Melhores práticas para proteger seu AD e manter a conformidade. A segurança do Active Directory é geralmente descrita como uma maneira de controlar as chaves de seu castelo: uma metáfora que tem razão de ser, mas que também apresenta limitações importantes. O Active Directory funciona como um guardião, determinando quem tem as chaves para entrar em sua rede, assim como quais dados e recursos cada uma dessas chaves pode abrir. Mas, diferentemente de uma construção de cimento, seu ambiente de TI é um local incrivelmente dinâmico, com usuários entrando e saindo constantemente, funcionários assumindo novas funções, novas funções sendo adicionadas e outras sendo descontinuadas, e assim por diante. Portanto, a segurança do Active Directory não é um evento que deve ser feito uma única vez, como trocar as fechaduras de um castelo, mas um processo contínuo.
Continue lendo para obter mais dicas sobre como proteger seu Active Directory.
A segurança do Active Directory é um ato de equilíbrio delicado. Seguindo com a metáfora do castelo: enquanto um rei ou uma rainha podem exigir qualquer medida de segurança desejada de seus subordinados, os profissionais de TI devem ter sempre em mente as necessidades dos negócios. Se as medidas de segurança forem muito árduas, elas vão retardar os processos críticos de negócios e afastar os talentos da equipe. Por exemplo, é essencial garantir que apenas as pessoas certas tenham acesso aos dados médicos de um indivíduo, mas também é igualmente importante garantir que as equipes médicas possam ver os diagnósticos e prescrições médicas de um paciente a tempo de oferecer os cuidados necessários. Além disso, os usuários encontram maneiras de contornar medidas de segurança que eles consideram inconvenientes: peça que eles criem senhas complexas que devem ser alteradas a cada trintas dias, e você encontrará diversas notas de lembrete em suas mesas, o que compromete seu objetivo de proteger as contas contra acessos não autorizados.
É importante entender que, ainda que a segurança do Active Directory esteja intimamente ligada à conformidade regulamentar, as duas coisas não são idênticas. Muitas regulamentações de conformidade incluem requisitos que afetam diretamente as políticas e os procedimentos de segurança do AD, mas esses mandatos geralmente se ramificam para muitas outras áreas, como o acesso físico a um edifício de escritórios, o treinamento da equipe de trabalho e a responsabilidade executiva. Por outro lado, uma segurança abrangente do AD envolve mais do que estar em conformidade com uma ou mais regulamentações.
A segurança do AD é uma parte essencial de diversas
regulamentações de conformidade, incluindo GDPR,
CCPA, HIPAA, SOX e PCI-DSS. Negligenciar a segurança adequada do Active
Directory pode resultar em muitas consequências desagradáveis,
incluindo multas altas de reguladores, prisão para os executivos,
impossibilidade de processar transações de cartão de
crédito e a perda da confiança dos clientes.
Os riscos de segurança do Active Directory surgem principalmente da falta de insight e controle sobre três fatores principais:
Alguns desses riscos têm nomes específicos, como ameaças internas, spear-phishing, atendimento de segundo nível de privilégios e movimento lateral. No entanto, a melhor forma de lidar com os riscos de segurança do AD não é combatendo cada um individualmente; essa abordagem aumenta os custos e deixa o sistema de TI mais complexo, agravando o problema em vez de resolvê-lo.
Em vez disso, a melhor estratégia é limpar seu Active Directory e ganhar ampla visibilidade das atividades em seu ambiente de TI. As ferramentas integradas ao Active Directory fornecem uma pequena fração das funcionalidades necessárias e sua utilização é demorada. Portanto, é inteligente investir em soluções abrangentes que automatizam e simplificam os processos principais exigidos em uma segurança robusta do Active Directory.
O Active Directory já existe há muito tempo, e as melhores práticas estão prontamente disponíveis e reforçando, significativamente e comprovadamente, a segurança e a conformidade do AD. A implementação das melhores práticas a seguir ajudará a minimizar os riscos de seus sistemas e dados de TI e proteger o sucesso futuro de sua organização.
Uma das melhores práticas de segurança do AD mais importantes
é analisar regularmente o estado de seu ambiente de TI e procurar
proativamente por problemas de segurança e conformidade em potencial.
Compare periodicamente as configurações em seus endpoints
do Windows, controladores de domínio e outros sistemas em
relação a um bom estado conhecido, e remedie prontamente
qualquer desvio involuntário ou alteração maliciosa.
Certifique-se
de analisar regularmente a Diretiva de grupo, que é usada para aplicar
configurações padrão entre seus usuários e
computadores. A Diretiva de grupo controla muitas atividades; você pode
proibir usuários de acessar o Painel de controle, de usar o prompt de
comando ou de instalar softwares. Mesmo uma alteração
imprópria em um objeto
de Diretiva de grupo (GPO) pode causar danos significativos. Por exemplo,
os usuários podem, de repente, conseguir inserir unidades USB e,
portanto, liberar ransomwares ou outros malwares em seus sistemas. Dessa
forma, certifique-se de que seus GPOs funcionem conforme o esperado e possam
identificar e reverter rapidamente qualquer alteração
imprópria ou não autorizada.
