Mais de 20 anos após a sua introdução, a segurança do Microsoft Active Directory continua a ser essencial para manter as empresas disponíveis e concentradas nos seus resultados. Nesta publicação, saiba o que é necessário para a segurança do Active Directory e quais as melhores práticas que o podem ajudar a manter-se à frente dos atacantes.
O que é a segurança do Active Directory?
Na sua essência, a segurança do Active Directory consiste em permitir que os utilizadores legítimos se autentiquem na rede e acedam às aplicações e aos dados de que necessitam, protegendo-os contra qualquer pessoa que tente aceder a recursos ou elevar privilégios para os quais não estão autorizados.
O Active Directory detém efetivamente as "chaves do reino", controlando a autenticação e autorização para a maioria das aplicações e dados locais de uma organização. Portanto, a segurança do Active Directory é uma prioridade de missão crítica para sua empresa.
Quais são os principais riscos, vulnerabilidades, exposições e ameaças à segurança do Active Directory?
A gestão do Active Directory pode ser complexa. No entanto, dada a finalidade do Active Directory, a segurança é fundamental. Erros de configuração, utilizadores com permissões excessivas e vulnerabilidades não corrigidas podem contribuir para a capacidade dos ciberataques explorarem o Active Directory.
O Active Directory é frequentemente um alvo para os cibercriminosos que procuram elevar os privilégios para penetrar numa rede comprometida. Um exemplo deste tipo de atividade pode ser encontrado com o grupo de ransomware CL0P, que foi observado a utilizar o Cobalt Strike para expandir o acesso à rede depois de obter acesso a um servidor Active Directory.
Assim como comprometer o Active Directory é uma prioridade máxima para os atacantes quando eles violam sua rede, protegê-lo deve ser uma prioridade para as empresas. O endurecimento do Active Directory começa com a compreensão do seu ambiente e de como os agentes de ameaças o visam. Aqui estão alguns problemas significativos de configuração e segurança que afetam negativamente o Active Directory e aumentam o risco de um ataque cibernético.
Delegação Kerberos sem restrições
Os agentes de ameaças exploram a delegação sem restrições para aumentar a sua posição no ambiente visado. O abuso desta definição é outro exemplo de atacantes que utilizam funcionalidades legítimas para fins maliciosos. No Active Directory, a delegação permite que um computador guarde os bilhetes de autenticação Kerberos de um utilizador e, em seguida, utilize esses bilhetes para se fazer passar por esse utilizador e agir em seu nome. Quando a delegação sem restrições está activada, um agente de ameaça pode fazer-se passar por um utilizador legítimo e aceder a recursos não detectados.
Um elevado número de utilizadores em grupos privilegiados
Não é invulgar as contas terem privilégios que excedem o necessário. Por exemplo, um utilizador pode mudar de função e ter um novo conjunto de permissões adicionado, sem que as antigas permissões de que já não necessita sejam revogadas. Ou conceder privilégios excessivos a um utilizador pode ser visto como uma forma rápida de fazer uma aplicação funcionar. Esta situação é um sinal de alerta - à medida que estes utilizadores são adicionados a grupos privilegiados, o risco que representam para a organização se forem comprometidos aumenta, uma vez que cada conta representa um caminho potencial para o aumento de privilégios para os atacantes que procuram mover-se lateralmente no ambiente. Há também a possibilidade de que um usuário legítimo possa acidentalmente fazer alterações não autorizadas no Active Directory que afetem os esforços de segurança e conformidade.
Contas de serviço com privilégios elevados
As contas de serviço são essencialmente contas de utilizador às quais são atribuídas permissões específicas em aplicações que lhes permitem executar esses serviços ou aplicações. No entanto, por vezes, são atribuídos a estas contas direitos de administrador que não são necessários para quaisquer potenciais problemas operacionais, porque é uma forma rápida de resolver problemas de configuração que, de outra forma, seriam demorados. O facto de as contas de serviço terem frequentemente palavras-passe fracas que estão definidas para nunca expirarem só aumenta o risco. Utilizando a técnica Kerberoasting, um agente de ameaças pode obter a palavra-passe fraca de uma conta de serviço em minutos e, se essa conta tiver privilégios elevados, obter o controlo do Active Directory.
