórios, habilitar o acesso a aplicativos locais e de nuvem e proteger identidades contra ameaças à segurança. O Microsoft Entra ID oferece um conjunto robusto e granular de controles de segurança para ajudar a proteger identidades, como autenticação multifator, políticas de Acesso Condicional, Proteção de ID, governança de identidade e Privileged Identity Management.

A maioria das organizações opera em um modelo de identidade híbrida durante sua transição para a nuvem, onde algum elemento de seu Active Directory local é sincronizado usando-se o Microsoft Entra Connect. Embora esse modelo híbrido exista em qualquer organização, a Microsoft recomenda a proteção em nuvem dessas identidades locais usando o Microsoft Defender para Identidade. A configuração do sensor Defender para Identidade em controladores de domínio e servidores AD FS permite uma conexão segura e unidirecional com a nuvem por meio de um proxy e pontos de extremidade específicos. Uma explicação completa sobre como configurar essa conexão de proxy pode ser encontrada na documentação técnica do Defender para Identidade. Essa configuração fortemente controlada garante que o risco de conectar esses servidores ao serviço de nuvem seja mitigado e as organizações se beneficiem do aumento dos recursos de proteção que o Defender para Identidade oferece. A Microsoft também recomenda que esses servidores sejam protegidos com a detecção de ponto de extremidade da nuvem, como o Microsoft Defender para Servidores.

Para organizações com requisitos normativos ou outros requisitos orientados por políticas para manter uma implementação local somente do Active Directory, a Microsoft recomenda restringir totalmente o acesso à Internet de e para controladores de domínio.

Restrições de Firewall do Perímetro

Os Firewalls do Perímetro devem estar configurados para bloquear conexões de saída dos Controladores de Domínio para a Internet. Embora os controladores de domínio precisem se comunicar entre os limites do site, os firewalls de perímetro podem ser configurados para permitir a comunicação entre sites seguindo as diretrizes fornecidas em Como configurar um firewall para domínios e relações de confiança do Active Directory.

Como impedir a navegação na Web por meio de Controladores de Domínio

Você pode usar uma combinação de configuração do AppLocker, configuração de proxy de "buraco negro" e configuração do WFAS para impedir que os controladores de domínio acessem a Internet e impedir o uso de navegadores da Web em controladores de domínio.