Glossário de Segurança do AD

Uma parte de uma lista de controlo de acesso (ACL), uma entrada de controlo de acesso (ACE) define quem tem acesso a um recurso e quais as operações que pode efetuar. ACEs configuradas de forma inadequada podem levar ao acesso não autorizado a recursos ou ao aumento de privilégios.

Ver também: lista de controlo de acesso (ACL)

Uma lista de controlo de acesso (ACL) é uma lista de entradas de controlo de acesso (ACE) que se aplicam a um objeto do AD (ou seja, um utilizador, grupo ou objeto de computador). Cada ACE numa ACL identifica um administrador e especifica os direitos de acesso permitidos, negados ou auditados para esse administrador. ACLs configuradas incorretamente podem levar a acesso não autorizado ou exposição de dados.

Ver também: entrada de controlo de acesso (ACE)

Um token de acesso é um token de segurança que contém identificadores de segurança (SIDs) de utilizadores e grupos. Os direitos de utilizador e alguns SIDs de grupo do token podem ser utilizados para autorização. Se os tokens de acesso forem desviados ou manipulados, um atacante pode fazer-se passar por um utilizador ou aumentar os privilégios.

Num ataque de persistência de ACL, um adversário manipula a lista de controlo de acesso discricionário (DACL) de um objeto do Active Directory para manter determinados privilégios ou permissões. Este ataque permite que o atacante persista na rede mesmo depois de o vetor de intrusão inicial ter sido remediado.

O Active Directory (AD) é um serviço de diretório desenvolvido pela Microsoft para redes de domínio Windows. O AD utiliza um armazenamento de dados hierárquico e estruturado para serviços e componentes. O AD é utilizado principalmente para armazenar objectos como utilizadores, grupos e computadores, permitindo a gestão destes recursos, incluindo as respectivas permissões. O AD efectua a autenticação de utilizadores e controla o acesso aos recursos e dados de uma organização. Mais de 90% das organizações utilizam o AD, o Azure AD ou uma combinação dos dois (AD híbrido) como a sua solução de identidade principal. O AD é frequentemente um alvo para os ciberataques devido ao seu papel central na gestão da rede. Definições incorrectas do AD foram exploradas em vários ataques de alto perfil.

O Centro Administrativo do Active Directory (ADAC) é uma consola de gestão do Windows Server que utiliza um modelo de administração baseado em tarefas para gerir utilizadores, grupos, computadores e outros objectos num domínio.

Os ataques a ambientes AD seguem normalmente um determinado caminho: movimento lateral entre sistemas, aumento de privilégios, inserção de malware ou ransomware em controladores de domínio, estabelecimento de persistência, exfiltração de dados e (no caso de ransomware) detonação/encriptação. Por conseguinte, a segurança do AD depende da defesa em todas as fases deste ciclo de vida: antes, durante e depois de uma tentativa de ciberataque.

Ver também: cadeia de morte cibernética, domínio do domínio

Uma cópia de segurança específica do Active Directory separa os componentes do AD (por exemplo, base de dados, registos, hives do registo) das cópias de segurança das unidades de sistema de uma máquina física ou virtual, incluindo aplicações, sistemas operativos, etc. Os backups específicos do AD permitem que a sua organização recupere rapidamente o AD de forma segura e livre de malware ou ransomware generalizado. Por outro lado, o estado do sistema ou a recuperação bare metal podem reintroduzir malware oculto nos backups.

Ver também: restauro do estado do sistema

Os Serviços de Certificados do Active Directory (AD CS) fornecem soluções de controlo de identidade e acesso para uma organização. Se um atacante comprometer o AD CS, pode emitir certificados fraudulentos, levando a ataques man-in-the-middle ou outras actividades não autorizadas.

Para 90% das organizações empresariais, o Active Directory controla o acesso a todos os utilizadores, sistemas e recursos. Se o AD não estiver a funcionar, nada está. Recuperar o AD após um ataque cibernético ou outro desastre é o passo mais importante para restaurar as operações e provar a resiliência cibernética.

Os Serviços de Domínio do Active Directory (AD DS) são a função central do AD. O AD DS fornece os métodos para armazenar dados de diretório e disponibilizar esses dados aos utilizadores e administradores da rede. Um comprometimento do AD DS pode levar a um acesso não autorizado aos recursos da rede.

