Sean Deuby

Na sua infraestrutura de TI, o Active Directory (AD) é o núcleo central para controlar o acesso aos recursos e manter a sua empresa operacional. No entanto, a importância do Active Directory para a sua organização coloca-o na mira dos agentes de ameaças. Se o Active Directory for violado com sucesso, os atacantes podem deitar a mão a credenciais privilegiadas e comprometer potencialmente a segurança dos dados da empresa ou afetar as aplicações. A implementação das melhores práticas de segurança do Active Directory é, portanto, uma parte importante do planeamento de uma política de segurança digital.

Quais são as práticas recomendadas de segurança do Active Directory?

Proteger o Active Directory significa tornar a vida dos ciberataques o mais difícil possível. Estas 12 melhores práticas de segurança do Active Directory podem ajudar a reduzir o risco de violação de segurança e aumentar a sua ciber-resiliência. O objetivo: Reduzir a superfície de ataque para proteger e reforçar o seu ambiente do Active Directory.

  1. Manter um número mínimo de utilizadores privilegiados.
  2. Utilizar grupos para atribuir privilégios.
  3. Proteger as contas com privilégios de administrador.
  4. Aplicar políticas de palavra-passe modernas.
  5. Impor palavras-passe fortes nas contas de serviço.
  6. Realizar avaliações regulares para detetar violações da política de palavras-passe.
  7. Desativar o serviço Spooler de Impressão.
  8. Desativar o Server Message Block v1 (SMBv1) e restringir o New Technology LAN Manager (NTLM).
  9. Restringir o acesso aos controladores de domínio (DCs).
  10. Planear a recuperação do Active Directory.
  11. Utilizar a filtragem de SID em todas as relações de confiança da floresta.
  12. Monitorizar o Active Directory para detetar actividades suspeitas e configurações não seguras.

Pronto para começar?

1. Manter um número mínimo de utilizadores privilegiados

Os utilizadores com privilégios excessivos desafiam diretamente os requisitos de segurança e de conformidade regulamentar. Se comprometidas, essas contas permitem que os invasores ganhem uma posição maior no seu ambiente. O gerenciamento de usuários privilegiados é uma parte crucial do gerenciamento geral do Active Directory, mas também pode consumir muito tempo. Grandes empresas podem ter centenas de contas em grupos privilegiados.

Algumas contas podem ter permissões excessivas para que as novas aplicações funcionem rapidamente. Outras poderão ter herdado permissões de que já não necessitam. Se for responsável pela concessão de acesso, a resolução deste desafio exige que compreenda o princípio do menor privilégio e o utilize para determinar quais as permissões de que cada utilizador ou grupo necessita para realizar o seu trabalho de forma eficaz.

Comece por analisar os seguintes grupos para verificar se cada membro tem uma razão legítima para ser incluído:

  • Administradores de empresas
  • Administradores de esquemas
  • Administradores de domínios
  • Operadores de conta (se aplicável)
  • Operadores de servidores (se aplicável)
  • Operadores de impressão (se aplicável)
  • Administradores de DHCP
  • DNSAdmins

2. Utilizar grupos para atribuir privilégios

A utilização de grupos simplifica o processo de atribuição de permissões aos utilizadores. Em vez de gerir as permissões individualmente (o que pode levar a erros), organize os utilizadores em grupos e atribua as permissões adequadas a esses grupos.

Um conjunto de utilizadores pode representar uma unidade de negócio ou uma equipa interna na qual os utilizadores têm necessidades idênticas relativamente aos direitos de acesso. Determinar quem deve pertencer a cada grupo (por exemplo, quem serve como Administrador do Domínio ou Administrador do Esquema) e que direitos esses grupos devem ter requer comunicação entre a equipa de gestão do Active Directory e as partes interessadas da empresa.

3. Proteger as contas com privilégios de administrador

Quando um domínio é criado no Active Directory, a conta de Administrador local torna-se a conta de domínio Administrador e um membro predefinido dos grupos Admins. do Domínio e Administradores do domínio. Se o domínio for o domínio raiz da floresta, a conta também se torna membro do grupo Administradores da empresa.

