Curso Gratuito Microsoft + Certificado

>> Para receber o link do curso preencha o campo ao lado.

Active Directory Leonardo Duarte

As 25 melhores práticas recomendadas de segurança do Active Directory

As 25 melhores práticas recomendadas de segurança do Active Directory

Essa é a lista mais abrangente de dicas e práticas recomendadas de segurança do Active Directory que você encontrará.

Neste guia, compartilharei minhas dicas sobre como proteger administradores de domínio, administradores locais, políticas de auditoria, monitoramento de AD para comprometimento, políticas de senha, verificação de vulnerabilidades e muito mais.










1. Limpar o grupo de administradores do domínio

Não deve haver contas de usuário do dia a dia no grupo Admins. Do Domínio, a única exceção é a conta de Administrador de Domínio padrão.

Os membros do grupo DA são poderosos. Eles possuem direitos de administrador local em todos os sistemas associados ao domínio (estação de trabalho, servidores, laptops, etc.).

Isto é o que os bandidos estão atrás.

A Microsoft recomenda que, quando o acesso DA for necessário, você coloque temporariamente a conta no grupo DA. Quando o trabalho estiver concluído, você deve remover a conta do grupo DA.

Esse processo também é recomendado para os grupos Admins da empresa, Administradores de backup e Administradores de esquemas.

Qual é o grande problema?

Está se tornando mais fácil para os atacantes obterem ou violarem credenciais de usuários.

Quando os invasores obtêm acesso a um sistema, eles podem se mover lateralmente dentro de uma rede para buscar permissões mais altas (administradores de domínio).

Um método de fazer isso é chamado de passar o hash.

Passar o hash permite que um invasor use o hash de senha para autenticar em sistemas remotos em vez da senha normal.

Esses hashes podem ser obtidos de computadores de usuários finais.

Assustador certo?

Só é preciso um computador ou uma conta de usuário para um invasor comprometer uma rede.

Limpar o grupo Admins. Do Domínio é um excelente primeiro passo para aumentar a segurança da sua rede. Isso pode desacelerar desafiadoramente um invasor.

O processo para remover contas do grupo DA não é fácil. Eu sei em primeira mão como eu recentemente passei por este processo. É muito comum ter muitas contas no grupo DA.

As coisas vão quebrar então esteja preparado.

Antes de começar a remover as contas deste grupo, documente e revise as contas com sua equipe.

Então, lentamente, comece a remover as contas uma por uma. Pode ser um processo doloroso, mas vale a pena.

Esta é uma grande conquista e reduzirá muito sua superfície de ataque.

2. Use pelo menos duas contas (conta regular e de administração)

Você não deve fazer login todos os dias com uma conta que seja um administrador local ou tenha acesso privilegiado (Administrador do domínio).

Em vez disso, crie duas contas, uma conta normal sem direitos de administrador e uma conta privilegiada que seja usada apenas para tarefas administrativas.

MAS

Não coloque sua conta secundária no grupo Admins. Do Domínio, pelo menos permanentemente.

Em vez disso, siga o modelo administrativo de privilégio mínimo . Basicamente, isso significa que todos os usuários devem fazer logon com uma conta que tenha as permissões mínimas para concluir seu trabalho.

Você pode ler em outros artigos e fóruns para colocar sua conta secundária no grupo Admins. Do Domínio.

Esta não é uma prática recomendada da Microsoft e aconselho contra isso. Mais uma vez temporário é OK, mas ele precisa ser removido assim que o trabalho é feito.

Você deve usar uma conta regular não admin para tarefas do dia a dia, como verificar e-mails, navegar na Internet, sistema de tickets e assim por diante. Você só usaria a conta privilegiada quando precisar executar tarefas administrativas, como criar um usuário no Active Directory, efetuar login em um servidor, adicionar um registro DNS etc.

Veja estes dois cenários.

Cenário 1 – Equipe de TI com direitos de domínio

Steve entra em seu computador com uma conta privilegiada, verifica seu e-mail e, inadvertidamente, baixa um vírus. Como Steve é ??um membro do grupo DA, o vírus tem todos os direitos sobre o computador, todos os servidores, todos os arquivos e todo o domínio. Isso pode causar sérios danos e resultar na queda de sistemas críticos.

Agora, pegue o mesmo cenário, mas desta vez Steve está logado com sua conta regular não admin.

Cenário 2 – Equipe de TI com direitos regulares

Steve verifica seu e-mail e, inadvertidamente, faz o download de um vírus. O vírus tem acesso limitado ao computador e não tem acesso ao domínio ou a outros servidores. Isso causaria danos mínimos e impediria que o vírus se espalhasse pela rede.

Simplesmente usando uma conta regular, você pode aumentar a segurança e evitar causar sérios danos.

É muito fácil delegar tarefas administrativas sem conceder direitos de administrador de domínio à equipe. Aqui estão algumas tarefas comuns que podem ser delegadas a uma conta de administrador secundária.