O módulo PowerShell dos Serviços de Domínio do Active Directory (ADDS) fornece uma coleção de cmdlets que lhe permitem utilizar o PowerShell para gerir e administrar vários aspectos do AD, tais como utilizadores, grupos, computadores e unidades organizacionais.

O Active Directory Federation Services (ADFS) é um componente de software desenvolvido pela Microsoft. O ADFS pode ser executado em sistemas operativos Windows Server para fornecer aos utilizadores um acesso de início de sessão único a sistemas e aplicações localizados para além das fronteiras organizacionais. Se não for devidamente protegido, o ADFS pode ser alvo de ataques com o objetivo de obter acesso não autorizado.

O Semperis ADFR é uma solução de backup e recuperação criada especificamente para recuperar o Active Directory de desastres cibernéticos. O Semperis ADFR automatiza totalmente o processo de recuperação de florestas do AD, reduz o tempo de inatividade, elimina o risco de reinfeção por malware e permite a análise forense pós-violação.

O reforço do Active Directory envolve técnicas práticas para proteger o seu ambiente AD. O AD desempenha um papel fundamental na infraestrutura de TI e garante a harmonia e a segurança de diferentes recursos de rede num ambiente global e interligado.

Nenhuma organização com uma infraestrutura de TI está imune a ataques, mas as políticas, processos e controlos adequados podem ajudar a proteger os principais segmentos da infraestrutura informática da sua organização, incluindo o AD. O reforço do AD pode ajudar a evitar que uma violação ou outra ameaça se transforme num compromisso total do ambiente informático.

Avaliar regularmente o risco e a integridade do Active Directory da sua organização é um passo importante para reduzir a superfície de ataque do AD. Uma solução robusta de avaliação da segurança do AD, como a Purple Knight pode fornecer uma lista prioritária de recomendações, específicas para a sua infraestrutura implementada, para melhorar a saúde do AD.

Os Serviços de Diretório Ligeiro do Active Directory (AD LDS), anteriormente conhecidos como Modo de Aplicação do Active Directory (ADAM), são um serviço de diretório LDAP (Lightweight Directory Access Protocol) que fornece um suporte flexível para aplicações activadas por directórios. O AD LDS pode ser utilizado para criar um diretório separado para aplicações que requerem autenticação e informações de utilizador sem ter de criar contas de utilizador adicionais no AD DS principal. Por exemplo, uma aplicação Web pode utilizar o AD LDS para armazenar perfis de utilizador e informações de controlo de acesso separadamente do Active Directory principal, reduzindo a superfície de ataque e minimizando potenciais riscos de segurança. As instâncias do AD LDS executadas num servidor podem conduzir a riscos de segurança adicionais, uma vez que podem ser exploradas para obter acesso não autorizado a informações.

A Ferramenta de Migração do Active Directory (ADMT) é um utilitário da Microsoft que permite aos administradores migrar objectos (ou seja, contas de utilizador, grupos de segurança e computadores) de um domínio dos Serviços de Domínio do Active Directory (AD DS) para outro, frequentemente durante um projeto de reestruturação ou consolidação.

Veja também: Serviços de domínio do Active Directory (AD DS)

Os ciberataques que conseguem violar o ambiente de uma organização procuram normalmente obter privilégios no Active Directory, numa tentativa de aceder a dados e recursos. Assim que os agentes da ameaça ganham um ponto de apoio, utilizam-no para aumentar o seu alcance, idealmente até comprometerem uma conta administrativa. Este aumento de acesso é conhecido como escalonamento de privilégios.

A recuperação do AD restaura cada domínio da floresta para o estado em que se encontrava no momento do último backup fiável. Restaurar o Active Directory a partir de cópias de segurança ou reinstalar os Serviços de Domínio do AD em todos os controladores de domínio de uma floresta pode ser uma tarefa demorada e complicada. No entanto, o ransomware que bloqueia ou corrompe o AD torna este passo necessário. 

Quando associada a uma cópia de segurança específica do AD, uma solução de recuperação do AD que automatiza os passos do processo de restauro pode reduzir significativamente o tempo de inatividade do AD. Por exemplo, o Semperis Active Directory Forest Recovery acelera a recuperação de florestas do AD em até 90%.

