Para obter uma melhor experiência web, utilize o IE11+, Chrome, Firefox ou Safari.

Segurança do Active Directory

Melhores práticas para proteger seu AD e manter a conformidade. A segurança do Active Directory é geralmente descrita como uma maneira de controlar as chaves de seu castelo: uma metáfora que tem razão de ser, mas que também apresenta limitações importantes. O Active Directory funciona como um guardião, determinando quem tem as chaves para entrar em sua rede, assim como quais dados e recursos cada uma dessas chaves pode abrir. Mas, diferentemente de uma construção de cimento, seu ambiente de TI é um local incrivelmente dinâmico, com usuários entrando e saindo constantemente, funcionários assumindo novas funções, novas funções sendo adicionadas e outras sendo descontinuadas, e assim por diante. Portanto, a segurança do Active Directory não é um evento que deve ser feito uma única vez, como trocar as fechaduras de um castelo, mas um processo contínuo.

Continue lendo para obter mais dicas sobre como proteger seu Active Directory.

Current state of AD security 03:01

Estado atual da segurança do AD

O que é a segurança do Active Directory?

A segurança do Active Directory é geralmente descrita como uma maneira de controlar as chaves de seu castelo: uma metáfora que tem razão de ser, mas que também apresenta limitações importantes. O Active Directory (AD) funciona como um guardião, determinando quem tem as chaves para entrar em sua rede, assim como quais dados e recursos cada uma dessas chaves pode abrir. Mas, diferentemente de uma construção de cimento, seu ambiente de TI é um local incrivelmente dinâmico, com usuários entrando e saindo constantemente, funcionários assumindo novas funções, novas funções sendo adicionadas e outras sendo descontinuadas. Portanto, a segurança do Active Directory não é um evento que deve ser feito uma única vez, como trocar as fechaduras de um castelo, mas um processo contínuo.

Entendendo a segurança do AD

A segurança do Active Directory é um ato de equilíbrio delicado. Seguindo com a metáfora do castelo: enquanto um rei ou uma rainha podem exigir qualquer medida de segurança desejada de seus subordinados, os profissionais de TI devem ter sempre em mente as necessidades dos negócios. Se as medidas de segurança forem muito árduas, elas vão retardar os processos críticos de negócios e afastar os talentos da equipe. Por exemplo, é essencial garantir que apenas as pessoas certas tenham acesso aos dados médicos de um indivíduo, mas também é igualmente importante garantir que as equipes médicas possam ver os diagnósticos e prescrições médicas de um paciente a tempo de oferecer os cuidados necessários. Além disso, os usuários encontram maneiras de contornar medidas de segurança que eles consideram inconvenientes: peça que eles criem senhas complexas que devem ser alteradas a cada trintas dias, e você encontrará diversas notas de lembrete em suas mesas, o que compromete seu objetivo de proteger as contas contra acessos não autorizados.

Entendendo a segurança do AD

Segurança vs. conformidade

É importante entender que, ainda que a segurança do Active Directory esteja intimamente ligada à conformidade regulamentar, as duas coisas não são idênticas. Muitas regulamentações de conformidade incluem requisitos que afetam diretamente as políticas e os procedimentos de segurança do AD, mas esses mandatos geralmente se ramificam para muitas outras áreas, como o acesso físico a um edifício de escritórios, o treinamento da equipe de trabalho e a responsabilidade executiva. Por outro lado, uma segurança abrangente do AD envolve mais do que estar em conformidade com uma ou mais regulamentações.

A segurança do AD é uma parte essencial de diversas regulamentações de conformidade, incluindo GDPR, CCPA, HIPAA, SOX e PCI-DSS. Negligenciar a segurança adequada do Active Directory pode resultar em muitas consequências desagradáveis, incluindo multas altas de reguladores, prisão para os executivos, impossibilidade de processar transações de cartão de crédito e a perda da confiança dos clientes.

