Segurança do Active Directory

O que é segurança do Active Directory?

O Active Directory é um serviço de diretório oferecido pelo Microsoft Windows que ajuda os administradores a configurarem permissões e acesso à rede. O Active Directory do Microsoft Windows tem vários componentes, como os serviços de domínio, de certificados e de federação.

Os administradores de tecnologia da informação (TI) contam com esses serviços do Microsoft Active Directory para executar vários processos do dia a dia, como os fluxos de trabalho do controlador de domínio. Por exemplo, quando um usuário efetua login em um dispositivo conectado ao domínio, os controladores autenticam o nome e a senha dessa pessoa. Se o usuário for administrador do sistema, os controladores de domínio poderão conceder permissões extras.

A segurança do Microsoft Active Directory é importante para as empresas porque o serviço tem as “chaves do reino”, fornecendo acesso a sistemas, aplicações e recursos. Para manter as redes protegidas contra ciberataques, as empresas devem estar atentas às vulnerabilidades e entrarem em ação para fortalecer a segurança do Active Directory. Por exemplo, usar ferramentas de proteção e seguir as práticas recomendadas.

Motivos que explicam por que a segurança do Active Directory é fundamental

O principal fator que faz a segurança do AD ser extremamente importante na postura de segurança geral de uma empresa é que o Active Directory controla todo o acesso ao sistema. Com o gerenciamento efetivo do Active Directory, você protege as credenciais, aplicações e dados confidenciais da empresa contra acesso não autorizado. É importante ter o máximo de proteção para evitar que usuários maliciosos ataquem sua rede e causem danos.

Riscos ao negligenciar a segurança do AD

Quando negligenciamos a segurança do Active Directory, corremos o risco de sofrer os seguintes tipos de ciberataques e elevações:

• Os usuários maliciosos podem roubar as credenciais ou conseguir acesso usando malware e então monitorar sua atividade.
• Em seguida, os usuários maliciosos podem se infiltrar em outras contas e executar movimento lateral pelo sistema.
• Com amplo acesso à rede, os usuários maliciosos podem roubar dados ou corromper o sistema.

Desafios da recuperação na segurança do AD

Os maiores desafios relacionados à recuperação após um ataque de segurança ao Active Directory são identificar a fonte do comprometimento, determinar a extensão do dano e criar um novo ambiente seguro. De acordo com o Guia Completo de Proteção de Identidade da CrowdStrike, 90% das empresas da lista Fortune 1000 dependem do Microsoft Active Directory (AD), o que representa uma vasta superfície de ataque.

Os atores maliciosos costumam conseguir acesso à conta do usuário e permanecer escondidos para comprometer ainda mais o sistema. Quanto mais tempo um hacker passa despercebido no sistema, mais danos ele pode causar. Além disso, rastrear todas as áreas que esse invasor acessou é um desafio. Por isso, corrigir vulnerabilidades em um sistema atual pode ser ineficaz. As organizações com infraestruturas complexas ou mais antigas podem aproveitar a portabilidade das informações e contas de usuário mais importantes em um sistema novo e menor que permaneça seguro.

Por conta da importância da segurança do Active Directory, as organizações devem elaborar planos de recuperação de desastres. Assim, elas se preparam para agir rapidamente no caso de um ataque ao Active Directory . Com o monitoramento rigoroso de acessos não autorizados e a adoção de um plano, as organizações têm mais chances de impedir um ataque antes que o sistema seja corrompido ou se torne irreparável.

Vulnerabilidades no Active Directory

A melhor maneira de acompanhar os comprometimentos no Active Directory é usar um sistema de monitoramento de logs de eventos. De acordo com o relatório 2021 Data Breach Investigations da Verizon, 84% das organizações que sofreram um ataque tinham evidências desse problema no próprio log de eventos. Com o monitoramento da atividade nesses logs, as organizações podem detectar comprometimentos antes que mais danos aconteçam.

Ao monitorar os logs de eventos, procure por sinais de atividade suspeita, incluindo o seguinte:

• Atividade de contas privilegiadas: é comum que invasores explorem uma vulnerabilidade de privilégios e tentem fazer a elevação deles em uma conta de usuário comprometida. Por outro lado, você pode notar atividades que ocorrem fora do horário comercial em uma conta de usuário privilegiada ou um aumento repentino na quantidade de dados acessados por ela.
• Falhas de login: repetidas falhas de login em uma conta podem ser um sinal de que um ator de ameaças está tentando conseguir acesso.
• Logins remotos: os usuários maliciosos tentam acessar seu sistema remotamente com frequência. Se você notar um login de um endereço de protocolo de Internet (IP) em um país ou localidade diferente, isso pode ser um sinal de que o Active Directory foi comprometido.

