Melhores Práticas de Grupos de Segurança do Active Directory – Os Grupos de Segurança do Azure Active Directory são ferramentas poderosas para administradores controlarem a quais servidores Windows e recursos de rede indivíduos usuários têm acesso. Ao não gerenciar adequadamente esses grupos, você pode inadvertidamente fornecer uma porta dos fundos para criminosos cibernéticos entrarem em sua rede e roubar informações sensíveis.
As comprometimentos do Azure Active Directory resultantes da não conformidade com as melhores práticas são comuns. No entanto, é possível manter seus sistemas seguros contra ataques implementando medidas de segurança sólidas, limitando vulnerabilidades e monitorando constantemente.
Este artigo é uma análise aprofundada dos grupos de segurança do Azure Active Directory e as melhores práticas de segurança a seguir para proteger melhor sua rede Windows.
Fonte da imagem: Imanami
Grupos de Segurança do Active Directory
Os grupos do Azure Active Directory no Azure vêm em dois tipos: grupos de distribuição do Active Directory e grupos de segurança do Active Directory.
Os grupos de distribuição do Active Directory são principalmente usados para distribuição de e-mails e são compatíveis com o Microsoft Exchange e Outlook. Eles permitem que os administradores de rede enviem e-mails a subconjuntos de membros do Active Directory.
Por outro lado, os grupos de segurança do Active Directory gerenciam permissões de usuários e acesso a recursos de hardware. Esses grupos são fundamentais para o funcionamento da rede e operações de negócios de uma organização.
Isso ocorre porque os grupos de segurança do Active Directory são tão importantes para ajudar os administradores a controlar quem tem acesso a recursos importantes da rede e impedir que usuários não autorizados acessem dados sensíveis. Isso é vital, especialmente para a proteção de informações privadas e confidenciais.
Azure Active Directory grupos de segurança consistem em Administradores, Operadores de Conta, Domínio Admins, DNS Admins, Usuários, Convidados, Operadores de Servidor, Usuários Protegidos e vários outros.
Escopos de Grupos de Segurança do Active Directory
Azure Active Directory grupos de segurança grupos são classificados em 4 categorias com base em seu escopo: local, domínio local, global e grupos universais.
Grupos locais: Esses grupos são criados e disponíveis apenas no computador em que foram criados.
Grupos de domínio local: Os grupos de domínio local são usados para gerenciar os direitos de acesso a recursos em todo o domínio. Os grupos de domínio local incluem membros de domínios de qualquer tipo, bem como aqueles provenientes de domínios confiáveis.
Grupos globais: Os grupos globais definem objetos de domínio (usuários, computadores, grupos) com base nos papéis de negócios. Usuários são organizados em grupos de acordo com seus papéis (por exemplo, “Marketing” ou “Contadores”), e computadores podem ser organizados em grupos globais com base em seus papéis (por exemplo, “Estações de Trabalho de Marketing”).
Grupos universais: Esses grupos são usados em florestas de vários domínios. Eles permitem que administradores especifiquem papéis e permissões para recursos entre domínios.
Utilizações de Grupos de Segurança do Azure Active Directory
Existem duas utilizações primárias para grupos de segurança do Active Directory:
Atribuição de direitos de usuário: O Active Directory de segurança grupos são usados para atribuir direitos de usuário para especificar o que os usuários dentro de um grupo têm permissão para fazer dentro de um domínio ou uma floresta. Por conveniência administrativa, os direitos de usuário podem ser automaticamente atribuídos a certos grupos de segurança.
Concedendo permissões de recursos: As permissões de usuário são distintas dos direitos de usuário. Enquanto as permissões de usuário governam quais recursos os usuários podem acessar, os direitos de usuário determinam quais capacidades os usuários têm.
É importante notar que certas permissões são concedidas por padrão a grupos específicos de segurança. Os grupos Operadores de Conta e Administradores de Domínio são dois exemplos de grupos de segurança predefinidos que recebem certas permissões por padrão. Esses grupos são gerados automaticamente quando você configura um domínio do Active Directory. No entanto, devido aos riscos de segurança inerentes associados à concessão de permissões de segurança automáticas, deve-se ter cuidado especial ao gerenciar esses grupos.
Melhore sua Segurança do Active Directory e do Azure AD
Experimente gratuitamente, acesso a todos os recursos. – 200+ modelos de relatórios do AD disponíveis. Personalize facilmente seus próprios relatórios do AD.
8 Melhores Práticas para Grupos de Segurança do Active Directory
1. Evite excessos
Certifique-se de que os grupos padrão de segurança não tenham permissões excessivas: Examine regularmente as permissões automaticamente atribuídas pelos Active Directory grupos de segurança padrão, pois alguns desses grupos têm permissões consideráveis. Certifique-se de que usuários tenham apenas os direitos mínimos de acesso necessários para cumprir suas responsabilidades diárias. Se forem necessárias privilégios de acesso maiores, devem ser concedidos sob demanda.
Certifique-se de instalar apenas as ferramentas e recursos necessários e garanta que as contas tenham apenas os direitos necessários e sejam membros dos grupos necessários. Se você conceder a todos direitos extensos ou acesso ao seu sistema, fica muito mais difícil detectar ameaças internas e seu sistema fica vulnerável se houver um grande número de indivíduos em grupos de segurança de alto acesso.
2. Realize Atualizações de Software Regularmente
Fonte de Imagem: Pixabay
A Microsoft recomenda que você verifique se o software do Windows e os programas de terceiros estão atualizados regularmente. Para comprometer sistemas, atacantes frequentemente exploram ou aproveitam vulnerabilidades conhecidas. Por outro lado, os profissionais de segurança cibernética estão sempre correndo para fornecer patches de segurança para essas vulnerabilidades. Como resultado, ter uma rotina de aplicação de patches regular ajuda a garantir que seus sistemas sejam imunes a ataques cibernéticos.
Para alcançar isso, geralmente é recomendado utilizar um gerenciador de patches para manter o software do seu sistema atualizado. Um bom sistema de gerenciamento de patches irá notificá-lo se algum de seu software contém vulnerabilidades e também fornecerá detalhes sobre quaisquer riscos que encontre, incluindo atacantes especificamente visando lacunas de segurança do Active Directory.
3. Implementar Boas Políticas de Senha
Em vez de confiar em regras de complexidade, implemente políticas de senha que incentivem os usuários a usar senhas compostas por frases que possam lembrar facilmente. É importante ter uma política que exija que os usuários definam senhas com paráfrases de três ou mais palavras, em vez de senhas difíceis de oito caracteres ou menos. As regras de complexidade de senha desencorajam os usuários a usar senhas memoráveis e levam ao inevitável hábito de anotar as senhas, o que anula o propósito de ter uma senha em primeiro lugar. Também é recomendado estabelecer regras que bloqueiem os usuários após um certo número de tentativas de login fracassadas.
Por exemplo, estabeleça uma política que garanta que um usuário seja bloqueado após três tentativas de senha sem sucesso. As senhas podem ser ainda mais seguras ao empregar autenticação de dois fatores autenticação. Você pode usar a Autenticação Multifator da Microsoft (MFA), Duo e RSA para implementar a autenticação de dois fatores.
4. Proteja Grupos e Contas Padrão
Ao criar um domínio Active Directory, um conjunto de grupos de segurança padrão também é criado, e alguns desses grupos têm permissões bastante amplas. Tenha cuidado ao administrar esses grupos, pois dar a um usuário acesso a um deles automaticamente lhes concede acesso administrativo poderoso e funções de grupo.
Para fazer isso, certifique-se de seguir as seguintes práticas:
- Certifique-se de que, além do administrador padrão do domínio, nenhum usuário regular tenha acesso ao grupo “Administradores do Domínio”.
- Garanta que a conta de Administrador de Domínio seja usada apenas para configuração de domínio e recuperação de desastres.
- Conceda acesso temporário apenas aos usuários quando necessário.
- Garanta que as senhas sejam armazenadas em um local seguro onde apenas usuários autorizados tenham acesso.
- Desative a conta de Administrador Local para impedir que se torne um ponto de acesso para invasores. Isso ocorre porque cibercriminosos podem facilmente ganhar acesso ao seu sistema se você deixar essa conta ativada, já que ela compartilha o mesmo SID e senha em todas as instalações.
5. Realize auditorias regulares do Active Directory
Recomenda-se sempre que o Active Directory, logs e eventos sejam monitorados cuidadosamente e constantemente. Fique atento a quaisquer sinais de comportamento suspeito, como um aumento no número de tentativas de login falhas ou contas bloqueadas, uma mudança na composição de quaisquer grupos privilegiados, a desativação ou remoção do software antivírus, ou uma alteração no horário de quaisquer logins ou log offs.