 

Segurança vs. conformidade

O papel essencial da segurança

Proteger o Active Directory precisa ser uma de suas maiores prioridades, pois ele cumpre um papel vital em sua infraestrutura de TI, literalmente controlando quem pode adentrar sua rede e o que podem fazer uma vez lá dentro. Deixar de implementar e manter uma segurança robusta do AD aumenta significativamente o risco de usuários acessarem dados e aplicações que eles não deveriam utilizar, seja de maneira deliberada ou por acidente. Também aumenta sua vulnerabilidade a ataques e malware invadindo a conta de um usuário ou, pior, a conta de um administrador, com o intuito de roubar dados confidenciais, critptografá-los por um resgate, ou apenas para causar estragos em sistemas de TI. Um ataque bem-sucedido ao Active Directory pode causar danos prolongados a organizações, ou acabar com seus negócios completamente.
O papel essencial da segurança

Quais os riscos de segurança mais comuns do Active Directory?

Os riscos de segurança do Active Directory surgem principalmente da falta de insight e controle sobre três fatores principais:

  • quem entra em sua rede,
  • o que estão autorizados a fazer uma vez que estão dentro,
  • e qual atividade está realmente ocorrendo.

Alguns desses riscos têm nomes específicos, como ameaças internas, spear-phishing, atendimento de segundo nível de privilégios e movimento lateral. No entanto, a melhor forma de lidar com os riscos de segurança do AD não é combatendo cada um individualmente; essa abordagem aumenta os custos e deixa o sistema de TI mais complexo, agravando o problema em vez de resolvê-lo.

Em vez disso, a melhor estratégia é limpar seu Active Directory e ganhar ampla visibilidade das atividades em seu ambiente de TI. As ferramentas integradas ao Active Directory fornecem uma pequena fração das funcionalidades necessárias e sua utilização é demorada. Portanto, é inteligente investir em soluções abrangentes que automatizam e simplificam os processos principais exigidos em uma segurança robusta do Active Directory.

Quais os riscos de segurança mais comuns do Active Directory?

Melhores práticas de segurança do Active Directory

O Active Directory já existe há muito tempo, e as melhores práticas estão prontamente disponíveis e reforçando, significativamente e comprovadamente, a segurança e a conformidade do AD. A implementação das melhores práticas a seguir ajudará a minimizar os riscos de seus sistemas e dados de TI e proteger o sucesso futuro de sua organização.

1. Avaliações regulares

Uma das melhores práticas de segurança do AD mais importantes é analisar regularmente o estado de seu ambiente de TI e procurar proativamente por problemas de segurança e conformidade em potencial.
Compare periodicamente as configurações em seus endpoints do Windows, controladores de domínio e outros sistemas em relação a um bom estado conhecido, e remedie prontamente qualquer desvio involuntário ou alteração maliciosa.
Certifique-se de analisar regularmente a Diretiva de grupo, que é usada para aplicar configurações padrão entre seus usuários e computadores. A Diretiva de grupo controla muitas atividades; você pode proibir usuários de acessar o Painel de controle, de usar o prompt de comando ou de instalar softwares. Mesmo uma alteração imprópria em um objeto de Diretiva de grupo (GPO) pode causar danos significativos. Por exemplo, os usuários podem, de repente, conseguir inserir unidades USB e, portanto, liberar ransomwares ou outros malwares em seus sistemas. Dessa forma, certifique-se de que seus GPOs funcionem conforme o esperado e possam identificar e reverter rapidamente qualquer alteração imprópria ou não autorizada.
Além disso, certifique-se de que os sistemas operacionais do Windows Server e outros softwares estejam com patches atualizados e de que você esteja usando apenas versões com suporte total dos fornecedores.

2. Minimizar permissões de usuários

Talvez a melhor prática mais fundamental da segurança de TI seja o princípio do menor privilégio. Dê a cada usuário exatamente o acesso de que ele precisa para trabalhar. Nem mais, nem menos. O AD permite que você reúna usuários com funções semelhantes (como administradores do Help Desk ou equipes de RH) em um grupo de segurança do AD e gerencie-os em conjunto. Os usuários podem ser (e geralmente são) membros de vários grupos do AD, como grupos baseados em projetos.
A utilização dos grupos de segurança do AD não é uma mera conveniência para os administradores; ela aumenta a segurança reduzindo erros no provisionamento e no desprovisionamento, e minimizando a complexidade da estrutura de permissões. Assim, é mais fácil identificar com certeza os acessos de cada um.