A Reciclagem do Active Directory (Reciclagem do AD) é uma funcionalidade do AD que permite restaurar objectos eliminados sem reiniciar, interromper o serviço ou restaurar a partir de cópias de segurança. Se não for devidamente protegida, a Reciclagem do AD pode ser explorada para restaurar contas ou grupos maliciosos eliminados.

A Ferramenta de Estado da Replicação do Active Directory (ADREPLSTATUS) é uma ferramenta de diagnóstico que fornece informações detalhadas sobre o estado da replicação para controladores de domínio numa floresta AD. O ADREPLSTATUS ajuda a identificar problemas de replicação e a resolver problemas relacionados com a replicação.

Os Serviços de Gestão de Direitos do Active Directory (AD RMS) são uma tecnologia da Microsoft que utiliza encriptação e uma forma de negação de funcionalidade selectiva para limitar o acesso a documentos, tais como e-mails empresariais, documentos Word e páginas Web.

Uma avaliação de riscos do Active Directory procura indicadores de exposição (IOEs) ou indicadores de comprometimento (IOCs) para determinar o risco da sua organização durante um ataque cibernético ou outro evento catastrófico. Uma avaliação de risco robusta fornece orientação específica e acionável para ajudá-lo a mitigar os riscos de segurança para o AD e para sua organização.

Veja também: Controlo de saúde do Active Directory, indicadores de compromisso, indicadores de exposição

Uma vez que o Active Directory é utilizado para configurar as permissões e o acesso à rede, é um alvo privilegiado para os ciberataques. Anos de crescimento, fusões, etc., resultam muitas vezes em "falhas de configuração" e configurações incorrectas que deixam o AD aberto a ataques. Por conseguinte, colmatar as lacunas de segurança no AD é uma parte importante da estratégia global de cibersegurança de uma organização. 

Uma avaliação do ambiente AD de uma organização para ajudar a sua organização a identificar, quantificar e reduzir os riscos que afectam o AD. Esta análise gera uma lista de problemas a resolver e pode também oferecer orientações de correção e melhores práticas para melhorar o desempenho ou a segurança da infraestrutura do AD.

Veja também: Auditoria de segurança do Active Directory

O processo de recolha de dados sobre objectos e atributos do AD e a análise e elaboração de relatórios sobre esses dados para determinar a integridade geral do diretório, a adequação dos controlos do sistema, a conformidade com a política e os procedimentos de segurança estabelecidos, quaisquer violações dos serviços de segurança e quaisquer alterações indicadas para contramedidas.

A auditoria de segurança do AD ajuda-o a detetar e responder a ameaças internas, utilização indevida de privilégios e outros indicadores de exposição (IOEs) ou indicadores de compromisso (IOCs), reforçando assim a sua postura de segurança.

Veja também: Avaliação da segurança do Active Directory

Os indicadores de segurança AD dividem-se em várias categorias:

• Indicadores de ataque (IOAs)
• Indicadores de compromisso (IOCs)
• Indicadores de exposição (IOEs)

Soluções como a Semperis Purple Knight e Directory Services Protector ( DSP) utilizam estes indicadores para ajudar as organizações a identificar vectores de ataque que os agentes de ameaças podem utilizar para obter acesso ao ambiente AD. Estas vulnerabilidades podem conduzir a uma escalada de privilégios e, eventualmente, à implantação de malware.

As Interfaces de Serviço do Active Directory (ADSI) são um conjunto de interfaces COM que são utilizadas para aceder às funcionalidades dos serviços de diretório de diferentes fornecedores de rede. A ADSI é uma interface programática para o AD que permite aos programadores executar tarefas comuns, como a adição de novos utilizadores. Os ciberataques podem utilizar a ADSI para manipular as entradas de diretório.

O snap-in do Editor de Interfaces de Serviço do Active Directory (ADSIEdit) da Consola de Gestão da Microsoft (MMC) funciona como um editor de baixo nível para o Active Directory. O ADSIEdit fornece acesso às propriedades dos objectos que não estão expostas noutras interfaces do AD, oferecendo uma vista detalhada de cada objeto e atributo numa floresta do AD.

O Active Directory Sites and Services (ADSS) é um snap-in da Consola de Gestão da Microsoft (MMC) utilizado para administrar a replicação de dados de diretório entre todos os sites de uma floresta do AD. As configurações incorrectas podem afetar o desempenho do AD e também causar a replicação de dados de segurança defeituosos.