Para proteger esta conta, a Microsoft recomenda a definição do sinalizador "A conta é sensível e não pode ser delegada". Verifique também se os Objectos de Política de Grupo (GPOs) estão configurados para restringir a utilização das contas Administrador de Domínio e Administrador incorporado em sistemas ligados ao domínio. Especificamente, bloqueie estas contas de:

  • Aceder aos servidores e estações de trabalho dos membros
  • Iniciar sessão como um trabalho em lote
  • Iniciar sessão como um serviço
  • Aceder a servidores e estações de trabalho membros utilizando os Serviços de Ambiente de Trabalho Remoto

4. Aplicar políticas de palavra-passe modernas

No centro de cada ataque empresarial ou violação de segurança, existe frequentemente uma credencial de palavra-passe roubada. Para além de utilizar essas credenciais para o acesso inicial, os agentes de ameaças podem utilizar as credenciais para se deslocarem lateralmente no ambiente comprometido.

Por este motivo, a segurança das palavras-passe é fundamental. No entanto, a experiência em grandes provedores de serviços em nuvem mostrou que as políticas de senha tradicionais são inadequadas contra ataques modernos. O NIST e outras grandes organizações actualizaram as suas políticas de palavra-passe para reconhecer esta realidade.

Os ataques de força bruta contra os serviços que utilizam a Internet diminuíram. Foram substituídos por ataques de pulverização de palavras-passe, em que palavras-passe comuns bem conhecidas são tentadas contra muitos utilizadores de uma organização. Estes ataques são agora comuns - e muitas vezes bem sucedidos. Os ataques de pulverização de palavra-passe exploram a tendência dos utilizadores para criar palavras-passe fáceis de memorizar e fáceis de adivinhar.

Uma estratégia melhor é concentrar-se primeiro na eliminação de palavras-passe comuns do Active Directory. Isso pode ser feito com filtros de senha de terceiros ou com a Proteção por Senha do Microsoft Azure AD.

O segundo passo para uma política de palavra-passe forte é reconhecer que a imposição da complexidade pode levar a palavras-passe que os utilizadores não se conseguem lembrar e a padrões facilmente reconhecíveis que os atacantes podem decifrar rapidamente. Em vez disso, encoraje o comprimento da palavra-passe ou da frase-passe, com a adição de números e caracteres especiais, que permitam palavras-passe fáceis de memorizar para os utilizadores, mas difíceis de adivinhar para os atacantes.

Por exemplo, a palavra-passe Implicate-Research1-Uncooked pode ser facilmente lembrada, mas (de acordo com a ferramenta de força da palavra-passe Bitwarden) levaria séculos a ser descoberta. Tanto as fontes online como os principais gestores de palavras-passe contêm utilitários para gerar frases-passe. Um utilizador pode simplesmente continuar a gerar até encontrar uma palavra-passe de que se lembre.

Finalmente, a exigência de expiração da palavra-passe é desencorajada. A experiência tem demonstrado que a rotação força os utilizadores a adotar padrões de palavra-passe facilmente decifráveis. Se uma organização tiver sido violada ou as credenciais de um utilizador comprometidas, as palavras-passe devem ser actualizadas. Caso contrário, não é necessário actualizá-las.

Implemente simultaneamente todos estes controlos: proibição de palavras-passe comuns, redução da complexidade, aumento do comprimento e desativação da expiração da palavra-passe. Caso contrário, arrisca-se a criar palavras-passe facilmente decifráveis.

Uma outra boa prática: Tirar partido da funcionalidade de política de palavra-passe refinada. Embora os administradores possam utilizar a política de domínio predefinida para definir uma política de palavra-passe única para todos os membros do domínio, as políticas de palavra-passe refinadas permitem que os administradores definam palavras-passe mais rigorosas para utilizadores individuais e grupos globais.

5. Aplicar palavras-passe fortes nas contas de serviço

O Kerberoasting é a forma mais comum de comprometer uma conta privilegiada e obter o controlo de um servidor Active Directory. Os ataques Kerberoasting têm vindo a aumentar, tendo, segundo algumas estimativas, aumentado mais de 500% desde o início de 2022.

Nesta técnica, um agente de ameaça começa por obter acesso de utilizador regular através de phishing ou outro método. Com esse acesso, o atacante pode facilmente obter uma lista de contas de serviço enumerando os nomes principais de serviço (SPNs) no Active Directory.