Práticas incorrectas de palavra-passe e autenticação
A não implementação de políticas e práticas de palavras-passe seguras pode anular a melhor tecnologia. As palavras-passe fracas podem ser decifradas através de ataques de força bruta e de dicionário. As palavras-passe comuns podem ser adivinhadas através de ataques de pulverização de palavras-passe. Com base em evidências de grandes fornecedores de identidade na nuvem, o NIST e outras organizações recomendaram alterações às políticas de palavras-passe usadas no passado, tais como não expirar a palavra-passe, diminuir a complexidade e aumentar o comprimento, e proibir palavras-passe comuns.
Os erros de configuração também podem agravar os problemas. Por exemplo, a definição Armazenar palavra-passe utilizando encriptação reversível é necessária para suportar aplicações antigas que necessitam de palavras-passe em texto simples para funcionarem normalmente. No entanto, uma vez que estas palavras-passe são reversíveis em vez de hash, um atacante que decifre a encriptação pode sequestrar a conta. Qualquer aplicação que ainda exija esta definição já devia ter sido retirada há muito tempo - especialmente quando comparada com o risco acrescido que representa para o Active Directory.
Utilizadores com direitos para adicionar computadores a um domínio
Se um utilizador tiver a definição de segurança "Adicionar estações de trabalho ao domínio" activada, por predefinição, poderá adicionar até 10 computadores ao domínio. O desafio aqui é que um atacante pode utilizar esta capacidade para contornar os controlos de segurança do ponto final. Qualquer pessoa que adicione uma conta de máquina torna-se automaticamente o proprietário desse objeto de máquina.
Uma vulnerabilidade comum é causada por operadores que juntam futuros controladores de domínio ao seu domínio do Active Directory antes da promoção. Se a propriedade do objeto informático não for transferida, esse operador terá controlo administrativo sobre o controlador de domínio depois de este ter sido promovido. Esta capacidade deve ser restringida a contas específicas que dela necessitem.
Exemplos de violações recentes do Active Directory
Não é preciso procurar muito para encontrar exemplos de violações do Active Directory que causaram estragos significativos - e graves repercussões para as organizações vitimadas.
- As cidades de Dallas, no Texas, e Oakland, na Califórnia, estão a trabalhar há meses para recuperar de ciberataques que afectaram os serviços municipais.
- O Barts Health NHS Trust de Londres, que serve mais de 2 milhões de pacientes, foi vítima de um ataque do BlackCat/ALPHV.
- Os ataques a distritos escolares em todo o país, incluindo no Minnesota, Colorado e Califórnia, expuseram dados privados de alunos a agentes de ameaças.
- A SolarWinds, vítima de um dos ciberataques mais conhecidos da história recente, anunciou recentemente que os seus executivos deverão enfrentar acusações da SEC dos EUA relacionadas com a forma como lidaram com o incidente.
- A Dish Network comunicou um ataque de ransomware em março que comprometeu o Active Directory e depois a sua infraestrutura VMware, afectando milhões de assinantes durante mais de um mês.
Os atacantes sabem que comprometer o Active Directory abre a porta a todo o tipo de actividades maliciosas, desde o roubo de dados ao ransomware. No ataque ao Barts Health NHS Trust, foram alegadamente roubados terabytes de dados. Um ataque bem-sucedido pode resultar em tempo de inatividade, cobertura desfavorável da mídia e impactos negativos sobre os clientes cujos dados foram comprometidos. Uma vez que os atacantes estejam dentro da sua rede, limitar os danos que eles podem causar dependerá em parte da sua capacidade de bloquear o acesso deles a recursos críticos. No centro desses esforços está a segurança do Active Directory.