As relações de confiança do Active Directory (relações de confiança AD) permitem que os utilizadores de um domínio AD acedam a recursos de outro domínio AD. Faça uma gestão cuidadosa das relações de confiança para evitar o aumento involuntário de privilégios ou a exposição de recursos.

O Active Directory Users and Computers (ADUC) é um snap-in da Consola de Gestão da Microsoft (MMC) que permite aos administradores gerir contas de utilizador e vários outros objectos no AD. A utilização incorrecta pode levar a atribuições de privilégios não intencionais ou à exposição de dados.

Uma avaliação das vulnerabilidades no ambiente do Active Directory da sua organização pode ajudar a identificar, quantificar e reduzir os riscos de segurança e configuração do AD. Essas análises geram uma lista de problemas a serem resolvidos e também podem oferecer orientações de correção e práticas recomendadas para melhorar o desempenho ou a segurança da infraestrutura do AD.

Veja também: Avaliação da segurança do Active Directory

O Active Directory Web Services (ADWS) é um serviço Web alojado em controladores de domínio com o Windows Server 2008 R2 e posterior. O ADWS fornece um protocolo para aceder e gerir serviços de diretório através dos protocolos Web HTTP e HTTPS padrão.

Add-ADComputer é um cmdlet do PowerShell que pode ser utilizado para criar um novo objeto de computador no Active Directory. Se for mal utilizado, este cmdlet pode levar à criação de contas de computador não autorizadas, potencialmente utilizadas para persistência ou movimento lateral.

Add-ADComputerServiceAccount é um cmdlet do PowerShell que pode ser utilizado para adicionar uma conta de serviço a um objeto de computador no AD. Um atacante que comprometa este cmdlet pode associar contas de serviço a sistemas não pretendidos, obtendo potencialmente privilégios não autorizados.

Add-ADGroupMember é um cmdlet do PowerShell que pode ser utilizado para adicionar um ou mais utilizadores, grupos, contas de serviço ou computadores a um grupo do AD. A utilização incorrecta deste cmdlet pode levar a um aumento de privilégios não autorizado.

Add-ADPrincipalGroupMembership é um cmdlet do PowerShell que pode ser utilizado para adicionar um utilizador, grupo, conta de serviço ou computador a um ou mais grupos do AD. Se utilizado de forma maliciosa, este cmdlet pode conceder a um atacante acesso a recursos.

Add-ADUser é um cmdlet do PowerShell que pode ser utilizado para criar um novo objeto de utilizador no Active Directory.

O protocolo de resolução de endereços (ARP) é utilizado para mapear um endereço IP para um endereço físico (MAC) numa rede local. Embora não seja específico do AD, a falsificação de respostas ARP é um vetor de ataque comum em ambientes LAN.

Parte do Sysinternals Suite da Microsoft, o ADExplorer é uma ferramenta legítima que é usada para visualizar a estrutura e os objectos do Active Directory e editá-los. Os atacantes podem usar esta ferramenta para explorar as estruturas do AD, analisar objectos, permissões e muito mais.

ADfind é uma ferramenta de linha de comando desenvolvida por Joe Richard (DS-MVP) para consultar o Active Directory.

A divisão administrativa em camadas ajuda uma organização a proteger melhor o seu ambiente digital, definindo três ou mais camadas de acesso a recursos e sistemas. Esta estratificação cria zonas tampão que separam a administração de activos de alto risco ou valiosos, como os controladores de domínio do Active Directory.

AdminSDHolder é um objeto do Active Directory que contém o descritor de segurança para objectos que são membros de grupos privilegiados. O processo SDProp assegura que as listas de controlo de acesso (ACLs) dos objectos protegidos são sempre consistentes com o objeto AdminSDHolder. Um objeto AdminSDHolder comprometido pode levar a um ataque SDProp.

A Adprep é uma ferramenta de linha de comandos que é utilizada para preparar uma floresta ou domínio para uma atualização do Windows Server. A Adprep efectua as actualizações necessárias do esquema e da infraestrutura para suportar a versão mais recente do Windows Server.

O ADRecon é uma ferramenta que reúne informações sobre o AD e gera um relatório que pode fornecer uma imagem holística do estado atual do ambiente AD alvo. Os ciberataques podem utilizar o ADRecon para reconhecimento, a fim de identificar potenciais vulnerabilidades.

