Segurança do Active Directory

A segurança do Active Directory é um ato de equilíbrio delicado. Seguindo com a metáfora do castelo: enquanto um rei ou uma rainha podem exigir qualquer medida de segurança desejada de seus subordinados, os profissionais de TI devem ter sempre em mente as necessidades dos negócios. Se as medidas de segurança forem muito árduas, elas vão retardar os processos críticos de negócios e afastar os talentos da equipe. Por exemplo, é essencial garantir que apenas as pessoas certas tenham acesso aos dados médicos de um indivíduo, mas também é igualmente importante garantir que as equipes médicas possam ver os diagnósticos e prescrições médicas de um paciente a tempo de oferecer os cuidados necessários. Além disso, os usuários encontram maneiras de contornar medidas de segurança que eles consideram inconvenientes: peça que eles criem senhas complexas que devem ser alteradas a cada trintas dias, e você encontrará diversas notas de lembrete em suas mesas, o que compromete seu objetivo de proteger as contas contra acessos não autorizados.

O Active Directory já existe há muito tempo, e as melhores práticas estão prontamente disponíveis e reforçando, significativamente e comprovadamente, a segurança e a conformidade do AD. A implementação das melhores práticas a seguir ajudará a minimizar os riscos de seus sistemas e dados de TI e proteger o sucesso futuro de sua organização.

1. Avaliações regulares

Uma das melhores práticas de segurança do AD mais importantes é analisar regularmente o estado de seu ambiente de TI e procurar proativamente por problemas de segurança e conformidade em potencial.
Compare periodicamente as configurações em seus endpoints do Windows, controladores de domínio e outros sistemas em relação a um bom estado conhecido, e remedie prontamente qualquer desvio involuntário ou alteração maliciosa.
Certifique-se de analisar regularmente a Diretiva de grupo, que é usada para aplicar configurações padrão entre seus usuários e computadores. A Diretiva de grupo controla muitas atividades; você pode proibir usuários de acessar o Painel de controle, de usar o prompt de comando ou de instalar softwares. Mesmo uma alteração imprópria em um objeto de Diretiva de grupo (GPO) pode causar danos significativos. Por exemplo, os usuários podem, de repente, conseguir inserir unidades USB e, portanto, liberar ransomwares ou outros malwares em seus sistemas. Dessa forma, certifique-se de que seus GPOs funcionem conforme o esperado e possam identificar e reverter rapidamente qualquer alteração imprópria ou não autorizada.
Além disso, certifique-se de que os sistemas operacionais do Windows Server e outros softwares estejam com patches atualizados e de que você esteja usando apenas versões com suporte total dos fornecedores.

2. Minimizar permissões de usuários

Talvez a melhor prática mais fundamental da segurança de TI seja o princípio do menor privilégio. Dê a cada usuário exatamente o acesso de que ele precisa para trabalhar. Nem mais, nem menos. O AD permite que você reúna usuários com funções semelhantes (como administradores do Help Desk ou equipes de RH) em um grupo de segurança do AD e gerencie-os em conjunto. Os usuários podem ser (e geralmente são) membros de vários grupos do AD, como grupos baseados em projetos.
A utilização dos grupos de segurança do AD não é uma mera conveniência para os administradores; ela aumenta a segurança reduzindo erros no provisionamento e no desprovisionamento, e minimizando a complexidade da estrutura de permissões. Assim, é mais fácil identificar com certeza os acessos de cada um.

3. Investigar incidentes de segurança

Não importa quão bons sejam seus esforços de prevenção: você vai enfrentar incidentes de cibersegurança. Portanto, você deve estar preparado para investigá-los rapidamente e responder de forma adequada. Você deve ser capaz de determinar rapidamente o local de origem da violação, como ela se sucedeu e quais sistemas e dados exatamente foram envolvidos. Dessa maneira, você pode responsabilizar os indivíduos por suas ações e tomar medidas para evitar que incidentes semelhantes ocorram no futuro.

4. Gerenciar permissões de usuários e de grupos

Como dito anteriormente, o princípio do menor privilégio é a melhor prática mais básica da segurança de TI. Se você tivesse de atribuir manualmente todas as permissões de usuários individualmente a cada recurso (e manter essas permissões atualizadas conforme os usuários vêm e vão e trocam de função dentro da organização), você estaria sobrecarregado, e sua organização correria um alto risco de violações e de falhas de conformidade.
A capacidade de criar grupos de segurança do AD e de gerenciar permissões em conjunto para usuários semelhantes reduz essa carga. Os usuários podem ser (e geralmente são) membros de vários grupos do AD, como grupos baseados em projetos. Por exemplo, um novo gerente de vendas poderá receber acesso a todos os recursos certos se eles forem adicionados tanto aos grupo de segurança de Vendas quanto ao grupo de segurança de Gerentes de vendas. De forma semelhante, caso haja uma nova pasta ou um novo compartilhamento de arquivos que toda a equipe de vendas precisa acessar, basta conceder acesso ao grupo de Vendas em vez de concedê-lo às contas de usuários individuais uma a uma. Por outro lado, se um usuário passar de uma função de Vendas para uma posição diferente, será possível remover o acesso de todos os recursos de Vendas removendo esse usuário do grupo de Vendas em vez de analisar cada recurso e determinar quais acessos ainda são legítimos.

5. Controlar permissões de administrador

A utilização dos grupos de segurança do AD não é uma mera conveniência para os administradores; ela aumenta a segurança reduzindo erros no provisionamento e no desprovisionamento, e minimizando a complexidade da estrutura de permissões. Assim, é mais fácil identificar com certeza os acessos de cada um.
Uma dúvida em particular são os grupos de segurança do AD que concedem privilégios de nível administrativo, como os extremamente eficientes grupos de Administradores de empresa, Administradores de domínio e Administradores de esquema, assim como contas locais de administradores criadas durante a instalação do Windows e que possuem controle total dos arquivos, diretórios, serviços e outros recursos do computador local. As organizações precisam ter um controle rígido sobre os integrantes desses grupos de acessos privilegiados, além de estarem atentas a quaisquer alterações em seus membros, que podem indicar um ataque ou um agente malicioso infiltrado tentando aumentar seus privilégios para obter acesso a sistemas ou dados adicionais.

6. Permissões de contas de serviço

Contas de serviço são contas de usuários especiais que aplicações e serviços utilizam para registrar e realizar ações em seu ambiente de TI. Infelizmente, as contas de serviço com frequência têm mais permissões do que o necessário, aumentando os riscos à segurança. As razões comuns para o excesso de provisionamento incluem aceitar passivamente os requisitos especificados pelo fornecedor da aplicação, não conseguir trabalhar adequadamente em meio aos desafios operacionais, e simplesmente clonar um serviço existente em vez de se dedicar para criar um novo com as permissões apropriadas.

A melhor prática é garantir que todas as contas de serviço estejam em conformidade com o princípio do menor privilégio. Você também deve tomar precauções especiais sempre que uma conta de serviço precisar de privilégios administrativos. Você nunca deve fazer com que uma conta de serviço seja membra de um grupo administrativo padrão, como o grupo local de Administradores ou de Administradores de domínio. Algumas opções melhores são executar o serviço na conta LocalSystem, ou criar um grupo personalizado para conta de serviço e negar explicitamente o acesso a outras contas para esse grupo. E sempre que possível, é prudente configurar contas de serviço para que elas possam fazer login somente durante um período específico do dia.