Melhores Práticas de Segurança do Active Directory
Os atacantes são persistentes em sua busca para comprometer os serviços do Active Directory devido ao seu papel na autorização de acesso a dados críticos e confidenciais.
As organizações se expandem, sua infra-estrutura se torna cada vez mais complexa, o que as torna muito mais vulneráveis a ataques, pois é mais difícil acompanhar mudanças importantes no sistema, eventos e permissões.
Também está se tornando muito mais difícil para as organizações determinar onde seus dados sensíveis estão localizados, e o tipo de política de segurança que é mais adequado para proteger esses dados.
Neste blog, vamos passar por algumas das melhores práticas do Active Directory que irão ajudá-lo a melhorar a segurança geral do seu ambiente Active Directory.
- Por que você deve se importar com a segurança do Active Directory?
- Ameaças Comuns à Segurança do Active Directory
- Active Directory System Vulnerabilities
- Ameaças internas no Active Directory
- Permissões excessivas
- Best Practices for Active Directory Security
- Manage Active Directory Security Groups
- Limpar contas de usuário inativas no AD
- Monitor Local Administrators
- Não usar GPOs para definir senhas
- Audit Domain Controller (DC) Logons
- Proteger o LSASS
- Dispor de uma Política de Senha Stringente
- Beware of Nested Groups
- Remover Acesso Aberto
- Direitos de Logon do Servidor de Auditoria
- Adote o Princípio do Mínimo Privilégio para Segurança de AD
- Back-Up Your Active Directory and Have a Method for Recovery
- Ativar Monitoramento de Segurança do Active Directory para Sinais de Compromisso
- Auditar Alterações no Active Directory
- Como proteger o Active Directory com Lepide
Por que você deve se importar com a segurança do Active Directory?
Active Directory é essencialmente o coração pulsante do seu ambiente de TI. A maioria dos ataques ou ameaças à segurança que você enfrentará envolverá o seu Active Directory de alguma forma, formato ou forma.
Uma pessoa de fora procurando obter acesso aos seus dados, por exemplo, pode procurar roubar credenciais ou instalar malware para comprometer uma conta. Uma vez dentro do seu AD, eles podem aumentar seus privilégios e se mover lateralmente pelo sistema, ganhando acesso aos seus dados sensíveis.
É por isso que é vital ter uma boa segurança do Active Directory e garantir que você esteja monitorando e auditando consistentemente as mudanças no AD para que você possa detectar possíveis ataques e reagir de forma oportuna.
Ameaças Comuns à Segurança do Active Directory
Porque o Active Directory existe há tanto tempo, os atacantes encontraram várias maneiras de explorar as vulnerabilidades de segurança.
A Microsoft tem sido pró-ativa em preencher lacunas na segurança do Active Directory, mas os atacantes sempre encontrarão diferentes maneiras de explorar o sistema e os humanos que os utilizam.
As ameaças à segurança do Active Directory se enquadram amplamente em duas categorias; vulnerabilidades do sistema e ameaças internas.
Active Directory System Vulnerabilities
Active Directory usa autenticação Kerberos que tem numerosas vulnerabilidades, tais como Pass the Hash, Pass the Ticket, Golden Ticket, e Silver Ticket. O AD também suporta criptografia NTLM, um remanescente de quando a criptografia NTLM foi realmente usada no AD, apesar da segurança ser subparte. Ataques com força bruta também são um método comum para os atacantes forçarem seu caminho para o AD.
Ameaças internas no Active Directory
A forma mais comum de contornar a segurança do seu Active Directory é através de ameaças internas. Ataques de phishing, engenharia social e spear-phishing geralmente são bem sucedidos com seus usuários que não estão conscientes da segurança, permitindo que os atacantes tenham acesso ao seu AD com credenciais roubadas.
Permissões excessivas
Permissões excessivas também são uma ameaça comum à segurança do Active Directory, com os usuários sendo descuidados ou intencionalmente maliciosos com dados que eles nem deveriam ter tido acesso em primeiro lugar.
Best Practices for Active Directory Security
A fim de combater eficazmente algumas das vulnerabilidades e riscos de segurança do Active Directory que discutimos na seção acima, os especialistas em AD aqui em Lepide compilaram uma lista de melhores práticas que você pode adotar.