A Gestão Avançada de Políticas de Grupo (AGPM), uma funcionalidade do Microsoft Desktop Optimization Pack (MDOP), permite um melhor controlo e gestão dos Objectos de Política de Grupo (GPOs). O AGPM inclui capacidades de controlo de versões, delegação baseada em funções e aprovação de alterações.

A entidade de segurança Início de sessão anónimo permite o acesso anónimo a determinados serviços de um computador. No contexto do AD, o Início de sessão anónimo representa ligações de utilizadores que não apresentam um conjunto válido de credenciais. Isto pode representar um risco de segurança e é frequentemente limitado ou desativado.

O Active Directory utiliza uma partição de diretório de aplicações para guardar dados específicos de uma determinada aplicação ou serviço, como o DNS. Se não for devidamente protegida, esta partição pode ser explorada por entidades maliciosas para persistência ou extração de dados.

Os objectos do Active Directory têm atributos, que definem as características do objeto (por exemplo, número de telefone do utilizador, nome do grupo). A manipulação de atributos pode, por vezes, conduzir a actividades não autorizadas ou à divulgação de informações.

As políticas de auditoria definem os tipos de eventos de segurança a serem registados no registo de segurança nos controladores de domínio e computadores. Uma política de auditoria deficiente pode não detetar tentativas de intrusão ou outras actividades maliciosas.

O processo de autenticação valida as credenciais de uma pessoa, processo informático ou dispositivo. A autenticação do Active Directory envolve a prova da identidade de um utilizador que inicia sessão num ambiente AD e, se for comprometida, pode conduzir a um acesso não autorizado.

Um restauro autoritativo actualiza os controladores de domínio existentes com dados restaurados, que depois são replicados para todos os outros DCs num ambiente multi-DC.

Ver também: restauro não autorizado

O processo de autorização, que determina quais as permissões e direitos de um utilizador autenticado, segue o processo de autenticação. No AD, a autorização é frequentemente gerida através de associações a grupos. Configurações de autorização inadequadas podem levar a acesso não autorizado ou escalonamento de privilégios.

Ver também: autenticação

A classe auxiliar é uma classe opcional no esquema AD que pode ser utilizada para alargar os atributos de outras classes. A configuração incorrecta das classes auxiliares pode conduzir a vulnerabilidades de segurança.

A disponibilidade é um dos três pilares da segurança da informação (juntamente com a confidencialidade e a integridade). A disponibilidade refere-se à capacidade de aceder aos recursos conforme esperado. No contexto do Active Directory, a disponibilidade pode estar relacionada com a resiliência dos controladores de domínio e a infraestrutura de rede que suporta o AD.

O Microsoft Azure Active Directory (Azure AD ou AAD, agora renomeado Entra ID) é o serviço de gerenciamento de identidade e acesso (IAM) baseado em nuvem da Microsoft. O Azure AD ajuda as organizações a gerenciar e proteger o acesso a aplicativos, dados e redes, tanto na nuvem quanto no local. No contexto da cibersegurança, os ciberataques visam frequentemente o Azure AD para obter acesso não autorizado ou escalar privilégios, utilizando tácticas como ataques de pulverização de palavras-passe, phishing de consentimento ou exploração de configurações incorrectas nas políticas de segurança e controlos de acesso. Por conseguinte, é fundamental proteger o Azure AD.

Embora o Azure AD partilhe parte do seu nome com o AD no local, tem um modelo de segurança completamente diferente. Se a sua organização utiliza o Microsoft 365, também utiliza o Azure AD.

O ingresso no Azure Active Directory (ingresso no Azure AD) é um processo que regista um dispositivo num inquilino específico do Azure AD, permitindo que o dispositivo seja gerido e protegido através de políticas e serviços baseados na nuvem.

Um atributo de ligação posterior é um tipo de atributo no esquema de uma floresta do Active Directory. Este atributo está ligado a um atributo de ligação direta. Em conjunto, estes são utilizados para criar e gerir atributos ligados.

O processo BackSync replica objectos e propriedades para um servidor de catálogo global a partir de um controlador de domínio no mesmo domínio.

O atributo BadPasswordTime de um objeto de utilizador AD regista a hora da última tentativa de início de sessão incorrecta.