  • Direitos para Usuários e Computadores do Active Directory
  • DNS
  • DHCP
  • Direitos de administrador local em servidores
  • Política de grupo
  • Troca
  • Direitos de administrador local em estações de trabalho
  • Administração do Vsphere ou Hyper-v

Algumas organizações usam mais de duas contas e usam uma abordagem em camadas. Esta é desafiadoramente mais seguro, mas pode ser um inconveniente para alguns.

  • Conta regular
  • Conta para a administração do servidor
  • Conta para administração de rede
  • Conta para a administração de estação de trabalho

Usando duas contas e implementando o modelo menos privilegiado administrativo, você reduzirá muito os riscos de segurança e evitará situações como o cenário 1.

3. Proteger a conta do administrador de domínio

Todo domínio inclui uma conta Administrador, por padrão, essa conta é um membro do grupo Admins. Do Domínio.

A conta interna Administrador deve ser usada apenas para a configuração do domínio e recuperação de desastres (restaurando o Active Directory).

Qualquer pessoa que precise de acesso de nível administrativo a servidores ou ao Active Directory deve usar sua própria conta individual.

Ninguém deve saber a senha da conta do administrador de domínio. Defina uma senha muito longa com mais de 20 caracteres e bloqueie-a em um cofre. Novamente, a única vez que isso é necessário é para fins de recuperação.

Além disso, a Microsoft tem várias recomendações para proteger a conta de administrador interna. Essas configurações podem ser aplicadas à política de grupo e aplicadas a todos os computadores.

  • Ativar a conta é sensível e não pode ser delegada.
  • Ativar o cartão inteligente é necessário para logon interativo
  • Negar acesso a este computador pela rede
  • Negar logon como trabalho em lotes
  • Negar logon como um serviço
  • Negar logon usando o RDP

Para obter mais detalhes sobre como proteger a conta de administrador de domínio, consulte este artigo da Microsoft,  Protegendo contas de administrador incorporadas no Active Directory

4. Desativar a conta de administrador local (em todos os computadores)

A conta de administrador local é uma conta bem conhecida em ambientes de domínio e não é necessária.

Não é necessário, isso é verdade?

sim

Você deve estar usando uma conta individual que tenha os direitos necessários para concluir as tarefas.

Qual é o problema com a conta de administrador local?

Dois problemas

  1. É uma conta bem conhecida, mesmo que o SID seja o mesmo e seja bem conhecido pelos invasores.
  2. É frequentemente configurado com a mesma senha em todos os computadores no domínio.

Os atacantes só precisam comprometer um sistema e agora eles têm direitos de administrador local em todos os computadores do domínio.

Se você precisar realizar tarefas administrativas no computador (instalar o software, excluir arquivos, etc), deverá fazê-lo com sua conta individual, não com a conta de administrador local.

Mesmo se a conta estiver desativada, você poderá inicializar no modo de segurança e usar a conta de administrador local.

Como administrador, sei que essas práticas recomendadas nem sempre são práticas ou apresentam um grande inconveniente.

E se a rede estiver inativa ou a placa NIC tiver morrido, e se você precisar soltá-la do domínio e adicioná-la novamente? Existem maneiras de contornar isso, mas pode realmente atrasá-lo.

Se você não pode desativar a conta, aqui estão as recomendações para proteger a conta. Uma alternativa melhor é usar a ferramenta Microsoft LAPS (abordada abaixo na dica nº 5)

  • Negar acesso a este computador pela rede
  • Negar logon como um trabalho em lotes
  • Negar logon como um serviço
  • Negar logon usando o RDP

Para obter mais detalhes, consulte o seguinte artigo,  Protegendo contas e grupos de administradores locais

5. Use a Solução de Senha do Administrador Local (LAPS)

O administrador local Password Solution (LAPS) está se tornando uma ferramenta popular para lidar com a senha de administrador local em todos os computadores.

LAPS é uma ferramenta da Microsoft que fornece gerenciamento de senha de conta local de computadores associados ao domínio. Ele irá definir uma senha única para cada conta de administrador local e armazená-lo no Active Directory para facilitar o acesso.

Esta é uma das melhores opções gratuitas para mitigação contra ataques de hash e movimento lateral de computador para computador.

É muito comum que as organizações implantem o Windows usando um sistema baseado em imagem. Isso faz com que seja rápido implantar uma configuração padrão em todos os dispositivos.

Mas..

Isso geralmente significa que a conta do administrador local será a mesma em todos os computadores. Como a conta de Administrador local tem todos os direitos sobre tudo no computador, basta que um deles seja comprometido e, em seguida, o hacker pode acessar todos os sistemas.

O LAPS baseia-se na infra-estrutura do Active Directory, portanto, não há necessidade de instalar servidores adicionais.

A solução usa a extensão do lado do cliente da política de grupo para executar todas as tarefas de gerenciamento nas estações de trabalho. É suportado no Active Directory 2003 SP1 e superior e no cliente Vista Service Pack 2 e superior.