Segurança do Active Directory e Governação, Risco e Conformidade
Monitorizar e proteger o Active Directory é importante para mais do que a defesa cibernética. O Active Directory é uma fonte de informação vital para os regulamentos de conformidade que exigem pistas de auditoria e provas de controlos de acesso e políticas em torno de dados sensíveis. A auditoria regular e a visibilidade abrangente são necessárias para atender às demandas de regulamentações e padrões como HIPAA e PCI DSS. Uma estratégia robusta de monitorização da segurança do Active Directory fornece informações importantes para fins de conformidade.
Quais são as melhores práticas para proteger o Active Directory?
A chave para evitar muitos destes problemas reside na sua capacidade de detetar configurações de risco e monitorizar quaisquer alterações acidentais ou maliciosas. A um nível fundamental, a redução do risco consiste em aumentar a barreira à entrada dos atacantes - fechando as falhas de segurança antes que os atacantes possam passar por elas.
Ao efetuar avaliações de segurança regulares, pode detetar potenciais ameaças antes de estas serem exploradas. Uma alteração de permissão no objeto AdminSDHolder ou uma alteração recente ao esquema do descritor de segurança predefinido podem ser sinais de um ataque em curso. Se essas alterações não foram aprovadas, deve soar um alarme imediato.
A boa notícia é que as organizações podem seguir várias dicas para limitar a superfície de ataque do Active Directory.
Implementar políticas de palavra-passe eficazes
A proteção das palavras-passe e a aplicação da complexidade da palavra-passe são fundamentais como primeira linha de defesa. As palavras-passe complexas devem ter pelo menos sete caracteres e incluir números, caracteres maiúsculos e minúsculos e caracteres não alfanuméricos, como pontos de exclamação e cifrões. As organizações devem considerar a utilização da funcionalidade de políticas de palavra-passe detalhadas em vez de Objectos de Política de Grupo (GPOs) para implementar regras mais rigorosas. Por exemplo, podem ser criadas políticas para aplicar diferentes regras de bloqueio de contas a conjuntos específicos de utilizadores num único domínio.
Siga as directrizes do NIST para a política de palavras-passe, resumidas anteriormente. As palavras-passe devem ser armazenadas num cofre com ar comprimido. Além disso, as organizações devem garantir que as senhas da Política de Grupo não sejam armazenadas em nenhum lugar do SYSVOL, que é um diretório que reside em cada controlador de domínio (DC) dentro de um domínio. O SYSVOL contém as GPOs e os scripts de início de sessão de que os clientes necessitam para aceder e sincronizar entre DCs. Se os administradores armazenarem credenciais em pastas SYSVOL, essas credenciais podem ser roubadas por um atacante que tenha o controlo de uma conta comprometida.
Aplicar o princípio do menor privilégio
Seguir o princípio do privilégio mínimo é essencial para reduzir a superfície de ataque do Active Directory - os vários vetores de ataque contra os quais sua organização precisa se proteger. Esta abordagem exige que todos os utilizadores, dispositivos e aplicações recebam apenas o número e nível mínimos de permissões de que necessitam para funcionar.
Quer sejam herdadas indevidamente, concedidas por acidente ou ação maliciosa, ou simplesmente concedidas por conveniência, as permissões de utilizador excessivas representam uma ameaça direta à segurança do seu ambiente. Também pode haver implicações relacionadas com a conformidade regulamentar em determinados sectores. Desde o início, o seu ambiente deve ser concebido para conceder às contas apenas os direitos mínimos necessários. Os grupos privilegiados devem ter um número limitado de membros, e alguns, como os operadores de impressoras, não devem ter nenhum ou devem ser restringidos para permitir apenas a participação temporária.
O tratamento adequado desta questão implica compreender claramente as funções dos utilizadores, quem na organização terá autoridade para adicionar utilizadores a grupos e quando o pode fazer. Audite regularmente o seu ambiente para reduzir o risco e eliminar contas com privilégios excessivos.
