Principais estratégias para reforçar sua infraestrutura de Active Directory

O Microsoft Active Directory (AD) é o repositório central de credenciais para 90% das organizações em todo o mundo. Como guardião de aplicações empresariais e dados, não está apenas em todo lugar, é tudo! Gerenciar o AD é uma tarefa sem fim, e protegê-lo é ainda mais difícil. Na Netwrix, conversamos com muitos clientes que estão usando nossas ferramentas para gerenciar e proteger o AD, e ao longo dos anos, estratégias chave para reforçar a segurança e endurecer o AD para resistir a ataques surgiram. Aqui estão 10 dicas de endurecimento da segurança do Active Directory que você pode usar no seu ambiente:

Dica #1: Limpe objetos obsoletos.

Active Directory inclui milhares de itens e muitos elementos em movimento para proteger. Um método central para aumentar a segurança é diminuir a desordem por remover usuários, grupos e máquinas não utilizados. Objetos obsoletos no AD podem ser abusados por atacantes, então deletá-los reduz sua superfície de ataque.

Você também pode encontrar itens raramente usados. Utilize dados de RH e trabalhe com as partes interessadas do negócio para determinar o status deles; por exemplo, para contas de usuário, determine o gerente do usuário. Embora isso leve tempo, você vai valorizar ter feito isso durante a sua próxima auditoria ou revisão de conformidade.

Dica #2: Facilite para os usuários a escolha de senhas seguras.

Para impedir que adversários comprometam as credenciais de usuário para entrar na sua rede e se mover lateralmente, as senhas precisam ser difíceis de decifrar. Mas os usuários simplesmente não conseguem lembrar e gerenciar várias senhas complexas por conta própria, então eles recorrem a práticas que enfraquecem a segurança, como escrever suas senhas em notas adesivas ou simplesmente incrementar um número no final quando precisam trocá-las. Isso levou os especialistas em segurança a suavizar suas recomendações sobre a complexidade e a redefinição de senhas.

No entanto, com uma solução empresarial de password management, você pode facilitar para os usuários a criação de senhas únicas e altamente seguras e gerenciá-las efetivamente, para que não seja necessário comprometer os requisitos de senhas fortes. Um usuário precisa memorizar apenas uma senha forte, e a ferramenta gerencia todas as outras para ele.

Dica #3: Não permita que os funcionários tenham privilégios de administrador em suas estações de trabalho.

Se um atacante ganhar controle de uma conta de usuário (o que sabemos que acontece com bastante frequência), o próximo passo deles é frequentemente instalar software de hacking na estação de trabalho do usuário para ajudá-los a se mover lateralmente e assumir outras contas. Se a conta comprometida tiver direitos de administrador local, essa tarefa é fácil.

Mas a maioria dos usuários empresariais na verdade não precisa instalar softwares ou alterar configurações com frequência, então você pode reduzir seus riscos não concedendo a eles permissões de administrador. Se eles precisarem de um aplicativo adicional, podem pedir ao helpdesk para instalá-lo. Não se esqueça de use Microsoft LAPS garantir que todas as contas de administrador local restantes tenham senhas fortes e as alterem em um cronograma regular.

Dica #4: Restrinja o acesso às contas de serviço.

As contas de serviço são utilizadas por aplicações para autenticar no AD. Elas são frequentemente alvo de atacantes porque raramente são monitoradas, possuem privilégios elevados e geralmente têm senhas sem expiração. Portanto, examine bem suas contas de serviço e restrinja suas permissões tanto quanto possível. Às vezes, as contas de serviço são membros do grupo de Admins do Domínio, mas normalmente não precisam de todo esse acesso para funcionar — você pode precisar verificar com o fornecedor da aplicação para descobrir os privilégios exatos necessários.

Também é importante alterar periodicamente as senhas das contas de serviço para tornar ainda mais difícil para os atacantes explorá-las. Fazer isso manualmente é difícil, então considere usar o recurso group managed service account (gMSA), introduzido no Windows Server 2016. Quando você usa gMSAs, o sistema operacional irá gerenciar automaticamente a gestão de senhas das contas de serviço para você.

Dica #5: Elimine a associação permanente em grupos de segurança.

Os grupos de segurança Enterprise Admin, Schema Admin e Domain Admin são as joias da coroa do Active Directory, e os atacantes farão tudo o que puderem para obter a associação neles. Se os seus administradores têm associação permanente nesses grupos, um atacante que comprometa uma das suas contas terá acesso elevado permanente no seu domínio.