O atributo BadPwdCount de um objeto de utilizador do AD monitoriza as tentativas de palavras-passe incorrectas. Este atributo pode ser monitorizado para detetar potenciais ataques de força bruta.

Uma BMR restaura uma cópia de segurança do estado do sistema mais todos os dados de não utilizadores em volumes críticos no servidor. Uma vez que é uma versão expandida de um backup do estado do sistema, um BMR está sujeito às mesmas restrições (mesmo hardware, residência de malware) que um backup do estado do sistema.

Ver cópia de segurança do Active Directory (cópia de segurança do AD)

Uma pesquisa LDAP começa com o DN de base. Este DN pode ser um potencial ponto de partida para um atacante com acesso não autorizado começar a explorar a estrutura do Active Directory.

Base64 é um esquema de codificação binário para texto. No contexto do Active Directory, determinados atributos, como userPhoto, são codificados em Base64.

O BPA (Best Practice Analyzer) é uma ferramenta de gestão de servidores que está disponível no Windows Server. O BPA pode ajudar um administrador a reduzir as violações das melhores práticas, analisando uma função do AD DS e comunicando quando uma função não está em conformidade com as melhores práticas.

Um BLOB é uma coleção de dados binários armazenados como uma entidade única numa base de dados, incluindo o Active Directory. Os BLOBs são normalmente imagens, áudio ou outros objectos multimédia, embora por vezes o código binário executável também possa ser armazenado como um BLOB.

No contexto do Active Directory, a ligação é o processo de estabelecimento de uma ligação ao serviço de diretório, que pode então ser utilizado para realizar operações. Se os atacantes conseguirem ligar-se ao seu Active Directory, podem começar a executar consultas e potencialmente fazer alterações se as permissões o permitirem.

O BitLocker é uma funcionalidade de encriptação de volumes completos incluída nas versões do Microsoft Windows a partir do Windows Vista. O BitLocker foi concebido para proteger os dados, fornecendo encriptação para volumes completos. Se um atacante obtiver acesso físico a um servidor, o BitLocker pode impedir o acesso não autorizado aos dados nele armazenados.

Se esta chave de recuperação para a encriptação da unidade BitLocker estiver comprometida, um atacante pode desencriptar uma unidade encriptada pelo BitLocker.

O BitLocker To Go estende a proteção de dados do BitLocker a unidades removíveis, como discos rígidos externos e unidades flash USB. Estas unidades podem ser bloqueadas e desbloqueadas apenas com uma palavra-passe, um cartão inteligente ou uma chave de recuperação.

O BlackCat/ALPHV é o primeiro malware de alto perfil escrito em Rust, uma linguagem de programação moderna e multiplataforma. Capaz de comprometer sistemas operativos baseados em Windows e Linux, o BlackCat funciona como ransomware as a service (RaaS) da ALPHV, um grupo de ciberataques de língua russa. Utiliza credenciais de utilizador comprometidas para obter acesso inicial aos sistemas visados e depois aproveita esse acesso para comprometer ainda mais as contas de utilizador e administrador no Active Directory (AD). Os ataques BlackCat utilizam frequentemente uma tática de extorsão tripla, através da qual fazem pedidos de resgate individuais para desencriptar ficheiros infectados, não publicar dados roubados e não lançar ataques de negação de serviço (DoS).

Uma lista negra é um controlo de segurança básico no qual uma lista de endereços IP, utilizadores, computadores, etc., são bloqueados ou têm o acesso negado. No contexto do Active Directory, uma lista negra pode ajudar a proteger o diretório de entidades maliciosas conhecidas.

O BloodHound é uma ferramenta de reconhecimento do AD. O BloodHound visualiza os ambientes AD, destacando as relações que podem ser exploradas para o aumento de privilégios. É frequentemente utilizado em ataques de ameaças persistentes avançadas (APT).

Ver também: Ataques de BloodHound

Um atacante pode utilizar o BloodHound, uma ferramenta que pode mapear as relações AD, para compreender a estrutura do ambiente AD de uma organização e planear ataques com base nas informações.

Ver também: BloodHound

Nos testes de cibersegurança, uma equipa azul é o grupo de indivíduos responsáveis pela análise e segurança de um sistema de informação, identificando as suas vulnerabilidades e falhas de segurança e defendendo o ambiente contra potenciais atacantes (ou seja, a equipa vermelha).

