Os últimos anos vieram acompanhados de um forte boom na área da segurança da informação. Agora, com a implementação de novas leis, o segmento está em seu ápice e é bastante comum a demanda de projetos para implementação de produtos famosos no mercado. No entanto, sempre que iniciadas as análises profissionais, é recorrente que a segurança básica dos ambientes esteja a desejar. E tendo este panorama em mente, traremos algumas dicas essenciais para promover maiores níveis de cuidado e minimizar riscos em Active Directory.
Administradores de Domínio: quem realmente precisa deste acesso?
Você conseguiria listar quem possui acesso de administrador de domínio em seu Active Directory? Ter controle sobre esta informação é imprescindível para minimizar as chances de contas privilegiadas serem invadidas e comprometerem a segurança de todo o seu ambiente.
Numa suposta situação de ataque neste tipo de perfil, na qual um hacker consiga acesso a um sistema, a movimentação lateral deste invasor poderá resultar na busca por permissões mais altas, como a de administrador de domínio. Apenas um acesso comprometido e toda a rede estará correndo sérios riscos.
As medidas mais básicas para evitar esta situação é a higienização do grupo de admin do domínio. A própria Microsoft sugere que a liberação deste perfil seja dada temporariamente, sendo removida tão pronto quanto a conclusão do trabalho. Este cuidado reduzirá possibilidades de invasores comprometerem seu ambiente.
Restrinja a conta de administrador às tarefas de administrador, preferencialmente numa estação de trabalho de administrador.
Para isto, você precisará de duas contas. Uma delas, com menos privilégios e permissões básicas, a qual deve ser utilizada regularmente para cumprir os trabalhos diários. Quando houver necessidade de execução das tarefas administrativas (como criação de usuário, login em servidor, adição de registro DNS e outros), é só recorrer a outra conta, com as permissões necessárias de administrador. Assim, haverá unidade entre todos da equipe e ninguém estará logado em contas especiais se não se fizer necessário.
Outro ponto, é você possuir uma estação de trabalho só para a execução das tarefas deste perfil. Não utilizando a máquina para navegar na internet, verificar e-mails etc. Os riscos de comprometimento de senha, caso haja login em ambientes de risco, será muito menor.
Contas de Serviço também precisam de cuidados!
Estas contas, que servem para execução de tarefas, serviços, autenticação etc., são as mais comuns e em maiores quantidades nos ambientes. Normalmente, elas são configuradas para que as senhas nunca expirem, o que pode ser um risco para o ambiente. Corrigir isto não requer tanto esforço e há formas avançadas que garantem a segurança, mas, basicamente, utilize senhas fortes, não dê direito administrativo quando não for necessário, impeça logons locais e em outros servidores e, quando houver fornecedores terceiros para cuidar do software, não permita que estes usufruam dos direitos de administrador de domínio.
Segurança do Active Directory: esteja com esse monitoramento em dia.
Monitore e revise semanalmente os seguintes eventos:
– Utilização de contas de administrador local;
– Logon/logoff em contas privilegiadas;
– Aumento de tentativas incorretas de senha;
– Aumento de contas bloqueadas;
– Processos executados por contas privilegiadas;
– Remoção de antivírus;
– Alterações em grupos privilegiados (adm de domínio, coorporativos e de esquema);
– Bloqueio de acessos de contas que não são mais utilizadas.
Para administrar as senhas, conte com aliados!
A Microsoft possui uma ferramenta que promove o gerenciamento de senha de conta local dos computadores ingressados no domínio: o LAPS. Ele define uma senha exclusiva para cada administrador local e a armazena no Active Directory para simplificar o acesso. Esta medida, além de ser gratuita, alivia situações de ataque hash e movimentação lateral.
Faça a atualização do seu ambiente e não instale funções adicionais e softwares nos controladores de domínios
Sempre aparecem novas formas de explorar falhas de vulnerabilidade e, se fizermos um levantamento, perceberemos que os ataques são comumente direcionados às atualizações mais antigas. Isto não se dá só por falta de tempo hábil para explorar as mais recentes, mas, principalmente, porque grande parte dos ambientes não desfrutam de eficazes processos de atualização de servidores e estação de trabalho.
Ademais, mantenha sua estação limpa de quaisquer funções adicionais e softwares nos controladores de domínios. Já que estamos falando de possíveis vulnerabilidades, o que garante que estes aplicativos e funções extras não contem falhas que permitam uma invasão em seu ambiente?
Seja estratégico e tenha um olhar mais adiante: desenvolva planos de recuperação!
Imagine que você está tranquilo curtindo suas merecidas férias. De repente, recebe a notícia de que seu ambiente está comprometido ou que foi atingido por RansomWare. Você tomou os cuidados prévios para impedir que seus dias de glória sejam afetados? Sua equipe está bem treinada para resolver este problema? Existe uma política de resposta pré-desenvolvida? Ficam os inquietantes questionamentos para você.
Um bom plano de recuperação, aliado a todas as medidas preventivas indicadas aqui, garantirá que seu Active Directory esteja o mais seguro e íntegro o possível para que nenhum evento inesperado possa te desestabilizar ou colocar a sua empresa em maus bocados.
Gostou dessas dicas? Então se inscreva em nossa Newsletter e fique sempre por dentro das mais diversas notícias do mundo tecnológico.