Assim como há muitos sinais diferentes de comprometimento do Active Directory, os tipos de vulnerabilidade são diversos. Vamos dar uma olhada em algumas das vulnerabilidades mais comuns que os usuários maliciosos exploram.

Todos os usuários têm direitos para adicionar estações de trabalho ao domínio

Por padrão, qualquer usuário do domínio pode adicionar estações de trabalho a ele. O risco relacionado a essa configuração é que os usuários também podem conectar computadores pessoais para acessar o domínio corporativo. Muitas vezes, os computadores pessoais não têm a mesma proteção do seu software de detecção e resposta de endpoint ou antivírus. Além disso, as configurações e políticas da sua organização talvez não se apliquem à estação de trabalho adicionada. Essa configuração do Active Directory também possibilita que os usuários tenham privilégios administrativos nas próprias máquinas. Os privilégios administrativos locais em máquinas pessoais representam um risco à segurança, já que os usuários podem executar ações que comprometem outros sistemas na rede.

Para solucionar essa vulnerabilidade, ajuste o atributo “ms-DS-MachineAccountQuota” para limitar a capacidade de inclusão de computadores no domínio. Você pode atribuir a usuários específicos ou a um determinado grupo de usuários as permissões para criar contas de computador.

Muitos usuários em grupos privilegiados do Active Directory

O risco de comprometimento do domínio é maior quando você aumenta o número de usuários em um grupo de segurança privilegiado. Por exemplo, um grupo do Active Directory com administradores de domínio ou da empresa. Um administrador de domínio tem controle total sobre o domínio. Em geral, ele faz parte do grupo de administradores em todos os controladores, estações de trabalho e servidores membros do domínio. Como essas contas de usuário têm amplos privilégios de segurança, seu domínio pode acabar comprometido se um ator de ameaças roubar as credenciais dos usuários que estão nesses grupos de segurança.

Para solucionar essa vulnerabilidade, verifique com frequência as políticas e definições de gerenciamento de políticas de grupo e controle de acesso privilegiado. Garanta que os usuários tenham apenas as permissões necessárias para realizar o trabalho deles. Só adicione usuários a esses grupos de segurança privilegiados quando essencial para evitar que eles fiquem muito grandes.

Política de senhas frágil

Há diferentes maneiras de encontrar o melhor equilíbrio entre segurança e comodidade com relação às senhas. Se uma organização exige que os usuários criem senhas complexas e as alterem com frequência, eles podem se esquecer das informações e armazenar as senhas de forma não segura. Se uma organização permite senhas menos complexas, os hackers podem conseguir acesso ao sistema com mais facilidade.

Para solucionar essa vulnerabilidade, as organizações precisam definir uma política cautelosa de senha e garantir que haja outros controles de segurança para o caso de comprometimentos. Por exemplo, quando o gerenciador de direitos de acesso precisar acionar uma redefinição de senha para um usuário do Active Directory, você também deverá ter controles de segurança para verificar a identidade do usuário.

Melhores ferramentas para garantir a segurança do Active Directory

Use ferramentas de segurança para garantir a proteção do Active Directory e monitorar a integridade do sistema. Os principais benefícios delas são comodidade, automação e segurança reforçada. Muitas ferramentas do Active Directory oferecem uma interface mais fácil de usar para executar tarefas administrativas, podem automatizar processos como a limpeza de contas abandonadas e reforçam a segurança por meio de monitoramento e alertas.

Como o Active Directory é um serviço grande com muitas aplicações, as ferramentas dele variam em termos de finalidade e escopo. As opções disponíveis incluem programas gratuitos que monitoram sinais básicos de ataque e serviços robustos que fornecem recursos completos de detecção e prevenção de ameaças. Para comparar os benefícios das ferramentas disponíveis do Active Directory, primeiro defina seu orçamento e depois pense nas funcionalidades que são mais importantes para sua organização. Considere os processos que mais consomem tempo ou apresentam mais riscos para sua organização e escolha uma ferramenta que atenda a essas necessidades.