Qualquer um desses eventos pode ser um sinal de alerta de uma tentativa ou uma comprometimento existente de seus sistemas. Além disso, é fundamental acompanhar quem tem acesso a quê e fazer ajustes ou remoções conforme necessário para garantir que ninguém tenha mais privilégios do que precisa em termos de segurança.
6. Implementar uma política de Confiança Zero
Confiança zero significa que ninguém na organização é confiado por padrão. Implemente uma política de “confiança zero”, na qual nenhum usuário, interno ou externo, tenha acesso automático às áreas protegidas da rede sem primeiro ser verificado.
A lot of system compromises are carried out by insiders. Therefore, no company should underestimate the risk posed by insider threats. Please follow the concept of least privilege by not giving users too much control over the network’s resources.
Dê a seus funcionários ou membros de sua organização apenas o acesso que eles precisam, e apenas quando precisarem. Sempre que tal acesso não for necessário, remova-o e, sempre que possível, conceda o acesso por tempo limitado.
7. Remover Grupos do Active Directory Vazios
Idealmente, grupos do Active Directory sem membros não devem existir. Isso subverte completamente o propósito de ter grupos em primeiro lugar. No entanto, não é incomum que uma rede em crescimento tenha vários grupos vazios em seu Active Directory.
Um grupo vazio de segurança do Active Directory causa dois problemas principais. Primeiro, eles adicionam bagunça desnecessária e dificultam a administração do Active Directory, mesmo quando acompanhados de ferramentas amigáveis para o usuário do Active Directory. O segundo e mais importante ponto a ser observado é que os grupos vazios representam um risco de segurança para sua rede.
I personally view every inactive security group in Active Directory as an additional and potential point of entry for attackers. Empty groups are much simpler for hackers to find a backdoor and steal sensitive information.
Felizmente, existem ferramentas disponíveis para ajudá-lo a se livrar de grupos AD inativos. Essas ferramentas variam dependendo do software de administração de grupos do Active Directory que você usa. Utilize essas ferramentas para localizar grupos vazios do Active Directory e eliminá-los, seja mesclando-os ou removendo-os completamente. Por exemplo, você mescla grupos relacionados se todos eles exigirem permissões idênticas.
8. Habilite a Autenticação Multifator (MFA) do Azure AD
Fonte de imagem: Unsplash
O Azure AD MFA reduz o risco de autenticação apenas com senha forçando os usuários a fornecerem uma combinação de dois ou mais fatores: “
- Algo que eles sabem (por exemplo, uma senha).
- Algo que eles têm (por exemplo, um dispositivo confiável como um telefone).
- Algo que eles são (por exemplo, uma impressão digital).“
Existem vários métodos para ativar a autenticação de vários fatores no Azure:
Através das configurações de segurança do Azure AD: Essa opção permite que os administradores acelerem a implantação do MFA e apliquem configurações que exigem MFA usando o Microsoft Authenticator para todos os usuários. Este método também permite que você, como administrador, proíba protocolos de autenticação legados.
Usando políticas de acesso condicionais: Essas políticas dão a liberdade de exigir o MFA em determinadas situações, como quando você faz login de um local incomum, de um dispositivo que você não confia ou de um aplicativo arriscado. Ao exigir uma verificação adicional apenas nos casos em que há um maior perigo, esse método reduz a carga sobre os usuários.Essa técnica reduz a carga sobre o usuário, exigindo uma verificação adicional apenas quando um risco adicional é identificado.
Através de modificações no estado do usuário individual: Esta abordagem é suportada tanto pelo Azure AD MFA baseado em nuvem quanto pelo servidor de autenticação do Azure MFA. Ela ignora as restrições de Acesso Condicional e obriga os usuários a utilizarem autenticação de dois fatores sempre que fizerem login.
Leia também Implantar Monitoramento do Azure AD
Melhores Práticas de Grupos de Segurança do Active Directory (Conclusão)
Active Directory é um serviço robusto para controlar a qual servidor Windows e recursos de rede usuários individuais têm acesso. É possível manter seus sistemas seguros contra ataques implementando salvaguardas de segurança sólidas, limitando vulnerabilidades e monitorando-os constantemente.
Siga as práticas recomendadas acima para evitar inconveniências caras e manter seus sistemas seguros.
Source:
https://infrasos.com/active-directory-security-groups-best-practices/