Se você precisar usar a conta de administrador local em um computador, você recuperará a senha do diretório ativo e ela será exclusiva desse único computador.

Para obter instruções passo a passo sobre como instalar o LAPS, consulte este artigo, Como instalar a solução de senha de administrador local (LAPS)

6. Use uma estação de trabalho de administração segura (SAW)

Uma estação de trabalho administrativa segura é um sistema dedicado que deve ser usado apenas para executar tarefas administrativas com sua conta privilegiada.

Não deve ser usado para verificar emails ou navegar na Internet. Na verdade … nem deveria ter acesso à internet.

Que tarefas você faria em um SAW? 

  • Administração do Active Directory
  • Política de grupo
  • Gerenciando Servidores DNS e DHCP
  • Qualquer tarefa que requeira direitos de administrador em servidores
  • Direitos de administrador para sistemas de gerenciamento, como VMware, Hyper-v, Citrix
  • Administração do Office 365

Você entendeu a ideia.

Basicamente, quando você precisa usar sua conta privilegiada para executar tarefas administrativas, você deve fazer isso de um SAW.

As estações de trabalho de uso diário são mais vulneráveis ??ao comprometimento de passar o hash, ataques de phishing, sites falsos, keyloggers e muito mais.

Usando uma estação de trabalho segura para sua conta elevada fornece proteção muito maior contra esses vetores de ataque.

Como os ataques podem vir de internos e externos, é melhor adotar uma postura de segurança de violação.

Devido às contínuas ameaças e mudanças na tecnologia, a metodologia de como implantar um SAW continua mudando. Há também PAW e jump servers para torná-lo ainda mais confuso.

Aqui estão algumas dicas para ajudar você a começar:

  • Use uma instalação limpa do SO (use o sistema operacional Windows mais recente)
  • Aplicar endurecimento da linha de base de segurança (Veja dica nº 25)
  • Ativar criptografia de disco completo
  • Restringir portas USB
  • Use o firewall pessoal
  • Bloquear internet
  • Use uma VM – Terminal Server funciona bem
  • Software mínimo instalado
  • Use dois fatores ou cartão inteligente para acessar
  • Restringir sistemas para aceitar apenas conexões do SAW

Aqui está o meu fluxo de trabalho típico usando um SAW:

  1. Faça login no meu computador com minha conta normal para verificar e-mails e ver novas solicitações de suporte. Eu tenho um pedido para dar um usuário permissões para uma pasta compartilhada.
  2. Eu vou entrar no meu SAW com minha conta privilegiada que tem direitos para modificar a associação do grupo AD e adicionar o usuário ao grupo de segurança AD necessário.

Bem direto, certo?

Pode parecer um incômodo, mas eu realmente acho mais conveniente assim. Eu posso remoto em quando fora da rede e ter um servidor que tem todas as ferramentas que eu preciso. Eu também não tenho que me preocupar com a reinstalação de todo o meu software de suporte se eu precisar refazer a imagem do meu computador.

Recursos:

https://docs.microsoft.com/pt-br/windows-server/identity/securing-privileged-access/privileged-access-workstations

7. Habilitar configurações de diretiva de auditoria com diretiva de grupo

Assegure-se de que as seguintes configurações de Política de Auditoria estejam configuradas na política de grupo e aplicadas a todos os computadores e servidores.

Configuração do Computador -> Políticas – Configurações do Windows -> Configurações de Segurança -> Configuração Avançada da Política de Auditoria

Logon da conta

Assegure-se de que ‘Validação de Credencial de Auditoria’ esteja definida como ‘Sucesso e Falha’

Gerenciamento de conta

Auditoria ‘Application Group Management’ está definida como ‘Success and Failure’
Auditoria ‘Computer Account Management’ está definida como ‘Success and Failure’
Audit ‘Outros Eventos de Gerenciamento de Contas’ está definida como ‘Success and Failure’
Audit ‘Security Group Management’ é definido como ‘Success and Failure’
Auditoria ‘User Account Management’ está definido como ‘Success and Failure’

Acompanhamento Detalhado

Auditoria ‘PNP Activity’ está definida como ‘Success’
Audit ‘Process Creation’ está definida como ‘Success’

Logon / Logoff

Auditoria ‘Bloqueio de Conta’ está definido como ‘Sucesso e Falha’
Auditoria ‘Associação de Grupo’ está definido como ‘Sucesso’
Auditoria ‘Logoff’ está definido como ‘Sucesso’
Auditoria ‘Logon’ está definido como ‘Sucesso e Falha’
Auditoria ‘Outro Logon / Logoff Events ‘está definido como’ Success and Failure ‘
Auditoria’ Special Logon ‘está definido como’ Success ‘

Acesso ao Objeto

Auditoria ‘Armazenamento Removível’ está definido como ‘Sucesso e Falha’