3. Investigar incidentes de segurança

Não importa quão bons sejam seus esforços de prevenção: você vai enfrentar incidentes de cibersegurança. Portanto, você deve estar preparado para investigá-los rapidamente e responder de forma adequada. Você deve ser capaz de determinar rapidamente o local de origem da violação, como ela se sucedeu e quais sistemas e dados exatamente foram envolvidos. Dessa maneira, você pode responsabilizar os indivíduos por suas ações e tomar medidas para evitar que incidentes semelhantes ocorram no futuro.

4. Gerenciar permissões de usuários e de grupos

Como dito anteriormente, o princípio do menor privilégio é a melhor prática mais básica da segurança de TI. Se você tivesse de atribuir manualmente todas as permissões de usuários individualmente a cada recurso (e manter essas permissões atualizadas conforme os usuários vêm e vão e trocam de função dentro da organização), você estaria sobrecarregado, e sua organização correria um alto risco de violações e de falhas de conformidade.
A capacidade de criar grupos de segurança do AD e de gerenciar permissões em conjunto para usuários semelhantes reduz essa carga. Os usuários podem ser (e geralmente são) membros de vários grupos do AD, como grupos baseados em projetos. Por exemplo, um novo gerente de vendas poderá receber acesso a todos os recursos certos se eles forem adicionados tanto aos grupo de segurança de Vendas quanto ao grupo de segurança de Gerentes de vendas. De forma semelhante, caso haja uma nova pasta ou um novo compartilhamento de arquivos que toda a equipe de vendas precisa acessar, basta conceder acesso ao grupo de Vendas em vez de concedê-lo às contas de usuários individuais uma a uma. Por outro lado, se um usuário passar de uma função de Vendas para uma posição diferente, será possível remover o acesso de todos os recursos de Vendas removendo esse usuário do grupo de Vendas em vez de analisar cada recurso e determinar quais acessos ainda são legítimos.

5. Controlar permissões de administrador

A utilização dos grupos de segurança do AD não é uma mera conveniência para os administradores; ela aumenta a segurança reduzindo erros no provisionamento e no desprovisionamento, e minimizando a complexidade da estrutura de permissões. Assim, é mais fácil identificar com certeza os acessos de cada um.
Uma dúvida em particular são os grupos de segurança do AD que concedem privilégios de nível administrativo, como os extremamente eficientes grupos de Administradores de empresa, Administradores de domínio e Administradores de esquema, assim como contas locais de administradores criadas durante a instalação do Windows e que possuem controle total dos arquivos, diretórios, serviços e outros recursos do computador local. As organizações precisam ter um controle rígido sobre os integrantes desses grupos de acessos privilegiados, além de estarem atentas a quaisquer alterações em seus membros, que podem indicar um ataque ou um agente malicioso infiltrado tentando aumentar seus privilégios para obter acesso a sistemas ou dados adicionais.

6. Permissões de contas de serviço

Contas de serviço são contas de usuários especiais que aplicações e serviços utilizam para registrar e realizar ações em seu ambiente de TI. Infelizmente, as contas de serviço com frequência têm mais permissões do que o necessário, aumentando os riscos à segurança. As razões comuns para o excesso de provisionamento incluem aceitar passivamente os requisitos especificados pelo fornecedor da aplicação, não conseguir trabalhar adequadamente em meio aos desafios operacionais, e simplesmente clonar um serviço existente em vez de se dedicar para criar um novo com as permissões apropriadas.

A melhor prática é garantir que todas as contas de serviço estejam em conformidade com o princípio do menor privilégio. Você também deve tomar precauções especiais sempre que uma conta de serviço precisar de privilégios administrativos. Você nunca deve fazer com que uma conta de serviço seja membra de um grupo administrativo padrão, como o grupo local de Administradores ou de Administradores de domínio. Algumas opções melhores são executar o serviço na conta LocalSystem, ou criar um grupo personalizado para conta de serviço e negar explicitamente o acesso a outras contas para esse grupo. E sempre que possível, é prudente configurar contas de serviço para que elas possam fazer login somente durante um período específico do dia.

Em que local eu posso saber mais sobre o Active Directory?

Em que local eu posso saber mais sobre o Active Directory?
O Active Directory é fundamental para o sucesso de qualquer empresa moderna. Consulte essas páginas úteis adicionais para aprender as melhores práticas das áreas mais importantes do Active Directory:

Comece agora mesmo

Seu fornecedor principal para garantir a segurança do seu ambiente do Active Directory.