Complicar o reconhecimento do Active Directory
Os atacantes efectuam frequentemente o reconhecimento do protocolo LDAP (Lightweight Directory Access Protocol) do Active Directory para obter informações sobre o ambiente e continuar o seu ataque. O Active Directory foi concebido para ser um livro aberto, tornando difícil impedir este reconhecimento. No entanto, ao remover os direitos de administrador local e ao monitorizar pedidos LDAP suspeitos, as empresas podem complicar as coisas para os atacantes. Além disso, ao aproveitar o provisionamento just-in-time e renomear unidades organizacionais (OUs), é possível limitar a visibilidade de um invasor armado com uma conta legítima.
Retirar os protocolos antigos
As melhores práticas exigem a eliminação de protocolos antigos, como TLS 1.0 e 1.1, Server Message Block v1 (SMBv1), Autenticação Digest e Lan Manager (LM) / NTLMv1 e NTLMv2. Estes protocolos não foram concebidos tendo em conta as ameaças e as necessidades de segurança actuais e podem constituir um ponto fraco na defesa da sua organização. O NTLMv1 e o NTLMv2, por exemplo, são vulneráveis a ameaças como ataques de força bruta e man-in-the-middle, e as organizações são aconselhadas a mudar para o Kerberos. No entanto, antes de retirar estes protocolos, a equipa do Active Directory deve certificar-se de que compreende totalmente a forma como estes protocolos são utilizados no ambiente para evitar quebrar a funcionalidade de quaisquer aplicações em utilização.
Corrigir vulnerabilidades e configurações inseguras do Active Directory
Vulnerabilidades como o Zerologon (CVE-2020-1472) representam um risco significativo para o Active Directory se as empresas estiverem atrasadas na aplicação de patches. Devido à importância do Active Directory no seu ambiente de TI, os patches devem ser priorizados, testados e implantados o mais rápido possível. Os atacantes procurarão atacar primeiro as vulnerabilidades conhecidas. Para reduzir o risco, as empresas devem analisar os seus sistemas regularmente e dar prioridade à correção das vulnerabilidades de acordo com a sua gravidade e o potencial impacto nas operações comerciais, caso sejam exploradas. Além disso, o software desatualizado deve ser identificado e atualizado o mais rapidamente possível.
Ir atrás da fruta mais fácil não se limita a corrigir as vulnerabilidades. Também envolve a identificação de definições inseguras que concedem aos utilizadores permissões desnecessárias ou facilitam o aumento de privilégios. Quer esses erros de configuração se devam a negligência, alterações acidentais ou acções maliciosas, a realização de avaliações de segurança periódicas é uma necessidade.
Ao seguir estes passos, a sua organização pode construir muros à volta dos seus utilizadores, dados sensíveis e sistemas que reduzirão o risco e tornarão o ambiente do Active Directory mais resistente face a um ataque.
Como é que a Semperis o pode ajudar a garantir a segurança do Active Directory?
Na Semperis, ajudamos as organizações a garantir a integridade e a disponibilidade do Active Directory local e do Entra ID com soluções que podem ajudá-las a identificar, recuperar e responder a ataques.
- Avalie a superfície de ataque do seu Active Directory híbrido com ferramentas gratuitas como Purple Knight e Forest Druid.
- Implemente a reversão automática de alterações suspeitas no Active Directory com Directory Services Protector ( DSP).
- Acelere e simplifique o processo de recuperação do Active Directory com Active Directory Forest Recovery ( ADFR).
- Modernização e migração seguras do Active Directory com a ajuda especializada da Semperis.
- Optimize a sua arquitetura e configurações de segurança, procedimentos operacionais e planos de correção e recuperação com a ajuda dos serviços de preparação e resposta a violações da Semperis.
Descubra soluções especializadas de deteção e resposta a ameaças à identidade (ITDR) e de segurança e recuperação do Active Directory.