Um resumo da nossa lista de verificação das melhores práticas de segurança do Active Directory está abaixo:
- Gerenciar grupos de segurança do Active Directory
- Limpar-Acima Contas de Usuário Inativas em AD
- Monitor Administradores Locais
- Não Use GPOs para Definir Senhas
- Auditar Logons de Controlador de Domínio (DC)
- Segurar LSASS Proteção
- Política de Senha Stringente
- Cuidado com os Grupos Aninhados
- Remover Acesso Aberto
- Direitos de Logon do Servidor de Auditoria
- Adote o Princípio de Menos Privilégio para Segurança de AD
- Back Up Your Active Directory and Have a Method for Recovery
- Enable Security Monitoring of Active Directory for Signs of Compromise
- Audit Active Directory Changes
>
Manage Active Directory Security Groups
Membros atribuídos a grupos de segurança Active Directory, tais como Domain, Os Administradores de Empresas e Esquemas recebem o nível máximo de privilégios dentro de um ambiente do Active Directory. Como tal, um atacante, ou um malicioso infiltrado, atribuído a um destes grupos, terá domínio livre sobre o seu ambiente AD juntamente com os seus dados críticos.
Adira às melhores práticas para grupos de segurança do Active Directory, tais como limitar o acesso sempre que possível apenas aos utilizadores que o necessitem, irá adicionar outra camada de segurança ao seu AD.
Para uma lista abrangente das melhores práticas para grupos de segurança do Active Directory, clique aqui.
Limpar contas de usuário inativas no AD
Contas de usuário inativas apresentam um sério risco de segurança para o seu ambiente Active Directory, pois são frequentemente usadas por administradores desonestos e hackers para obter acesso a dados críticos sem levantar suspeitas.
É sempre uma boa idéia gerenciar contas de usuário inativas. Você provavelmente poderia encontrar uma maneira de manter o controle de contas de usuários inativos usando o PowerShell ou usando uma solução como Lepide Active Directory Cleanup.
Monitor Local Administrators
É muito importante para as organizações saber o que os administradores locais estão fazendo, e como o seu acesso foi concedido. Ao conceder acesso aos administradores locais, é importante seguir a regra do “princípio do menor privilégio”.
Não usar GPOs para definir senhas
Usando objetos de política de grupo (GPOs), é possível criar contas de usuário e definir senhas, incluindo senhas de administradores locais, dentro do Active Directory.
Atacantes ou maliciosos podem explorar esses GPOs para obter e descriptografar os dados de senha sem direitos de acesso elevados. Tais eventualidades podem ter repercussões em toda a rede.
Esta situação destaca a importância de garantir que os administradores de sistemas tenham um meio de detectar e reportar potenciais vulnerabilidades de senha.
Audit Domain Controller (DC) Logons
É muito importante que os administradores de sistemas tenham a capacidade de auditar quem faz login em um Controlador de Domínio, a fim de proteger usuários privilegiados e quaisquer ativos aos quais eles tenham acesso.
Este é um ponto cego comum para as organizações, pois elas tendem a se concentrar nos administradores de Empresas e Domínios e esquecer que outros grupos podem ter direitos de acesso inadequados aos Controladores de Domínios.
Proteger o LSASS
Utilizando ferramentas de hacking como Mimikatz, os atacantes podem explorar o Local Security Authority Subsystem Service (LSASS) para extrair as credenciais dos usuários, que podem então ser usadas para acessar os ativos associados a essas credenciais.
Dispor de uma Política de Senha Stringente
Dispor de uma política de senha eficaz é crucial para a segurança de sua organização. É importante que os usuários mudem suas senhas periodicamente. Senhas que raramente são, ou nunca são alteradas, são menos seguras, pois criam uma oportunidade maior de serem roubadas.
De facto, a sua organização deve ter um sistema automatizado que permita que as senhas expirem após um determinado período de tempo. Além disso, o Lepide User Password Expiration Reminder é uma ferramenta útil que lembra automaticamente os usuários do Active Directory quando suas senhas estão próximas da data de expiração.
Um problema que muitos parecem incapazes de superar é que senhas complexas não podem ser lembradas facilmente. Isto leva os usuários a escreverem a senha ou a armazená-la em sua máquina. Para superar isso, as organizações estão usando senhas em vez de senhas para aumentar a complexidade sem tornar as senhas impossíveis de serem lembradas.
