Olá! Wellington Agápto por aqui. Nesse período em que tenho gerenciado projetos de segurança da informação vejo muitos clientes preocupados em implementar grandes soluções e produtos famosos de mercado (O que está corretíssimo) mas quando iniciamos uma análise em seu ambiente percebemos que na maioria dos casos alguns pontos básicos de segurança não são atendidos o quê compromete todo o seu ambiente. Pensando neste cenário hoje eu trago a vocês 10 Dicas de segurança para Active Directory que você precisa conhecer.
1. Limite a quantidade de Administradores de domínio
Administradores de domínio tem o tipo de privilégio que todo atacante precisa. Uma vez que uma conta com essa permissão é comprometida todo o seu ambiente fica em eminente risco. A Microsoft recomenda que quando o acesso a recursos de Domain Admin forem necessários, coloque temporariamente a conta no grupo. Quando o trabalho estiver concluído remova a conta em seguida.
Quando atacantes obtêm acesso a um sistema, eles podem se mover lateralmente dentro de uma rede para buscar permissões mais altas (administradores de domínio por exemplo). Basta um computador ou conta de usuário comprometida para um invasor comprometer uma rede inteira.
A limpeza do grupo Admins. Do Domínio é um excelente primeiro passo para aumentar a segurança da sua rede. Isso pode desacelerar o ataque de um invasor.
O processo para remover contas do grupo DA não é fácil. Sei em primeira mão que passei por esse processo recentemente. É muito comum ter muitas contas no grupo DA.
Você exatamente quais usuários são Administradores de domínio em seu ambiente de Active Directory? Quanto menos administradores você tiver menor é a chance de uma conta com privilégio ser comprometida.
2. Cuidado com as contas de Serviço
Tenho certeza que o seu ambiente possui diversas contas de Serviço. Isso mesmo, aquelas que executam uma tarefa, serviço, autenticação etc. Na maioria das vezes essas contas são utilizadas de forma que suas senhas nunca expiram e definitivamente isso pode ser um risco.
Aqui estão algumas dicas simples (Sei que há formas avançadas mas o objetivo deste artigo é ser simplista) para melhorar a segurança das contas de serviço.
- Use senhas fortes
- Evite dar direito administrativos
- Negue o logon local
- Negar logon em outros servidores
- Exigir que os fornecedores façam o software funcionar sem direitos de administrador de domínio
3. Tenha ao menos duas contas (Uma de administrador e uma de usuário comum)
Crie duas contas, uma conta regular sem direitos de administrador e uma conta privilegiada usada apenas para tarefas administrativas. Siga o modelo administrativo de menor privilégio . Basicamente, isso significa que todos os usuários devem fazer logon com uma conta com permissões mínimas para concluir seu trabalho. Você deve usar uma conta regular de não administrador para tarefas diárias, como verificar e-mail, navegar na Internet, sistema de tickets e assim por diante. Você só usaria a conta privilegiada quando precisar executar tarefas administrativas, como criar um usuário no Active Directory, fazer login em um servidor, adicionar um registro DNS etc.
4. Monitore os eventos de Segurança do Active Directory
Aqui estão alguns eventos que você deve monitorar e revisar semanalmente.
- Alterações em grupos privilegiados, como administradores de domínio, administradores corporativos e administradores de esquema
- Um aumento de tentativas incorretas de senha
- Um aumento nas contas bloqueadas
- Remoção de software antivírus
- Todos os processos executados por contas privilegiadas
- Eventos de logon / logoff de contas privilegiadas
- Uso de contas de administrador local
5. Utilize o LAPS para administrar as senhas de administrador local
O LAPS é uma ferramenta da Microsoft que fornece gerenciamento de senha de conta local de computadores ingressados no domínio. Ele definirá uma senha exclusiva para cada conta de administrador local e a armazenará no Active Directory para facilitar o acesso.
Essa é uma das melhores opções gratuitas para mitigação contra ataques de hash e movimentação lateral.
6. Use uma estação de trabalho de administração segura
Uma estação de trabalho de administração segura é uma máquina dedicada que deve ser usada apenas para executar tarefas administrativas com sua conta privilegiada. Não deve ser usada para verificar e-mails ou navegar na internet por exemplo. Isso diminui o risco da sua senha ser comprometida caso você efetue o login em um ambiente de risco.
7. Limpe contas antigas de usuários e computadores do Active Directory
Definitivamente a última coisa que precisamos é que uma conta que não é mais utilizada seja comprometida. Tenha um processo de higienização de contas não utilizadas no Active Directory.
8. Não instale software ou funções adicionais em controladores de domínio
De nada adianta o seu Active Directory estar atualizado e você seguir todas as dicas de segurança possíveis se o seu AD possui softwares que não deveriam estar instalados neles. Sabemos que vulnerabilidades são encontradas todos os dias e o que aconteceria se uma dessas vulnerabilidades fossem encontradas em algum desses softwares?
9. Mantenha seu ambiente atualizado
Entendemos que todos os dias novas vulnerabilidades são encontradas e por incrível que pareça as mais exploradas não são as novas, e sim as antigas pois boa partes dos ambientes não possuem um bom processo de atualização de seus servidores e estações de trabalho.
10. Tenha um plano de recuperação
Se sua rede estivesse comprometida hoje ou atingida com o RansomWare, o que você faria? Você tem uma política de resposta? Você já testou e treinou funcionários sobre como lidar com esse evento? Ter um bom plano de recuperação para o seu ambiente de Active Directory é essencial para garantir suas noites de sono.
Quer tornar-se um especialista em produtos Microsoft?
Quer aprender mais sobre os produtos oferecidos pela Microsoft? O Microsoft Club possui tudo que você precisa saber para entrar no mercado de Cloud inscreva-seno Microsoft Club e confira.