Por Wellington Agápto

/ Em Segurança da Informação /

Postado em

dez 19, 2019

Active Directory: 10 dicas de segurança para controladores de domínio

Nesse período em que gerenciamos projetos de segurança da informação, vemos muitos clientes preocupados em implementar grandes soluções e produtos famosos de mercado, por isso trouxemos 10 dicas de segurança para Active Directory:

1. Limite a quantidade de Administradores de domínio

Administradores de domínio tem o tipo de privilégio que todo atacante precisa. Uma vez que uma conta com essa permissão é comprometida todo o seu ambiente fica em eminente risco. A Microsoft recomenda que quando o acesso a recursos de Domain Admin for necessário, coloque temporariamente a conta no grupo. Quando o trabalho estiver concluído remova a conta em seguida.

Quando atacantes obtêm acesso a um sistema, eles podem se mover lateralmente dentro de uma rede para buscar permissões mais altas (administradores de domínio por exemplo). Basta um computador ou conta de usuário comprometida para um invasor comprometer uma rede inteira.

A limpeza do grupo Admins. Do Domínio é um excelente primeiro passo para aumentar a segurança da sua rede. Isso pode desacelerar o ataque de um invasor.

O processo para remover contas do grupo DA não é fácil. Sei em primeira mão que passei por esse processo recentemente. É muito comum ter muitas contas no grupo DA.

Você sabe exatamente quais usuários são administradores de domínio em seu ambiente de Active Directory? Quanto menos administradores você tiver, menor é a chance de uma conta com privilégio ser comprometida.

2. Cuidado com as contas de serviço

Tenho certeza de que o seu ambiente possui diversas contas de serviço. Isso mesmo, aquelas que executam uma tarefa, serviço, autenticação etc. Na maioria das vezes essas contas são utilizadas de forma que suas senhas nunca expiram e definitivamente isso pode ser um risco.

Aqui estão algumas dicas simples (Sei que há formas avançadas, mas o objetivo deste artigo é ser simplista) para melhorar a segurança das contas de serviço.

  • Use senhas fortes;
  • Evite dar direito administrativos;
  • Negue o logon local;
  • Negar logon em outros servidores;
  • Exigir que os fornecedores façam o software funcionar sem direitos de administrador de domínio;
3. Tenha ao menos duas contas (uma de administrador e uma de usuário comum)

Crie duas contas, uma conta regular sem direitos de administrador e uma conta privilegiada usada apenas para tarefas administrativas. Siga o modelo administrativo de menor privilégio, basicamente, isso significa que todos os usuários devem fazer logon com uma conta com permissões mínimas para concluir seu trabalho. Você deve usar uma conta regular de não administrador para tarefas diárias, como verificar e-mail, navegar na Internet, sistema de tickets e assim por diante. Você só usaria a conta privilegiada quando precisar executar tarefas administrativas, como criar um usuário no Active Directory, fazer login em um servidor, adicionar um registro DNS etc.

4. Monitore os eventos de Segurança do Active Directory

Aqui estão alguns eventos que você deve monitorar e revisar semanalmente.

  • Alterações em grupos privilegiados, como administradores de domínio, administradores corporativos e administradores de esquema;
  • Um aumento de tentativas incorretas de senha;
  • Um aumento nas contas bloqueadas;
  • Remoção de software antivírus;
  • Todos os processos executados por contas privilegiadas;
  • Eventos de logon / logoff de contas privilegiadas;
  • Uso de contas de administrador local;
5. Utilize o LAPS para administrar as senhas de administrador local

O LAPS é uma ferramenta da Microsoft que fornece gerenciamento de senha de conta local de computadores ingressados ​​no domínio. Ele definirá uma senha exclusiva para cada conta de administrador local e a armazenará no Active Directory para facilitar o acesso.

Essa é uma das melhores opções gratuitas para mitigação contra-ataques de hash e movimentação lateral.

6. Use uma estação de trabalho de administração segura

Uma estação de trabalho de administração segura é uma máquina dedicada que deve ser usada apenas para executar tarefas administrativas com sua conta privilegiada. Não deve ser usada para verificar e-mails ou navegar na internet por exemplo. Isso diminui o risco da sua senha ser comprometida caso você efetue o login em um ambiente de risco.

7. Limpe contas antigas de usuários e computadores do Active Directory

Definitivamente a última coisa que precisamos é que uma conta que não é mais utilizada seja comprometida. Tenha um processo de higienização de contas não utilizadas no Active Directory.

8. Não instale software ou funções adicionais em controladores de domínio

De nada adianta o seu Active Directory estar atualizado e você seguir todas as dicas de segurança possíveis se o seu AD possui softwares que não deveriam estar instalados neles. Sabemos que vulnerabilidades são encontradas todos os dias e o que aconteceria se uma dessas vulnerabilidades fossem encontradas em algum desses softwares?

9. Mantenha seu ambiente atualizado

Entendemos que todos os dias novas vulnerabilidades são encontradas e por incrível que pareça as mais exploradas não são as novas, e sim as antigas, pois boa parte dos ambientes não possuem um bom processo de atualização de seus servidores e estações de trabalho.

10. Tenha um plano de recuperação

Se sua rede estivesse comprometida hoje ou atingida com o Ransomware, o que você faria? Você tem uma política de resposta? Você já testou e treinou funcionários sobre como lidar com esse evento? Ter um bom plano de recuperação para o seu ambiente de Active Directory é essencial para garantir suas noites de sono.

Em muitas empresas quando iniciamos uma análise em seu ambiente percebemos que na maioria dos casos alguns pontos básicos de segurança não são atendidos o que compromete todo o seu ambiente. Entre em contato os especialistas da Redbelt Security e solicite uma visita. 

0

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *