Práticas recomendadas de segurança do Active Directory

Os invasores são persistentes em sua busca para comprometer os serviços do Active Directory devido ao seu papel na autorização de acesso a dados críticos e confidenciais.

À medida que as organizações se expandem, a sua infraestrutura torna-se cada vez mais complexa, o que as torna muito mais vulneráveis a ataques, uma vez que é mais difícil acompanhar alterações, eventos e permissões importantes do sistema.

Também está se tornando muito mais difícil para as organizações determinarem onde seus dados confidenciais estão localizados e o tipo de política de segurança mais adequada para proteger esses dados.

Neste blog, abordaremos algumas práticas recomendadas do Active Directory que ajudarão você a melhorar a segurança geral do seu ambiente do Active Directory.

Por que você deve se preocupar com a segurança do Active Directory?

O Active Directory é essencialmente o coração do seu ambiente de TI. A maioria dos ataques ou ameaças à segurança que você enfrentará envolverá o Active Directory de alguma forma.

Um estranho que queira obter acesso aos seus dados, por exemplo, pode tentar roubar credenciais ou instalar malware para comprometer uma conta. Uma vez dentro do seu AD, eles podem aumentar seus privilégios e mover-se lateralmente pelo sistema, obtendo acesso aos seus dados confidenciais.

É por isso que é vital ter uma boa segurança do Active Directory e garantir que você esteja monitorando e auditando consistentemente as alterações no AD para que possa detectar possíveis ataques e reagir em tempo hábil.

Ameaças comuns à segurança do Active Directory

Como o Active Directory já existe há muito tempo, os invasores encontraram várias maneiras de explorar vulnerabilidades de segurança.

A Microsoft tem sido proativa na colmatação de lacunas na segurança do Active Directory, mas os atacantes encontrarão sempre diferentes formas de explorar o sistema e os humanos que os utilizam.

As ameaças à segurança do Active Directory enquadram-se amplamente em duas categorias; vulnerabilidades do sistema e ameaças internas.

Vulnerabilidades do sistema Active Directory

O Active Directory usa autenticação Kerberos que possui inúmeras vulnerabilidades, como Pass the Hash, Pass the Ticket, Golden Ticket e Silver Ticket. O AD também oferece suporte à criptografia NTLM, um resquício de quando a criptografia NTLM era realmente usada no AD, apesar da segurança ser inferior. Os ataques de força bruta também são um método comum para os invasores forçarem a entrada no AD.

Ameaças internas no Active Directory

A maneira mais comum de burlar a segurança do Active Directory é por meio de ameaças internas. Ataques de phishing, engenharia social e spear-phishing geralmente são bem-sucedidos com usuários que não se preocupam com a segurança, permitindo que invasores obtenham acesso ao seu AD com credenciais roubadas.

Permissões excessivas

Permissões excessivas também são uma ameaça comum à segurança do Active Directory, com os usuários sendo descuidados ou intencionalmente mal-intencionados com dados aos quais nem deveriam ter acesso.

Práticas recomendadas de segurança do Active Directory

Para combater com eficácia algumas das vulnerabilidades e riscos de segurança do Active Directory que discutimos na seção acima, os especialistas em AD aqui da Lepide compilaram uma lista de práticas recomendadas que você pode adotar.

Um resumo de nossa lista de verificação de práticas recomendadas de segurança do Active Directory está abaixo:

1. Gerenciar grupos de segurança do Active Directory
2. Limpar contas de usuário inativas no AD
3. Monitore administradores locais
4. Não use GPOs para definir senhas
5. Auditoria de logons do controlador de domínio (DC)
6. Garanta a proteção LSASS
7. Tenha uma política de senha rigorosa
8. Cuidado com grupos aninhados
9. Remover acesso aberto
10. Auditar direitos de logon do servidor
11. Adote o princípio do menor privilégio para segurança do AD
12. Faça backup do seu Active Directory e tenha um método de recuperação
13. Habilite o monitoramento de segurança do Active Directory em busca de sinais de comprometimento
14. Auditar alterações no Active Directory
15. Aproveitando ferramentas de detecção de ameaças de identidade

1. Gerenciar grupos de segurança do Active Directory

Os membros atribuídos a grupos de segurança do Active Directory, como Administradores de Domínio, Empresa e Esquema, recebem o nível máximo de privilégio em um ambiente do Active Directory. Dessa forma, um invasor, ou um insider mal-intencionado, atribuído a um desses grupos, terá rédea solta sobre seu ambiente AD junto com seus dados críticos. Você precisa limitar o acesso a esses grupos apenas aos usuários que precisam dele.