Mudança de Política

Auditoria ‘Alteração de política de auditoria’ está definida como ‘Sucesso e Falha’
Auditoria ‘Alteração de política de autenticação’ está definida como ‘Sucesso’
Auditoria ‘Alteração de política de autorização’ está definida como ‘Sucesso’

Uso de Privilégios

Auditoria ‘Uso de Privilégio Sensível’ está definido como ‘Sucesso e Falha’

Sistema

Auditoria ‘IPsec Driver’ está definido como ‘Success and Failure’
Auditoria ‘Other System Events’ está definido como ‘Success and Failure’
Auditoria ‘Security State Change’ está definido como ‘Success’
Auditoria ‘Security System Extension’ está definido como ‘Success e Falha ‘
Auditoria’ Integridade do Sistema ‘está definida como’ Sucesso e Falha ‘

A atividade maliciosa geralmente começa nas estações de trabalho; se você não estiver monitorando todos os sistemas, poderá estar perdendo sinais precoces de um ataque.

Na próxima seção, abordarei quais eventos você deve monitorar.

8. Monitore os eventos do Active Directory em busca de sinais de comprometimento

Você deve monitorar os seguintes eventos do Active Directory para ajudar a detectar comprometimento e comportamento anormal na rede.

Aqui estão alguns eventos que você deve monitorar e revisar semanalmente.

  • Alterações em grupos privilegiados, como administradores de domínio, administradores corporativos e administradores de esquemas
  • Um pico nas tentativas de senha incorreta
  • Um aumento nas contas bloqueadas
  • Bloqueios de conta
  • Desativado ou remoção de software antivírus
  • Todos os ativos realizados por contas privilegiadas
  • Eventos de Logon / Logoff
  • Uso de contas de administrador local

Como você monitora eventos no Active Directory?

A melhor maneira é coletar todos os logs em um servidor centralizado, em seguida, usar o software de análise de log para gerar relatórios.

Alguns analisadores de logs vêm pré-compilados com relatórios de segurança do Active Directory e outros que você precisará para construí-los.

Aqui estão alguns dos analisadores de log mais populares.

Com um bom analisador de logs, você poderá detectar rapidamente atividades suspeitas em seu ambiente do Active Directory.

Aqui estão algumas imagens de um analisador que eu uso. A primeira captura de tela mostra um pico nos bloqueios de conta.

Isso definitivamente não é normal.

Nesta captura de tela, você pode ver um grande aumento nas falhas de logon. Sem um analisador de log, esses eventos seriam difíceis de detectar.

 

9. Complexidade de senha é uma porcaria (use senhas em vez disso)

8 caracteres com complexidade não são mais uma senha segura. Em vez disso, use no mínimo 12 caracteres e treine os usuários em senhas.

Quanto mais longa for a senha, melhor.

Passphrases são simplesmente duas ou mais palavras aleatórias juntas. Você pode adicionar números e caracteres, se quiser, mas eu não faria disso uma exigência.

Estudos mostram que, quando você exige complexidade, ela é usada em um padrão semelhante e depois é repetida. Os hackers descobriram isso e agora há listas enormes de senhas (disponíveis gratuitamente) que contêm milhões de senhas fáceis de adivinhar.

Conhece alguém que usa senhas assim?

S @ mmer2018 ou Winter2018! Junho de 2018

Estas são uma péssima senha e são fáceis de adivinhar.

Senhas longas e usando a técnica de senha tornam mais difícil para o software de quebra de senhas e para os hackers adivinharem.

Melhor política de senha

  • Definir senhas de 12 caracteres
  • Lembre-se de 10 histórico de senha
  • use senhas
  • Política de bloqueio 3 tentativas

A chave para usar passphrases é ser totalmente aleatória com cada palavra, você não quer digitar uma frase onde a próxima palavra pode ser adivinhada.

Boas senhas usando senhas

Bucketguitartire22
Screenjugglered
RoadbluesaltCloud

Os exemplos acima são totalmente aleatórios. Isso levaria muito tempo para decifrar e, provavelmente, ninguém os adivinharia.

Exemplos de frase com senha incorreta

Ireallylikepizza22
Theskyisblue44

O NIST  atualizou recentemente suas diretrizes de política de senha na  Publicação Especial 800-63 para abordar novos requisitos para políticas de senha.

Se a sua organização tiver que atender a certos padrões, certifique-se de que esses padrões suportem essas recomendações de senha.

Também não se esqueça de atualizar sua política escrita de empresas.

10. Use nomes de grupo de segurança descritivos

Antes de mais nada, certifique-se de aplicar permissões a recursos com grupos de segurança não contas individuais, o que facilita muito o gerenciamento de recursos.

Em seguida, não nomeie seus grupos de segurança com um nome genérico como helpdesk ou HR Training.

Quando você tiver nomes genéricos como esse, eles serão usados ??em todos os tipos de recursos e você perderá todo o controle de segurança.

E não há uma maneira fácil de ver a que todos os grupos de segurança têm permissões. Sim, existem ferramentas que você pode executar, mas se você tiver um ambiente de tamanho médio ou grande, isso será uma tarefa enorme.