Na hora de escolher a ferramenta de segurança do Active Directory ideal para sua organização, procure uma opção que tenha algumas das funcionalidades a seguir:

• Automação para criação de contas de usuário e grupos de segurança
• Análise de permissões de usuários
• Análise de vulnerabilidades, como contas abandonadas
• Auditoria do Active Directory para verificar alterações em parâmetros
• Avaliação gratuita para testar se a ferramenta serve para sua organização

Você também pode realizar uma avaliação técnica de riscos para identificar vulnerabilidades e configurações fracas que prejudicam a integridade do Active Directory. Com base nos resultados, é possível determinar as áreas de segurança que precisam de mais suporte e identificar as ferramentas que podem ajudar.

Não se esqueça de que as ferramentas completas de detecção de ameaças são mais econômicas para sua empresa quando permitem a realocação de recursos para outras tarefas. Elas podem monitorar automaticamente as atividades suspeitas e reduzir o tempo necessário para resolver incidentes. Quando a ferramenta faz o trabalho pesado, a equipe pode se concentrar em outras tarefas que agregam valor aos negócios.

Práticas recomendadas de segurança do Active Directory

Muitos usuários maliciosos atacam seu sistema usando credenciais comprometidas. Por isso, é importante seguir as práticas recomendadas do Active Directory para evitar riscos de segurança desnecessários. A melhor maneira de proteger o Active Directory é tomar as medidas de segurança a seguir:

• Ajuste as configurações de segurança padrão para atender às necessidades da sua organização.
• Use processos de backup e recuperação.
• Centralize o gerenciamento e a geração de relatórios de segurança.

1. Ajuste as configurações de segurança padrão

Algumas configurações padrão do Active Directory concedem privilégios desnecessários aos usuários da organização. Por exemplo, a configuração que permite que todos os usuários adicionem estações de trabalho ao domínio. Ao instalar o Active Directory, verifique as configurações de segurança e faça alterações para atender às necessidades da organização. Você também deve revisar todas as permissões de usuário para garantir que esteja concedendo apenas o nível mínimo de acesso necessário.

Ao limitar as permissões, os usuários maliciosos têm menos chances de conseguir acesso privilegiado, e é menos provável que os funcionários da sua organização abusem dos privilégios. Para ajustar as configurações de segurança padrão, você pode alterar manualmente os valores dos atributos e permissões ou usar as ferramentas do Active Directory voltadas para essa finalidade.

2. Use processos de backup e recuperação

A medida mais importante de backup do Active Directory é garantir que esse processo seja realizado com frequência e pelo menos a cada 60 dias. O tempo de vida dos objetos de marca de exclusão do Active Directory é de 60 dias. Para evitar erros relacionados a objetos de marca de exclusão expirados, realize o backup do Active Directory em um período menor do que 60 dias. Outra prática recomendada é ter mais de um backup armazenado em diferentes locais para o caso de comprometimento de um deles.

A medida mais importante de recuperação para proteger o Active Directory é elaborar um processo de recuperação de desastres. Ele deve indicar as etapas que a equipe de segurança precisa seguir para se recuperar de um ataque. Você também precisa considerar a sequência e as dependências da recuperação: por exemplo, um controlador de domínio deve ser recuperado antes que outras máquinas.

3. Centralize o gerenciamento da segurança e a geração de relatórios de segurança.

Ao centralizar o gerenciamento e a geração de relatórios de segurança, as organizações contam com uma equipe dedicada que é responsável pela segurança do Active Directory. Esses funcionários podem ganhar experiência e responder a ataques com rapidez. Além disso, com uma ferramenta completa de detecção de ameaças, a equipe de segurança pode verificar e monitorar o sistema usando um programa que permite investigar alertas com rapidez.

Detecção de ameaças usando a CrowdStrike

Reforçar a segurança do Active Directory é importante para proteger sua empresa contra ciberataques. Como as táticas e ferramentas dos usuários maliciosos mudam com o tempo, as equipes de TI precisam ficar por dentro das novas ameaças e monitorar continuamente os sinais de comprometimento.

Com o CrowdStrike Falcon® Next-Gen Identity Security, você detecta ameaças baseadas em identidade em tempo real usando a inteligência artificial e a análise de comportamento. Assim, é possível impedir ataques modernos, como ransomware. Ao usar essa ferramenta de detecção de ameaças, as equipes de TI têm uma noção completa das contas da rede, identificam atividades suspeitas e respondem rapidamente às ameaças. A CrowdStrike oferece uma avaliação gratuita para você testar o serviço de segurança na nuvem.