2. Limpar contas de usuários inativas no AD

Contas de usuários inativas representam um sério risco de segurança para o ambiente do Active Directory, pois são frequentemente usadas por administradores e hackers desonestos para obter acesso a dados críticos sem levantar suspeitas.

É sempre uma boa ideia gerenciar contas de usuários inativos. Você provavelmente poderia encontrar uma maneira de controlar contas de usuários inativas usando o PowerShell ou uma solução como Lepide Active Directory Cleanup.

3. Monitore os administradores locais

É muito importante que as organizações saibam o que os administradores locais estão fazendo e como seu acesso foi concedido. Ao conceder acesso a administradores locais, é importante seguir a regra do “princípio do menor privilégio”.

4. Não use GPOs para definir senhas

Usando Objetos de Política de Grupo (GPOs), é possível criar contas de usuário e definir senhas, incluindo senhas de Administrador Local, no Active Directory.

Atacantes ou pessoas mal-intencionadas podem explorar esses GPOs para obter e descriptografar os dados de senha sem direitos de acesso elevados. Tais eventualidades podem ter repercussões abrangentes em toda a rede.

Isso destaca a importância de garantir que os administradores de sistemas tenham meios de detectar e relatar possíveis vulnerabilidades de senha.

5. Auditoria de logons do controlador de domínio (DC)

É muito importante que os administradores de sistemas tenham a capacidade de auditar quem faz logon em um controlador de domínio para proteger usuários privilegiados e quaisquer ativos aos quais eles tenham acesso.

Este é um ponto cego comum para as organizações, pois elas tendem a se concentrar em administradores corporativos e de domínio e esquecem que outros grupos podem ter direitos de acesso inadequados aos controladores de domínio.

6. Garanta a proteção LSASS

Usando ferramentas de hacking como o Mimikatz, os invasores podem explorar o Local Security Authority Subsystem Service (LSASS) para extrair as credenciais do usuário, que podem então ser usadas para acessar ativos associados a essas credenciais.

7. Tenha uma política de senha rigorosa

Ter uma política de senha eficaz é crucial para a segurança da sua organização. É importante que os usuários alterem suas senhas periodicamente. Senhas que raramente ou nunca são alteradas são menos seguras, pois criam uma maior oportunidade para serem roubadas.

Idealmente, sua organização deve ter um sistema automatizado que permita que as senhas expirem após um determinado período de tempo. Além disso, o Lembrete de expiração de senha de usuário Lepide é uma ferramenta útil que lembra automaticamente os usuários do Active Directory quando suas senhas estão próximas da data de expiração.

Um problema que muitos parecem incapazes de superar é que senhas complexas não podem ser lembradas facilmente. Isso faz com que os usuários anotem a senha ou a armazenem em suas máquinas. Para superar isso, as organizações estão usando senhas em vez de senhas para aumentar a complexidade sem tornar impossível lembrar as senhas.

8. Cuidado com grupos aninhados

É comum que os administradores aninhem grupos dentro de outros grupos como forma de organizar rapidamente a adesão ao grupo. No entanto, esse aninhamento de grupos representa um desafio para os administradores, pois é mais difícil para eles descobrir quem tem acesso a qual grupo e por quê.

É importante que você consiga identificar quais grupos possuem o maior número de grupos aninhados e quantos níveis de aninhamento um grupo possui. Também é importante saber quem, o quê, onde e quando estão ocorrendo alterações na Política de Grupo.

9. Remova o acesso aberto

É comum que identificadores de segurança conhecidos, como Todos, Usuários Autenticados e Usuários de Domínio, sejam usados para conceder privilégios de usuário inadequados a recursos de rede, como compartilhamentos de arquivos. O uso desses identificadores de segurança pode permitir que hackers explorem a rede da organização, pois terão acesso a um grande número de contas de usuários.