Ver também: equipa vermelha

O BlueKeep é uma vulnerabilidade de execução remota de código (RME) que se propaga através de redes informáticas como um worm. O BlueKeep surgiu em 2019 como uma ameaça para versões mais antigas do sistema operativo Microsoft Windows. A Microsoft respondeu lançando patches para os seus sistemas operativos não suportados em risco de exploração pelo BlueKeep. No entanto, este tipo de ameaça realça a importância de ter um processo de recuperação reforçado estabelecido para responder rapidamente, caso o Active Directory e outros serviços de rede cruciais sejam comprometidos.

A replicação bootstrap é a replicação inicial de dados quando um novo controlador de domínio é adicionado a um domínio.

Um servidor cabeça de ponte é o ponto de contacto para a replicação entre sites numa floresta do Active Directory. Se um atacante comprometer um servidor bridgehead, pode potencialmente manipular os dados de replicação.

BYOD refere-se aos funcionários que trazem os seus próprios dispositivos informáticos - tais como smartphones, computadores portáteis e PDAs - para o local de trabalho para utilização e conetividade. O BYOD pode colocar desafios de segurança ao Active Directory se não for corretamente gerido e controlado.

O processo de visualização de objectos no Active Directory. Um atacante que consiga navegar no seu diretório pode começar a mapear a estrutura e os detalhes do seu ambiente AD.

O termo incorporado refere-se a grupos e contas de utilizador predefinidos que são criados automaticamente quando instala os Serviços de Domínio do Active Directory (AD DS). Estes grupos e contas têm permissões e direitos predefinidos que são atribuídos, pelo que é importante rever estas predefinições para garantir que estão em conformidade com as políticas de segurança da sua organização.

Um contentor incorporado é um contentor especial do Active Directory que existe no contexto de segurança do controlador de domínio local. Este contentor contém grupos que são locais para o controlador de domínio e é criado por predefinição quando o AD é instalado.

Um processo através do qual grandes quantidades de dados podem ser importadas para o Active Directory, muitas vezes utilizando ferramentas como o CSVDE. Se um atacante conseguir manipular este processo, pode potencialmente criar inúmeras entradas maliciosas no AD.

Um Plano de Continuidade de Negócio (BCP) é um documento que descreve como uma empresa continuará a funcionar durante uma interrupção não planeada do serviço. No contexto do Active Directory, um BCP pode incluir planos de como restaurar o serviço após uma grande interrupção ou ataque.

Cain & Abel é uma ferramenta de recuperação de palavras-passe para sistemas operativos Microsoft. Esta ferramenta permite a fácil recuperação de vários tipos de palavras-passe através de sniffing na rede, decifrando palavras-passe encriptadas utilizando ataques de dicionário, força bruta e criptanálise.

Um nome canónico é o nome DNS de um objeto no Active Directory e é utilizado para fazer referência a objectos em scripts ou outras tarefas de administração programática.

No Active Directory, uma política de acesso central (CAP) é um conjunto de regras que pode aplicar a vários servidores num domínio para controlar o acesso a ficheiros. Estas regras fazem parte do Controlo de Acesso Dinâmico (DAC) no Windows Server.

Uma lista de revogação de certificados (LCR) é uma lista de certificados digitais que foram revogados pela Autoridade de Certificação (AC) emissora antes da data de expiração prevista. É crucial manter esta lista actualizada num ambiente AD para manter a integridade das comunicações seguras.

Os Serviços de Certificados são uma função de servidor que permite à sua organização emitir e gerir certificados digitais que podem ser utilizados para comunicações seguras e outras funções relacionadas com a segurança no Active Directory.

Um domínio filho numa estrutura de múltiplos domínios do Active Directory está sob um domínio pai. O domínio filho partilha o espaço de nomes do domínio principal e são automaticamente estabelecidas relações de confiança entre eles.

O tipo de reivindicação representa um aspeto da identidade de um utilizador, como a pertença a um grupo, e é utilizado no Controlo de Acesso Dinâmico (DAC) para decisões de autorização. Os tipos de reivindicação mal configurados podem levar ao aumento de privilégios ou ao acesso não autorizado.

A autenticação baseada em afirmações é um processo em que um utilizador obtém um token assinado digitalmente de uma fonte fiável e o apresenta a um sistema. O sistema pode então validar o token e utilizar as declarações nele contidas (por exemplo, nome de utilizador, função) para identificar o utilizador.