Para reduzir esse risco, limite estritamente a participação em todos esses grupos altamente privilegiados e, além disso, torne a participação temporária. Os grupos Enterprise Admin e Schema Admin não são frequentemente utilizados, então para estes, isso não será um problema. Domain Admin é necessário com muito mais frequência, então um sistema para conceder participação temporária terá que ser estabelecido.

Dica #6: Elimine permissões elevadas sempre que possível.

Existem três permissões bastante comuns que os atacantes precisam para executar ataques contra o AD: Redefinir Senha, Alterar Membros do Grupo e Replicação. Essas permissões são mais difíceis de proteger, pois são frequentemente utilizadas nas operações diárias.

Assim, você deve monitorar todas as alterações nas permissões de grupos de segurança ou membros que concederiam esses direitos a usuários adicionais. Melhor ainda, implemente uma solução de Privileged Access Management (PAM) que permite o provisionamento temporário desses privilégios em tempo justo.

Dica #7: Implemente a autenticação multifator (MFA)

MFA adiciona uma camada extra de segurança ao exigir que os usuários verifiquem sua identidade fornecendo pelo menos dois dos seguintes tipos de fatores de autenticação:

• Algo que eles conhecem, como uma senha, PIN ou resposta para uma pergunta de segurança
• Algo que eles possuem, como um código de um token físico ou um cartão inteligente
• Algo que eles são, o que significa biometria como digital, íris ou escaneamento facial

Dica #8: Audite atentamente o seu Active Directory.

É importante auditar o Active Directory tanto para configurações não seguras quanto para atividades suspeitas. Em particular, você deve realizar avaliações regulares de risco para mitigar lacunas de segurança, monitorar atividades de usuários anômalas e identificar prontamente deriva de configuração em arquivos críticos do sistema. É ideal investir em ferramentas que irão alertá-lo automaticamente sobre eventos suspeitos e até mesmo responder automaticamente para bloquear ameaças.

Dica #9: Proteja o DNS.

Assegurar o DNS pode ajudar a bloquear uma variedade de ataques, incluindo sequestro de domínio e spoofing de DNS. As medidas a tomar incluem implementing DNSSEC, usar um servidor DNS seguro e revisar regularmente as reviewing DNS settings.

Dica #10: Faça backup do Active Directory regularmente.

Ter um backup recente do seu Active Directory é crucial para a recuperação de incidentes cibernéticos, incluindo ataques de ransomware e desastres naturais. Os backups devem ser armazenados com segurança, testados regularmente e estar prontamente acessíveis para garantir que suas configurações críticas de AD settings are recoverable em caso de desastre.

Conclusão

O Active Directory é um sistema incrível para controlar o acesso. No entanto, só é seguro quando está limpo, compreendido, configurado corretamente, monitorado de perto e controlado rigorosamente. Estas dicas são maneiras práticas de você aumentar a segurança e fortalecer o seu Active Directory.

Perguntas Frequentes

O que é hardening no Active Directory?

O endurecimento no Active Directory é o processo de proteger e fortalecer o serviço de diretório para reduzir o risco de data breaches e tempo de inatividade. Envolve controlar o acesso a dados sensíveis, remover objetos desnecessários, impor password policies e monitorar atividades suspeitas.

O que é o endurecimento de controlador de domínio?

O endurecimento do controlador de domínio é o processo de fortalecimento dos servidores que executam o Active Directory para reduzir o risco de acesso não autorizado, violações de dados e interrupção do serviço. Inclui a desativação de serviços supérfluos, a implantação de patches de segurança e atualizações, o estabelecimento de regras de firewall e a aplicação de práticas de senha fortes.

O que acontece se um controlador de domínio for comprometido?

Um adversário que comprometa um controlador de domínio pode causar danos significativos, desde acessar dados sensíveis até criar, modificar e excluir contas de usuário e outros objetos críticos do AD.

Como eu protejo o Active Directory?

Assegurar o Active Directory é um processo contínuo que envolve múltiplas camadas de controles de segurança. Em particular, as organizações precisam implementar políticas de senha fortes, limitar o acesso dos usuários, monitorar atividades suspeitas, manter as máquinas atualizadas e com patches aplicados, proteger os controladores de domínio, usar autenticação multifator (MFA) para adicionar segurança extra e educar os funcionários sobre as melhores práticas de cibersegurança e ameaças potenciais.