10. Auditar direitos de logon do servidor

As Políticas de Segurança Locais são controladas pela Política de Grupo através de uma série de atribuições de direitos de usuário, incluindo:

• Permitir logon localmente
• Faça logon como um trabalho em lote
• Permitir logon através dos Serviços de Área de Trabalho Remota
• Faça logon como um serviço, etc.

Essas atribuições permitem que não administradores executem funções normalmente restritas a administradores. Se essas funções não forem analisadas, restritas e auditadas cuidadosamente, os invasores poderão usá-las para comprometer o sistema, roubando credenciais e outras informações confidenciais.

11. Adote o Princípio do Menor Privilégio para Segurança AD

O Princípio do Menor Privilégio é a ideia de que os utilizadores devem ter apenas os direitos de acesso mínimos necessários para desempenhar as suas funções profissionais - qualquer coisa além disso é considerada excessiva.

Você deve auditar seu Active Directory para determinar quem tem acesso aos seus dados mais confidenciais e quais usuários têm privilégios elevados. Você deve tentar restringir as permissões a todos aqueles que não precisam delas.

12. Faça backup do seu Active Directory e tenha um método de recuperação

É recomendável fazer backup do Active Directory regularmente, com intervalos que não excedam 60 dias. Isso ocorre porque o tempo de vida dos objetos de marca para exclusão do AD é, por padrão, de 60 dias. Você deve incluir seu backup do AD em seu plano de recuperação de desastres para ajudá-lo a se preparar para quaisquer eventos desastrosos. Como regra geral, deve ser feito backup de pelo menos um controlador de domínio.

Você pode considerar o uso de uma solução de recuperação mais sofisticada que o ajudará a fazer backup e restaurar objetos do AD ao seu estado original. Usar soluções em vez de confiar nos métodos de recuperação nativos acabará economizando muito tempo.

13. Habilite o monitoramento de segurança do Active Directory em busca de sinais de comprometimento

Ser capaz de auditar e monitorar proativamente e continuamente seu Active Directory permitirá que você identifique sinais de violação ou comprometimento. Na maioria dos casos, graves violações de segurança podem ser evitadas através da utilização de soluções de monitorização.

Inquéritos recentes sugeriram que, apesar das evidências de que a monitorização ajuda a melhorar a segurança, mais de 80% das organizações ainda não a fazem ativamente.

14. Auditar alterações no Active Directory

É crucial que você acompanhe todas as alterações feitas no Active Directory. Qualquer alteração indesejada ou não autorizada pode causar sérios danos à segurança do Active Directory.

15. Aproveitando ferramentas de detecção de ameaças de identidade

Fortalecer a segurança do Active Directory (AD) da sua organização é fundamental para a proteção contra ataques cibernéticos. As técnicas e ferramentas usadas por agentes mal-intencionados evoluem com o tempo, por isso é importante que as equipes de TI se mantenham a par das últimas tendências de ameaças e monitorem continuamente sinais de comprometimento. As ferramentas de detecção de ameaças de identidade usam IA e análise comportamental para detectar rapidamente ameaças relacionadas às identidades dos usuários, evitando efetivamente ataques modernos, como ransomware. Isto minimiza os riscos associados à autenticação adaptativa através da implementação de uma camada adicional de validação, melhorando a segurança geral. Além disso, as ferramentas de detecção de ameaças de identidade monitoram contas encerradas e inativas para ajudar a identificar atividades suspeitas. Essas ferramentas também podem ajudar a identificar contas órfãs, reforçar medidas de segurança e monitorar contas com privilégios elevados.

Como proteger o Active Directory com Lepide

Na Lepide, nossa solução de segurança do Active Directory permite que você obtenha informações práticas e em tempo real sobre as alterações feitas no seu Active Directory. Você será capaz de detectar sinais de comprometimento em tempo real e agir com mais rapidez para evitar incidentes potencialmente desastrosos.

• Os 10 principais riscos para a segurança do Active Directory
• Os 10 principais métodos de ataque ao Active Directory
• Dez principais coisas para auditar no Active Directory

• Auditoria do Active Directory
• Auditoria do Azure AD
• Auditoria de Política de Grupo
• Segurança do Active Directory
• Ferramenta de bloqueio de conta AD