Aqui está um exemplo recente de como isso pode ficar fora de controle (história real).

Eu estava trabalhando com um cliente na limpeza de permissões para o Active Directory. Lá, onde vários grupos de segurança tinham permissões delegadas para o Active Directory.

Havia um grupo chamado helpdesk, outro grupo IS Support e mais um chamado AD Modify.

Fiquei com a impressão de que apenas a equipe do Helpdesk tinha direitos sobre o Active Directory para redefinir senhas e desbloquear contas.

Venha descobrir que esses grupos foram usados ??para outros recursos, como o software de helpdesk, compartilhamento de rede e impressoras. Por isso, incluiu vários funcionários de TI.

Depois que removi esses grupos, recebi telefonemas de programadores e analistas de negócios perguntando por que eles não podiam mais redefinir senhas de usuários. Por que diabos os programadores estão redefinindo senhas de usuários?

Limpar o nome preciso do grupo de segurança teria evitado que isso acontecesse.

Se você não nomear o grupo de segurança de forma específica, ele poderá capturar todas as permissões para muitas outras coisas.

Aqui estão alguns bons exemplos de como nomear grupos.

Exemplo 1: permitir que o helpdesk redefina senhas

Nome do grupo de segurança: IT-Helpdesk-ActiveDirectory

Como o nome do grupo é preciso, isso ajudaria a impedir que ele seja usado em outros recursos, como uma impressora ou um compartilhamento de rede.

Exemplo 2: permitir direitos de RH para uma pasta compartilhada

Nome do grupo de segurança: HR-Training-Folder-RW

Novamente, isso tem um nome muito específico e ajuda a identificar para o que deve ser usado.

Você pode criar sua própria convenção de nomenclatura apenas específica com o nome e evitar nomes genéricos de um grupo de palavras.

 










11. Limpar o antigo usuário do Active Directory e contas de computador

Você precisa ter um procedimento para detectar contas de usuário e computador não usadas no Active Directory.

Você não quer um monte de contas não utilizadas no Active Directory esperando por um invasor para descobrir e usar.

Isso também pode causar problemas com relatórios, correções e lentidão na política de grupo.

Eu corro um processo a cada mês para detectar e remover contas não utilizadas.

Aqui está um guia passo a passo que escrevi sobre como limpar contas antigas no Active Directory. 

12. NÃO instale software ou funções adicionais em controladores de domínio

Os controladores de domínio devem ter software e funções limitados instalados neles.

Os controladores de domínio são essenciais para a empresa; você não quer aumentar os riscos de segurança com software adicional sendo executado neles.

O Windows Server Core é uma ótima opção para executar a função DC e outras funções, como DHCP, DNS, servidores de impressão e servidores de arquivos.

O Núcleo do Servidor é executado sem uma GUI e requer menos patches de segurança devido ao seu tamanho reduzido.

Eu tenho funcionado em vários clientes por anos e tem sido uma ótima escolha. Muito estável

Mais software, mais funções = aumento dos riscos de segurança.

Mantenha seus DCs enxutos e limpos.

13. Continua o gerenciamento de patches e a verificação de vulnerabilidades

Os atacantes são rápidos para explorar vulnerabilidades conhecidas.

Se você não examinar e corrigir regularmente as vulnerabilidades descobertas, estará correndo um risco muito maior de compor.

Há um grande número de ferramentas de vulnerabilidade e varredura disponíveis, veja minha lista dos 6 principais softwares de gerenciamento de patches comparados .

Dicas para continuar o gerenciamento de vulnerabilidades

  • Analise todos os sistemas pelo menos uma vez por mês para identificar todas as vulnerabilidades potenciais. Se você pode digitalizar com mais freqüência do que isso é ainda melhor.
  • Priorize a descoberta das verificações de vulnerabilidades e primeiro corrija aquelas que têm vulnerabilidades conhecidas em estado natural.
  • Implantar atualizações de software automatizadas em sistemas operacionais
  • Implante automatizado atualizado para software de terceiros
  • Identifique softwares desatualizados que não são mais suportados e os atualize.

14. Use os serviços DNS para bloquear domínios maliciosos

Você pode impedir que um grande volume de tráfego mal-intencionado entre em sua rede, bloqueando pesquisas de DNS mal-intencionadas.

Sempre que um sistema precisar acessar a Internet, na maioria dos casos, ele usará um nome de domínio.

Os computadores conversam entre si por endereço IP para que os computadores usem o DNS para mapear um nome de domínio para um endereço IP.

Existem vários serviços disponíveis que verificam as consultas DNS em busca de domínios mal-intencionados e os bloqueiam.

Como é que isso funciona?

Esses serviços de DNS coletam informações sobre domínios mal-intencionados de várias fontes públicas e privadas. Quando recebe uma consulta por um domínio que foi sinalizado como malicioso, ele bloqueará o acesso quando o sistema tentar entrar em contato com eles.

