Protegendo Credenciais no Windows Server 2016

As credenciais são as chaves de uma conta. Ao colher credenciais, atacantes podem entrar na sua rede, mover-se lateralmente e escalar seus privilégios para roubar seus dados. O Windows Server 2016 possui várias funcionalidades para minimizar a chance de que atacantes consigam colher credenciais.

Usando o grupo Protected Users

Colocar usuários, especialmente usuários com privilégios elevados, no grupo “Protected Users” ajuda a proteger contra o comprometimento de suas credenciais desativando opções de autenticação menos seguras. Por exemplo, o Windows não armazena em cache as credenciais dos membros deste grupo localmente, então elas nunca são deixadas em estações de trabalho para que atacantes possam colher. Além disso, contas de usuários que são membros deste grupo não podem:

• Use a delegação de credenciais padrão
• Use Windows Digest
• Use NTLM
• Utilize chaves de longo prazo do Kerberos
• Faça login offline
• Use NT LAN Manager (NTLM) para autenticação
• Use DES para pré-autenticação Kerberos
• Use conjuntos de cifras RC4 para pré-autenticação Kerberos
• Seja delegado privilégios usando delegação restrita
• Seja delegado privilégios usando delegação irrestrita
• Renove os tickets de concessão de usuário (TGTs) após o tempo inicial de 240 minutos

Usando as preferências de conta

Contas de Usuário

Para contas de usuário que precisam de menos proteção rigorosa, você pode usar as seguintes opções de segurança, que estão disponíveis para qualquer conta AD:

• Horário de Logon — Permite que você especifique quando os usuários podem usar uma conta.
• Estações de trabalho de logon — Permite limitar os computadores nos quais a conta pode iniciar sessão.
• A senha nunca expira — Isenta a conta da configuração de política de “idade máxima da senha”; não configure esta opção para contas privilegiadas.
• É necessário um cartão inteligente para o logon interativo — Requer a apresentação de um cartão inteligente para a conta efetuar o login.
• A conta é sensível e não pode ser delegada — Garante que aplicações confiáveis não possam encaminhar as credenciais da conta para outros serviços ou computadores na rede.
• Esta conta suporta criptografia Kerberos AES de 128 bits — Permite criptografia Kerberos AES de 128 bits.
• Esta conta suporta criptografia Kerberos AES de 256 bits — Permite criptografia Kerberos AES de 256 bits. Use esta opção para contas privilegiadas.
• A conta expira — Permite que você especifique uma data de término para a conta.

Contas de Computador

Além de controlar contas de usuário, você também precisa entender e gerenciar o alcance de contas de computador e serviço. Quando você adiciona um computador ao domínio pela primeira vez, o Windows cria uma conta de computador no Active Directory no contêiner “Computers” e automaticamente atribui a ela uma senha. O AD gerencia essas senhas e as atualiza automaticamente a cada 30 dias.

Para gerenciar as permissões de contas de computador e controlar quais Políticas de Grupo são aplicadas a elas, você pode adicioná-las a grupos e movê-las para diferentes UOs. Você também pode desativar e redefinir contas de computador:

• Desativar uma conta de computador significa que o computador não poderá mais se conectar ao domínio. Se você excluir uma conta de computador e o computador ainda estiver operacional, será necessário reintegrar o computador ao domínio se desejar que ele recupere a associação ao domínio.
• Redefinir uma conta de computador remove a conexão entre o computador e o domínio.

Contas de serviço

As contas de serviço são um tipo especial de conta que os serviços do Windows usam para interagir com o sistema operacional e recursos na rede. (Também é possível criar contas de usuário e configurá-las para funcionar como contas de serviço, mas isso não é conveniente.)

Existem três tipos de contas de serviço integradas:

• Sistema local — A conta NT AUTHORITYSYSTEM possui privilégios equivalentes ao grupo de Administradores locais no computador.
• Serviço local — A conta NT AUTHORITYLocalService possui privilégios equivalentes ao grupo de Usuários locais no computador.
• Serviço de rede — A conta NT AUTHORITYNetworkService possui privilégios equivalentes ao grupo de Usuários locais no computador.

Para proteger essas contas, garanta que um sysadmin atualize as senhas delas regularmente. Este é um processo manual se você usar ferramentas nativas.

Contas de Serviço Gerenciadas por Grupo e Contas Virtuais

Uma Conta de Serviço Gerenciada por Grupo é um tipo especial de conta de serviço; o AD atualiza automaticamente as senhas dessas contas. Uma conta virtual é o equivalente local específico do computador de uma Conta de Serviço Gerenciada por Grupo.

Usando Windows Defender Credential Guard

O Windows Defender Credential Guard é uma nova tecnologia no Windows 10 e no Windows Server 2016 que ajuda a proteger as credenciais contra atacantes que tentam obtê-las usando malware. O Windows Defender Credential Guard utiliza segurança baseada em virtualização que permite isolar segredos, como credenciais em cache, de modo que apenas softwares privilegiados possam acessá-los.

Em segurança baseada em virtualização, os processos específicos que utilizam credenciais ou dados, e a memória associada a esses processos, funcionam em um sistema operacional separado em paralelo com, mas independente do, sistema operacional anfitrião. Este sistema operacional virtual protege os processos de tentativas de qualquer software externo de ler os dados que esses processos armazenam e utilizam. O Windows Defender Credential Guard tira proveito da segurança de hardware, incluindo o boot seguro e a virtualização.

Você pode gerenciar o Windows Defender Credential Guard usando Group Policy, Windows Management Instrumentation (WMI) ou Windows PowerShell.

O Windows Defender Credential Guard não permite o uso de:

• Delegação Kerberos irrestrita
• NT LAN Manager versão 1 (NTLMv1)
• Microsoft Challenge Handshake Authentication Protocol (MS-CHAPv2)
• Resumo
• Credential Security Support Provider (CredSSP)
• Criptografia Kerberos DES

Usando a Local Administrator Password Solution

A solução Local Administrator Password Solution (LAPS) da Microsoft oferece um repositório central seguro para as senhas de todas as contas de Administrador local integradas e automatiza o gerenciamento adequado dessas senhas. Em particular, LAPS:

• Garante que as senhas de administrador local sejam únicas em cada computador
• Altera automaticamente todas as senhas de administrador local a cada 30 dias
• Fornece permissões configuráveis para controlar o acesso a senhas
• Transmite senhas ao cliente de maneira segura e criptografada

Usando o Active Directory Administrative Center

O Active Directory Administrative Center permite que você pesquise no seu Active Directory por contas que estão vulneráveis a serem tomadas por atacantes. Em particular, você deve procurar regularmente pelos seguintes tipos de contas:

• Contas de usuário cujas senhas nunca expiram — Você deve evitar configurar contas com senhas fixas porque são menos seguras do que contas com senhas que os usuários precisam atualizar periodicamente.
• Contas de usuário inativas — Contas de usuário inativas geralmente pertencem a uma pessoa que deixou a organização. O console do Active Directory Administrative Center permite que você encontre contas que não realizaram login por um número especificado de dias.

Excluir ou desativar essas contas de usuário impede que sejam mal utilizadas por atacantes externos ou agentes mal-intencionados internos.

Resumo

Como você pode ver, o Windows Server 2016 oferece muitos recursos para ajudá-lo a proteger credenciais no seu ambiente. Você pode usar alguns ou todos eles. Em particular, é inteligente aproveitar as Contas de Serviço Gerenciadas em Grupo, o Windows Defender Credential Guard e o LAPS, pois eles podem melhorar significativamente a segurança de TI com relativamente pouco esforço.