De seguida, o atacante correlaciona estas contas com a participação em grupos privilegiados para obter uma lista de contas de serviço privilegiadas. O agente da ameaça solicita então um bilhete de serviço Kerberos a uma destas contas privilegiadas. Este bilhete é encriptado com o hash da palavra-passe da conta de serviço, que o atacante pode normalmente decifrar offline.

Com o hash da palavra-passe da conta de serviço decifrada, o agente da ameaça pode obter rapidamente o controlo do Active Directory. Um ataque Kerberoasting bem sucedido pode comprometer uma floresta do Active Directory em minutos.

A única forma de combater um ataque Kerberoasting é tornar as palavras-passe das contas de serviço extremamente difíceis de decifrar:

  • Utilize um mínimo de 25 caracteres.
  • Utilize um gerador de palavras-passe para criar uma palavra-passe longa, complexa e altamente entrópica e guarde-a num cofre de palavras-passe.
  • Considere a possibilidade de utilizar uma conta de serviço gerida por grupo (gMSA) que gira automaticamente as palavras-passe complexas. (Antes, porém, certifique-se de que está familiarizado com as potenciais vulnerabilidades relacionadas com as gMSAs).

6. Realizar avaliações regulares para detetar violações da política de palavras-passe

Revisões regulares das políticas e configurações de senha podem ajudar a detetar problemas que podem expor o Active Directory a ataques. Por exemplo, examine qualquer conta com o sinalizador PASSWD_NOTREQD definido. Além disso, examine as contas que estão definidas para permitir o acesso anónimo ao Active Directory, o que permite que utilizadores não autenticados consultem o Active Directory.

7. Desativar o serviço Spooler de impressão

O serviço Spooler de Impressão gere os processos de impressão e é executado por predefinição em clientes e servidores Windows. Embora isso pareça bom à primeira vista, qualquer utilizador autenticado pode ligar-se remotamente ao serviço, pedir uma atualização sobre novos trabalhos e dizer ao CD para enviar a notificação para o sistema com uma delegação sem restrições. E isso expõe a credencial da conta de computador do DC. Devido ao risco, a melhor prática é desativar o serviço em todos os DCs.

8. Desativar o SMBv1 e restringir o NTLM

Os DCs que activam o protocolo SMBv1 também estão em risco. A Microsoft descontinuou o SMBv1, que é vulnerável a vários ataques, em 2014 e recomenda a sua desativação.

Da mesma forma, restrinja a utilização de NTLM. Muitas organizações demoram a desativar o NTLM devido ao impacto que esta ação pode ter. No entanto, os líderes de TI devem considerar limitar a sua utilização tanto quanto possível.

9. Restringir o acesso aos controladores de domínio

As organizações devem restringir o acesso aos controladores de domínio para limitar a ameaça de o DC ser comprometido por malware:

  • Não deve ser permitida a navegação na Internet no CD.
  • Os GPOs ligados a todas as unidades organizacionais DC numa floresta devem ser definidos apenas para permitir ligações RDP (Remote Desktop Protocol) de utilizadores e sistemas autorizados.

10. Planear a recuperação do Active Directory

Estabelecer um plano de recuperação do Active Directory abrangente e detalhado é uma parte crucial do desenvolvimento da ciber-resiliência. As organizações devem efetuar cópias de segurança de, pelo menos, dois DCs por domínio, incluindo o domínio raiz. Estas cópias de segurança devem ser mantidas offline para evitar que sejam infectadas por malware.

11. Utilizar a filtragem de SID em todas as relações de confiança da floresta

Para compreender a importância da filtragem de SID para a segurança, considere a forma como o controlo de acesso do Active Directory é gerido entre florestas.

Uma relação de confiança de floresta liga duas florestas do Active Directory para permitir que os utilizadores de uma floresta acedam a recursos na outra. As relações de confiança de floresta são essenciais para manter o acesso numa organização com várias florestas. Num cenário comum, os utilizadores de uma floresta de contas centralizada acedem a aplicações (como servidores de ficheiros ou servidores SharePoint) em uma ou mais florestas de recursos.

Todos os utilizadores, grupos ou computadores (conhecidos como entidades de segurança) num domínio e floresta do Active Directory têm um identificador de segurança (SID) único. Este identificador é utilizado no token de acesso do utilizador para conceder acesso a recursos em toda a floresta utilizando listas de controlo de acesso (ACLs).

