Directory Management: Os 7 erros mais comuns

Erros na administração do Active Directory podem criar riscos de segurança, tempo de inatividade e problemas de conformidade. Entre os erros mais comuns estão usar contas de administrador em tarefas diárias, depender excessivamente dos Domain Admins em vez de delegar permissões e não ter planos de recuperação. Outros erros incluem gerenciar o AD diretamente nos controladores de domínio, manter contas obsoletas ativas, aplicar políticas de senha fracas e não auditar alterações. Seguir o princípio de menor privilégio, aplicar políticas fortes e realizar monitoramento contínuo fortalece a segurança e otimiza a gestão do Active Directory.

Gerenciar o Active Directory não é uma tarefa fácil, mas alguém tem que fazê-lo. Se esse “alguém” é você, então você deve sempre ter em mente que seres humanos cometem erros, mesmo que sejam gurus do AD.

Para minimizar o risco de tais erros acontecerem sob sua responsabilidade, vou guiá-lo pelos mais comuns e ajudar a garantir que você nunca mais os cometa.

Erro #1. Usar contas com direitos de admin para uso diário

Não utilize contas de administrador de domínio ou mesmo contas de domínio locais para login se não precisar de tais privilégios. Use uma conta normal para acessar uma máquina e uma conta privilegiada/administrativa para acesso elevado. O motivo dessa separação é evitar violações de segurança como um ataque de spear phishing ou injeção de malware enquanto estiver logado na conta com credenciais elevadas.

Erro #2. Adicionar usuários ao grupo Domain Admins em vez de delegar acesso

Ignorar o conceito de menor privilégio é um grande problema de segurança. Considere um modelo de segurança Active Directory delegado, especialmente para tarefas administrativas comuns, como desbloquear contas e redefinir senhas. Você precisa avaliar cuidadosamente as funções de trabalho de todos que precisam trabalhar com o AD. Pense em processos específicos que podem ser automatizados. Por exemplo, o papel do helpdesk pode incluir permissões para redefinir senhas de usuários, conectar computadores ao domínio e modificar certos grupos de segurança. Use as AD Delegation Best Practices para uma gestão mais eficiente da delegação do AD.

Erro #3. Ter planos de backup/recuperação deficientes

Se alguém excluir um objeto do Active Directory, quão rapidamente você pode se recuperar dessa alteração não autorizada? Planejar e testar opções de recuperação são essenciais para todas as organizações para se recuperarem rapidamente de erros. Configure e use uma lixeira ou caixa de reciclagem do AD para recover AD objects. Considere um modelo de segurança do Active Directory delegado, especialmente para tarefas administrativas comuns, como desbloquear contas e redefinir senhas

Erro #4. Gerenciando Active Directory a partir de seus controladores de domínio

Isso significa que o administrador faz login fisicamente em um controlador de domínio e inicia as ferramentas de gerenciamento a partir do servidor. Essa má prática não se limita ao gerenciamento regular de objetos do AD—ela também pode ocorrer com Group Policy Management, DHCP e consoles DNS. Como as melhores práticas sugerem, controladores de domínio devem executar apenas os papéis necessários para os serviços de domínio (que incluem o papel de DNS, mas nunca use DC para DNS; sempre aponte para outro DC), e toda administração diária deve ocorrer em máquinas administrativas protegidas.

Erro #5. Não encerrar contas obsoletas

As contas obsoletas devem ser desativadas e depois excluídas, porque se você deixá-las sem toque, um ex-funcionário ou um usuário mal-intencionado pode usá-las para exfiltração de dados. Um ambiente AD saudável é um ambiente AD limpo. Quando um administrador deixa usuários, computadores, grupos ou até mesmo GPOs obsoletos, eles também complicam desnecessariamente o seu ambiente.

Erro #6. Ter políticas de senha fracas em vigor

Antes de atribuir a vulnerabilidade das senhas aos maus hábitos dos usuários, você pode querer examinar suas políticas em comparação com a conformidade e as melhores práticas de senhas. Aqui estão apenas algumas dicas:

• Nunca configure a senha de um usuário para nunca expirar.
• Defina a senha de uma conta de serviço para não expirar e, em seguida, programe uma redefinição regular.
• Usar a mesma senha para várias contas significa que um atacante tem a chave mestra assim que compromete um serviço.
• Use senhas diferentes para o seu trabalho, e-mail pessoal, conta do Facebook, etc.
• Siga as Password Best Practices para gerenciar melhor as senhas.

Erro #7. Sem auditoria e monitoramento do Active Directory

Monitore a saúde do seu AD e solucione rapidamente interrupções. Aumente o tamanho do Event Log no seu controlador de domínio ao máximo. Sempre acompanhe as alterações no seu Active Directory, especialmente alterações no grupo Domain Admins. Para acompanhar as alterações, você precisa habilitar a audit policy; siga as best practices to configure it properly. Acompanhar as alterações certamente facilitará seu processo de investigação e solução de problemas.

Você encontrou algum dos erros listados que são comuns para o seu domínio? Mantenha isso em segredo, corrija-os rapidamente e finja que você sempre gerenciou o Active Directory como um profissional!