Aqui está um exemplo:

 

Etapa 1: o cliente clica em um link que vai para example.net

Etapa 2: o cache local é verificado

Etapa 3: O serviço DNS verifica se o domínio está em sua lista de ameaças, portanto, ele retorna uma resposta de bloqueio.

No exemplo acima, desde que a consulta DNS retornou um bloco, nenhum tráfego mal-intencionado entrou na rede.

Aqui estão alguns dos serviços DNS seguros mais populares

Quad9 
OpenDNS 
Comodo Secure DNS

Atualmente estou usando o Quad9, é grátis e fácil de configurar.

Além disso, a maioria dos sistemas IPS (Intrusion Prevention Systems) oferece suporte à capacidade de verificar pesquisas de DNS em relação a uma lista de domínios mal-intencionados.

15. Execute a infraestrutura crítica no sistema operacional Windows mais recente

Com cada nova versão do sistema operacional Windows, a Microsoft inclui recursos de segurança incorporados e aprimoramentos.

Apenas ficar no SO mais recente aumentará a segurança geral.

Novos recursos de segurança no servidor 2016

  • Máquinas Virtuais Blindadas
  • Apenas suficiente administração
  • Headless Windows Defender
  • Guarda de credencial
  • Guarda de dispositivo

Aqui está um bom vídeo da Microsoft no Windows Server 2016 Security.

16. Use a autenticação de dois fatores para acesso remoto

As contas comprometidas são muito comuns e isso pode fornecer aos invasores acesso remoto aos seus sistemas por meio de VPN, Citrix ou outros sistemas de acesso remoto.

Verifique seus logs do Office 365 ou ADFS, você ficará surpreso com quantas tentativas de login estão vindo da China e da Rússia.

Uma das melhores maneiras de se proteger contra contas comprometidas é a autenticação de dois fatores. Isso também ajudará contra ataques de spaying de senha.

Digamos que um usuário tenha sofrido uma tentativa de phishing que pediu ao usuário para verificar seu nome de usuário e senha.

Agora, o invasor tem credenciais de usuários do Active Directory. O invasor agora pode obter acesso a vários sistemas de qualquer lugar.

Se o usuário tiver dois fatores ativados, isso poderá impedir o acesso, mesmo que a conta tenha sido comprometida. O invasor precisaria do segundo conjunto de credenciais para se conectar.

Não há como impedir que as contas sejam comprometidas, pois há muitas maneiras de os invasores obterem as credenciais.

Se você estiver usando o Office 365 e dependendo de qual pacote você tem MFA pode ser incluído. Aproveite este recurso.

Soluções de autenticação de dois fatores populares

17. Monitore os logs do DHCP para dispositivos conectados

Você deve saber o que está conectado à sua rede, se você tiver vários locais com muitos usuários e computadores, isso pode ser um desafio.

Existem maneiras de impedir que apenas dispositivos autorizados se conectem, mas isso pode custar caro e muito trabalho para configurar. Se você tem os recursos, então esse é o caminho a percorrer.

Outro método que já está disponível para você é monitorar os registros do DHCP para dispositivos conectados.

Você deve ter todos os dispositivos de usuário final configurados para usar o DHCP. Você pode então olhar os logs para ver o que está se conectando. Você deve ter uma convenção de nomenclatura para seu equipamento, isso facilitará a identificação de possíveis dispositivos não autorizados.

Na captura de tela abaixo, posso identificar facilmente um dispositivo que não segue a convenção de nomenclatura do computador.

minint-1bdvd67 não é algo que reconheço. Vou precisar de olhar para isto e ver se é um dispositivo autorizado.

18. Monitore os logs de DNS para ameaças de segurança

A maioria das conexões começa com uma consulta DNS. Todos os sistemas associados ao domínio devem ser configurados para usar o servidor DNS local do Windows.

Com essa configuração, você pode registrar todas as pesquisas de DNS internas e externas. Quando um dispositivo cliente faz uma conexão com um site mal-intencionado, ele registra esse nome no log de DNS.

Esses domínios maliciosos geralmente são domínios de caracteres aleatórios ímpares que criam sinalizadores vermelhos.

Aqui estão algumas capturas de tela de pesquisas de DNS suspeitas dos meus registros. Estes aparecem repetidamente em meus logs para um punhado de dispositivos.

Eu duvido seriamente que um usuário esteja tentando entrar neste site intencionalmente. Esses tipos de pesquisa precisam ser investigados para determinar se são maliciosos ou não.

Para visualizar as pesquisas de DNS, primeiro você precisa habilitar os logs de depuração do DNS nos servidores do Windows.

Etapas para habilitar logs de depuração do DNS no Windows Server

Etapa 1: abra o console de gerenciamento de DNS

Etapa 2: clique com o botão direito e selecione propriedades

Etapa 3: Clique na guia Debug Logging

Etapa 4: Marque a caixa “Registrar pacotes para depuração

Depois de ter a configuração dos registros de depuração, você pode importar esses registros para um analisador para detectar rapidamente atividades maliciosas.