Além disso,
certifique-se de que os sistemas
operacionais do Windows Server e outros softwares estejam com patches
atualizados e de que você esteja usando apenas versões com
suporte total dos fornecedores.
Talvez a melhor prática mais fundamental da segurança de TI
seja o princípio do menor privilégio. Dê a cada
usuário exatamente o acesso de que ele precisa para trabalhar. Nem
mais, nem menos. O AD permite que você reúna usuários com
funções semelhantes (como administradores do Help Desk ou
equipes de RH) em um grupo de segurança do AD e gerencie-os em
conjunto. Os usuários podem ser (e geralmente são) membros de
vários grupos do AD, como grupos baseados em projetos.
A
utilização dos grupos de segurança do AD não
é uma mera conveniência para os administradores; ela aumenta a
segurança reduzindo erros no provisionamento e no desprovisionamento, e
minimizando a complexidade da estrutura de permissões. Assim, é
mais fácil identificar com certeza os acessos de cada um.
Não importa quão bons sejam seus esforços de prevenção: você vai enfrentar incidentes de cibersegurança. Portanto, você deve estar preparado para investigá-los rapidamente e responder de forma adequada. Você deve ser capaz de determinar rapidamente o local de origem da violação, como ela se sucedeu e quais sistemas e dados exatamente foram envolvidos. Dessa maneira, você pode responsabilizar os indivíduos por suas ações e tomar medidas para evitar que incidentes semelhantes ocorram no futuro.
Como dito anteriormente, o princípio do menor privilégio
é a melhor prática mais básica da segurança de TI.
Se você tivesse de atribuir manualmente todas as permissões de
usuários individualmente a cada recurso (e manter essas
permissões atualizadas conforme os usuários vêm e
vão e trocam de função dentro da
organização), você estaria sobrecarregado, e sua
organização correria um alto risco de violações e
de falhas de conformidade.
A capacidade de criar grupos de
segurança do AD e de gerenciar permissões em conjunto para
usuários semelhantes reduz essa carga. Os usuários podem ser (e
geralmente são) membros de vários grupos do AD, como grupos
baseados em projetos. Por exemplo, um novo gerente de vendas poderá
receber acesso a todos os recursos certos se eles forem adicionados tanto aos
grupo de segurança de Vendas quanto ao grupo de segurança de
Gerentes de vendas. De forma semelhante, caso haja uma nova pasta ou um novo
compartilhamento de arquivos que toda a equipe de vendas precisa acessar,
basta conceder acesso ao grupo de Vendas em vez de concedê-lo às
contas de usuários individuais uma a uma. Por outro lado, se um
usuário passar de uma função de Vendas para uma
posição diferente, será possível remover o acesso
de todos os recursos de Vendas removendo esse usuário do grupo de
Vendas em vez de analisar cada recurso e determinar quais acessos ainda
são legítimos.
A utilização dos grupos de segurança do AD não
é uma mera conveniência para os administradores; ela aumenta a
segurança reduzindo erros no provisionamento e no desprovisionamento, e
minimizando a complexidade da estrutura de permissões. Assim, é
mais fácil identificar com certeza os acessos de cada um.
Uma
dúvida em particular são os grupos de segurança do AD que
concedem privilégios de nível administrativo, como os
extremamente eficientes grupos de Administradores de empresa, Administradores
de domínio e Administradores de esquema, assim como contas locais de
administradores criadas durante a instalação do Windows e que
possuem controle total dos arquivos, diretórios, serviços e
outros recursos do computador local. As organizações precisam
ter um controle rígido sobre os integrantes desses grupos de acessos
privilegiados, além de estarem atentas a quaisquer
alterações em seus membros, que podem indicar um ataque ou um
agente malicioso infiltrado tentando aumentar seus privilégios para
obter acesso a sistemas ou dados adicionais.
Contas de serviço são contas de usuários especiais que aplicações e serviços utilizam para registrar e realizar ações em seu ambiente de TI. Infelizmente, as contas de serviço com frequência têm mais permissões do que o necessário, aumentando os riscos à segurança. As razões comuns para o excesso de provisionamento incluem aceitar passivamente os requisitos especificados pelo fornecedor da aplicação, não conseguir trabalhar adequadamente em meio aos desafios operacionais, e simplesmente clonar um serviço existente em vez de se dedicar para criar um novo com as permissões apropriadas.
A melhor prática é garantir que todas as contas de
serviço estejam em conformidade com o princípio do menor
privilégio. Você também deve tomar
precauções especiais sempre que uma conta de serviço
precisar de privilégios administrativos. Você nunca deve fazer
com que uma conta de serviço seja membra de um grupo administrativo
padrão, como o grupo local de Administradores ou de Administradores de
domínio. Algumas opções melhores são executar o
serviço na conta LocalSystem, ou criar um grupo personalizado para
conta de serviço e negar explicitamente o acesso a outras contas para
esse grupo. E sempre que possível, é prudente configurar contas
de serviço para que elas possam fazer login somente durante um
período específico do dia.