Beware of Nested Groups
É comum os administradores aninharem grupos dentro de outros grupos como um meio de organizar rapidamente a adesão ao grupo. Entretanto, tal agrupamento de grupos apresenta um desafio aos administradores, pois é mais difícil para eles descobrir quem tem acesso a qual grupo, e por quê.
É importante para você ser capaz de identificar quais grupos têm o maior número de grupos agrupados e quantos níveis de agrupamento um grupo tem. Também é importante saber quem, o quê, onde e quando estão ocorrendo mudanças na Política de Grupo.
Remover Acesso Aberto
É comum que identificadores de segurança bem conhecidos como Everyone, Authenticated Users, e Domain Users, sejam usados para conceder privilégios inapropriados aos recursos da rede, como compartilhamento de arquivos. O uso desses identificadores de segurança pode permitir que hackers explorem a rede da organização, já que eles terão acesso a um grande número de contas de usuários.
Direitos de Logon do Servidor de Auditoria
As Políticas de Segurança Local são controladas pela Política de Grupo através de uma série de atribuições de direitos de usuário, incluindo:
- Log on local
- Log on como um trabalho em lote
- Log on através de Serviços de Desktop Remoto
- Log on como um serviço, etc.
Estas atribuições permitem aos não-administradores executar funções que são tipicamente restritas aos administradores. Se essas funções não forem analisadas, restritas e cuidadosamente auditadas, os atacantes poderão usá-las para comprometer o sistema, roubando credenciais e outras informações sensíveis.
Adote o Princípio do Mínimo Privilégio para Segurança de AD
O Princípio do Mínimo Privilégio é a idéia de que os usuários devem ter apenas os direitos mínimos de acesso necessários para executar suas funções – qualquer coisa mais do que isso é considerada excessiva.
Você deve auditar seu Active Directory para determinar quem tem acesso aos seus dados mais sensíveis e quais de seus usuários têm privilégios elevados. Você deve procurar restringir as permissões a todos aqueles que não precisam delas.
Back-Up Your Active Directory and Have a Method for Recovery
É recomendado que você faça backup do seu Active Directory regularmente, com intervalos que não excedam 60 dias. Isto porque a vida útil dos objetos de pedra tumular AD é, por padrão, de 60 dias. Você deve ter como objetivo incluir o backup do seu AD no seu plano de recuperação de desastres para ajudá-lo a se preparar para quaisquer eventos desastrosos. Como regra geral, pelo menos um controlador de domínio deve fazer o backup.
Você pode querer considerar o uso de uma solução de recuperação mais sofisticada que o ajudará a fazer o backup e restaurar os objetos AD ao seu estado original. Usar soluções em vez de confiar nos métodos de recuperação nativos acabará por lhe poupar tempo.
Ativar Monitoramento de Segurança do Active Directory para Sinais de Compromisso
Ser capaz de auditar e monitorar o seu Active Directory de forma proativa e contínua irá permitir-lhe detectar os sinais de uma violação ou comprometimento. Na maioria dos casos, graves violações de segurança podem ser evitadas pelo uso de soluções de monitoramento.
Pesquisas recentes sugeriram que, apesar das evidências de que o monitoramento ajuda a melhorar a segurança, mais de 80% das organizações ainda não o fazem ativamente.
Auditar Alterações no Active Directory
É crucial que você mantenha o controle de todas as alterações feitas no Active Directory. Qualquer alteração indesejada ou não autorizada pode causar sérios danos à segurança do seu Active Directory.
Como proteger o Active Directory com Lepide
Em Lepide, nossa Solução de Auditoria e Monitoramento do Active Directory permite que você tenha uma visão em tempo real e acionável das alterações que estão sendo feitas no seu Active Directory. Você será capaz de detectar o comprometimento dos sinais em tempo real e agir mais rapidamente para prevenir incidentes potencialmente desastrosos.
Se você está procurando uma solução de auditoria do Active Directory que fornece alertas em tempo real e relatórios pré-definidos, vale a pena conferir o Lepide Active Directory Auditor. Ele vem com um teste gratuito de 15 dias para ajudar você a avaliar a solução.