Você também pode converter o arquivo de log em um csv para facilitar a leitura e o filtro.

19. Use os Recursos de Segurança ADFS e Azure mais recentes

O ADFS e o Azure possuem alguns ótimos recursos de segurança. Esses recursos ajudarão na pulverização de senhas, no comprometimento da conta, no phishing e assim por diante.

Não importa em que nível do office 365 você esteja, há alguns recursos que você deve investigar.

Naturalmente, as assinaturas premium têm os melhores recursos de segurança.

Mas

A Microsoft melhora e adiciona novos recursos em todos os níveis (pelo menos é o que eu notei desde o Office 365).

Aqui estão alguns recursos que valem a pena investigar:

  • Bloqueio Inteligente – Usa algoritmos para detectar atividade de logon incomum.
  • Bloqueio de IP – Usa o banco de dados da Microsoft de endereços IP mal-intencionados conhecidos para bloquear o logon.
  • Simulações de ataque – Você deve fazer testes regulares de phishing para ajudar a treinar os usuários finais. A Microsoft lançará o software simulador de phishing em breve.
  • Autenticação MFA – solução de fator 2 da Microsoft
  • Senhas banidas – Verifica senhas em uma lista conhecida
  • Azure AD Connect Health – fornece vários bons relatórios
  • Senhas inválidas personalizadas – Capacidade de adicionar senhas banidas personalizadas para verificação.

Atualmente, estou executando uma instalação do Office 365 híbrido. No azul, posso ver vários sinais arriscados nos relatórios.

O Azure me alertou sobre uma placa que veio da China de uma de nossas contas.

Alguns desses recursos estão disponíveis com a versão mais recente do ADFS e alguns estão incluídos na assinatura do Office 365.

Definitivamente, confira todos os recursos de segurança disponíveis no ADFS, Office 365 e Azure.

Recursos:

https://cloudblogs.microsoft.com/enterprisemobility/2018/03/05/azure-ad-and-adfs-best-practices-defending-against-password-spray-attacks/

20. Use a pontuação segura do Office 365

A pontuação segura analisa a segurança da organização do seu escritório com base nas configurações de atividade e segurança.

O Secure Score verifica seus serviços do Office 365, em seguida, verifica suas configurações e atividades e fornece uma pontuação de segurança.

Depois de analisar sua pontuação, ela fornecerá uma lista detalhada das ações classificadas e recomendadas para corrigir os problemas.

Você precisará de uma assinatura Premium ou Enterprise para acessar esse recurso. Além disso, você precisará ser designado como administrador global ou função personalizada.

A Microsoft continua a expandir e adicionar recursos adicionais ao Secure Score.

Se você tiver acesso a esse recurso, aproveite-o.

21. Plano de compromisso (tem um plano de recuperação)

Se sua rede foi comprometida hoje ou atingiu o RansomWare, o que você faria?

Você tem uma política de resposta? Você já testou e treinou a equipe como lidar com esse evento?

Os ataques cibernéticos podem desativar os sistemas e interromper as operações comerciais.

A cidade de Atlanta foi fechada por um ataque cibernético, o que impediu os moradores de pagar contas de serviços públicos on-line. Além disso, os policiais tiveram que escrever relatórios à mão.

A última vez que verifiquei custou mais de US $ 5 milhões para eles se recuperarem do ataque.

Um bom plano de resposta a incidentes poderia ter limitado o impacto e ativado os serviços on-line muito mais rapidamente.

Aqui estão algumas coisas para incluir em um plano de resposta a incidentes

  • Criar uma política e plano de resposta a incidentes
  • Crie procedimentos para realizar o tratamento de incidentes e relatórios
  • Estabelecer procedimentos para se comunicar com terceiros
  • Estabelecer equipes e líderes de resposta
  • Priorizar servidores
  • Passo a passo e treinamento

O NIST tem um ótimo guia sobre manipulação de incidentes de segurança de computadores,  https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf

22. Delegação de Documentos para o Active Directory

A melhor maneira de controlar o acesso ao Active Directory e aos recursos relacionados é usar os grupos de segurança.

Se você delegar direitos a indivíduos, estará perdendo o controle de quem tem acesso.

Crie grupos personalizados com nomes muito específicos, documente quem tem direitos e um processo para adicionar novos usuários.

Não permita apenas que usuários sejam adicionados a esses grupos personalizados sem um processo de aprovação. Essa é apenas outra maneira pela qual as permissões podem ficar fora de controle.

Saiba quais grupos são delegados a quais recursos, documente-os e certifique-se de que sua equipe esteja na mesma página.

23. Bloquear Contas de Serviço

Contas de serviço são aquelas contas que executam um executável, tarefa ou serviço, autenticação do AD, etc.

Eles são muito usados ??e geralmente têm uma senha definida para nunca expirar.