Deparei-me com um desafio relacionado com o SID na Intel, enquanto testava as versões beta do Active Directory: Quando migrávamos um utilizador para uma nova floresta do Active Directory, o utilizador perdia o acesso aos recursos da floresta de origem. Isto aconteceu porque o SID que foi concedido a um utilizador na nova floresta era diferente do SID original do utilizador. Assim, ele perdeu a autorização para acessar o recurso.

Steve Grobman (atualmente CTO da McAfee) propôs à Microsoft a ideia de um atributo que contivesse o SID original da floresta de origem, mantendo assim o acesso aos recursos originais. A Microsoft aceitou este pedido de alteração de design e nasceu o atributo sIDHistory. Durante qualquer projeto de migração ou consolidação do Active Directory, o sIDHistory é essencial para manter o acesso dos utilizadores aos recursos na floresta de origem quando o utilizador migrou para a floresta de destino, mas os recursos não.

No entanto, quando o projeto de migração ou consolidação estiver concluído, o sIDHistory deve ser removido. Um agente de ameaça com direitos elevados poderia tirar partido do sIDHistory para copiar um SID de um domínio de confiança (por exemplo, o SID de um membro do grupo Domain Admins) e adicioná-lo ao atributo sIDHistory de uma entidade de segurança no domínio de confiança - concedendo assim ao atacante direitos de administrador no domínio de confiança.

É aqui que entra a filtragem de SID. Esta remove todos os SIDs externos (ou seja, que não sejam do domínio local) do token de acesso do utilizador, impedindo assim este ataque de escalonamento. A filtragem SID deve ser activada em todas as relações de confiança da floresta, a menos que esteja em curso um processo de migração ou consolidação.

Infelizmente, na minha experiência, a maioria dos projectos de migração e consolidação nunca termina realmente. Apenas se esgotam durante a fase de migração de aplicações mais difícil, e o Histórico de SID é deixado ativado para que os utilizadores possam continuar a aceder aos seus recursos originais.

Tenha em atenção que determinados erros de configuração podem reduzir a eficácia da filtragem de SID. Por exemplo:

  • As fidedignidades de saída da floresta com o sinalizador TRUST_ATTRIBUTE_TREAT_AS_EXTERNAL definido como verdadeiro tratam uma fidedignidade entre florestas para um domínio como uma fidedignidade externa, relaxando a filtragem mais rigorosa efectuada nas fidedignidades entre florestas.
  • As relações de confiança com o atributo TRUST_ATTRIBUTE_ CROSS_ORGANIZATION_ENABLE_TGT_DELEGATION ou TRUST_ATTRIBUTE_ PIM_TRUST permitem que um bilhete Kerberos seja delegado, diminuindo a proteção que a filtragem SID oferece.

12. Monitorizar o Active Directory para detetar actividades suspeitas e configurações não seguras

Os atacantes exploram frequentemente configurações que lhes permitem aumentar rapidamente os privilégios e persistir sem serem detectados no seu ambiente. Por conseguinte, audite e monitorize regularmente os direitos de acesso para detetar quaisquer indicações de que está a decorrer um ataque ou de que a sua organização é vulnerável a ataques.

Alguns objectos, como o objeto AdminSDHolder , raramente são alterados de forma legítima. O objeto AdminSDHolder funciona como um modelo de permissões para grupos e contas protegidos num domínio. Se a herança estiver activada, um atacante pode estar a tentar alterar as permissões em objectos privilegiados controlados por AdminSDHolder.

Os administradores devem saber que foi efectuada uma alteração e ser capazes de articular a razão da mesma. Se a modificação não foi intencional, a probabilidade de compromisso é elevada. A monitorização deste tipo de atividade é fundamental para detetar rapidamente os ataques e evitar que as definições sejam exploradas.

Como a Semperis pode ajudá-lo a proteger o Active Directory

A Semperis fornece soluções de avaliação e recuperação da segurança do Active Directory para ajudar a concentrar os seus esforços.

Proteger o Active Directory pode parecer uma tarefa monumental. Ao adotar as melhores práticas de segurança do Active Directory, pode aumentar o nível de dificuldade para os atacantes e melhorar a postura geral de segurança do seu ambiente.