Essas contas geralmente acabam com muitas permissões e, na maioria das vezes, são membros do grupo de administradores de domínio.

Ruim, muito ruim

Às vezes isso é sugerido pelo fornecedor.

Não permita que isso aconteça, existem maneiras de fazê-lo funcionar sem acesso a DA.

Veja algumas dicas para bloquear contas de serviço.

  • Use longas senhas fortes
  • Dê acesso apenas ao que é necessário
  • Tente evitar conceder direitos de administrador local
  • Não coloque em Admins. Do Domínio
  • Negar logon localmente
  • Negar logon como um lote
  • Exigir que os fornecedores façam seu software funcionar sem direitos de administrador de domínio

24. Desativar SMBv1

A SMBv1 tem 30 anos e a Microsoft diz para parar de usá-la (Eles vêm dizendo isso há muito tempo).

SMB (Server Message Blocks) é um protocolo de compartilhamento de arquivos e impressoras de rede.

O SMBv1 foi substituído pelo SMBv2 e SMBv3.

Muitos vírus podem se espalhar e explorar falhas no protocolo SMBv1.

Além disso, para os problemas de segurança com o SMBv1 não é um protocolo eficiente, você perderá desempenho com essa versão antiga.

Começando com o Windows 10 Atualização de criadores de outono O SMBv1 será desativado por padrão.

Se você estiver executando uma versão mais antiga do Windows ou ainda no Windows 7, veja como você a desativa.

Aviso: Você vai querer testar isso. Embora a maioria dos sistemas operacionais suporte smbv2 e smbv3, ainda é possível encontrar problemas com alguns aplicativos antigos.

Método 1: Desativar por meio de recursos do Windows

Passo 1: Vá para Programas e Recursos> Ativar ou desativar recursos do Windows

Passo 2: Percorra a lista e desmarque “SMB 1.0 / CIFS File Sharing Support”

Você será solicitado a reiniciar.

Método 2: desativar no registro

Se você ainda estiver executando o Windows 7, será necessário editar o registro para desabilitar o SMBv1.

Navegue até esta chave

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters

Clique com o botão direito do mouse na chave de parâmetros e escolha Novo> Valor DWORD (32 bits).

Nomeie o novo valor SMB1. Por padrão, deve ser o valor 0 que o desabilitou.

Para desabilitar o SMBv1 em todos os computadores, você pode usar a preferência do registro de diretiva de grupo. Isso permitirá que você crie a configuração do registro acima em todos os computadores.

25. Use Baselines de segurança e benchmarks

Uma instalação padrão do sistema operacional Windows possui muitos recursos, serviços, configurações padrão e portas ativadas que não são seguras.

Essas configurações padrão devem ser revisadas em relação aos benchmarks de segurança conhecidos.

Estabelecer uma configuração segura em todos os sistemas pode reduzir a superfície de ataque enquanto mantém a funcionalidade.

Existem vários recursos que fornecem benchmarks de segurança.

A Microsoft possui um Security Compliance Toolkit que permite analisar e testar as linhas de base de configuração de segurança recomendadas pela Microsoft.

Outro ótimo recurso é o CIS SecureSuite

Ele também fornece linhas de base de configuração de segurança. Além disso, fornece ferramentas que podem varrer um sistema e fornecer um relatório sobre falhas.

A maioria das configurações recomendadas pode ser configurada usando a Diretiva de Grupo e implantada em todos os computadores.

Aqui está uma imagem da ferramenta CIS Securesuite. Ele executou uma varredura no meu computador e gerou um relatório sobre todas as configurações que passaram e falharam.

CIS Securesuite também pode digitalizar contra outros sistemas como cisco, vmware, linux e muito mais.

Ferramenta recomendada: SolarWinds Server & Application Monitor (SAM)

Este utilitário foi projetado para monitorar o Active Directory e outros aplicativos críticos. Ele localizará rapidamente os problemas do controlador de domínio, evitará falhas de replicação, rastreará tentativas de logon com falha e muito mais.

O que mais gosto no SAM é que é fácil usar recursos de painel e alerta. Ele também tem a capacidade de monitorar máquinas virtuais e armazenamento.

Para fazer o download do CheckList em PDF clique no ícone abaixo:

Fonte: https://activedirectorypro.com

Summary
Review Date
Reviewed Item
As 25 melhores práticas recomendadas de segurança do Active Directory
Author Rating
51star1star1star1star1star

Sobre o autor | Website

Meu nome é Leonardo Duarte sou profissional de TI com mais de 18 anos de experiência em produtos da Microsoft. Possuo diversas certificações: MCP/MCT/MCTS/MCSA/MCSE

Que tal um Curso Microsoft Gratuito com Certificado Internacional? Não fiquede fora junte-se aos 1100 alunos já inscritos.

Curso Gratuito Microsoft + Certificado Internacional

Para receber o link do curso preencha o campo abaixo.

Por gentileza, se deseja alterar o arquivo do rodapé,
entre em contato com o suporte.