Os utilizadores executam aplicações em estações de trabalho, também conhecidas como máquinas clientes. Se uma estação de trabalho estiver ligada a uma rede, os utilizadores podem tirar partido dos serviços fornecidos pelos servidores. Normalmente, as máquinas clientes não armazenam dados localmente, mas recebem os dados solicitados dos servidores através da execução de aplicações cliente-servidor.

Os serviços de nuvem estão disponíveis na Internet a partir de um fornecedor de computação em nuvem. Embora não sejam específicos do Active Directory, muitas organizações utilizam serviços de nuvem como o Azure Active Directory em conjunto com ou como alternativa ao AD local.

O ataque de ransomware Colonial Pipeline de 2021 é um dos ataques a infra-estruturas críticas mais conhecidos da história recente. O ataque do Colonial Pipeline demonstrou a importância de manter uma postura de segurança robusta do Active Directory.

Um ficheiro de valores separados por vírgulas (CSV) armazena dados tabulares. Ficheiros CSV indevidamente protegidos podem levar a fugas de dados, especialmente quando utilizados para importar ou exportar dados em massa do Active Directory.

O CSVDE é uma ferramenta para importar e exportar dados do Active Directory. Os ficheiros de valores separados por vírgulas (CSV) podem ser manipulados, conduzindo à importação ou exportação de dados errados se não forem validados corretamente, o que pode representar ameaças à segurança.

Um nome comum (CN) é o nome de um objeto no Active Directory e tem de ser único no respetivo contentor. O CN faz parte do nome distinto (DN) do objeto, que identifica de forma exclusiva um objeto no diretório LDAP. Por exemplo, "cn=Daniel Petri,ou=Engineering,dc=semperis,dc=com".

Esta operação de manutenção reduz o tamanho do ficheiro da base de dados (NTDS.DIT). Esta operação requer um acesso com privilégios elevados e, se for mal utilizada, pode conduzir a ataques de negação de serviço (DoS).

No Active Directory, um objeto de computador é uma representação de um computador que faz parte do domínio. Contém vários atributos sobre o computador, tais como o nome, as definições de segurança e a associação a contas ou grupos de utilizadores.

No contexto do Active Directory, uma expressão condicional pode referir-se a declarações condicionais num Objeto de Política de Grupo (GPO) ou num script ou ferramenta utilizada para a gestão do AD.

O contentor Configuração no Active Directory contém informações sobre a estrutura lógica da floresta, incluindo detalhes sobre sites, serviços e partições de diretório. Estes dados são replicados para todos os controladores de domínio de uma floresta. Do ponto de vista da cibersegurança, as alterações não autorizadas ao contentor de Configuração podem levar a problemas de replicação, afetar o desempenho da rede ou alterar o comportamento dos serviços que dependem destas informações. Por conseguinte, o acesso para modificar o contentor de Configuração deve ser rigorosamente controlado e monitorizado.

No Active Directory, um contentor é um objeto que pode armazenar outros objectos do AD, como contas de utilizador, grupos e até outras unidades organizacionais (OUs). Os contentores não podem ter políticas de grupo aplicadas aos mesmos. As UOs também são contentores e podem conter os mesmos objectos, mais outras UOs, e podem ter políticas de grupo aplicadas.

Um menu de contexto numa interface gráfica do utilizador (GUI) aparece na interação do utilizador, tal como uma operação de clique com o botão direito do rato. No Active Directory Users and Computers (ADUC), os menus de contexto oferecem várias opções, como repor palavras-passe, mover objectos ou iniciar a replicação.

As operações de criação, leitura, atualização e eliminação (CRUD) são as funções fundamentais executadas em qualquer sistema de base de dados, incluindo o Active Directory.

O roaming de credenciais é uma funcionalidade do Active Directory que permite que as credenciais e os certificados dos utilizadores sejam copiados e transferidos de forma segura entre vários dispositivos. O roaming de credenciais ajuda a gerir identidades digitais em diferentes sistemas.

As credenciais são o nome de utilizador e a palavra-passe que um utilizador fornece para se autenticar. Se as credenciais não estiverem devidamente protegidas, podem ser alvo de ataques de credential stuffing ou de força bruta.

Uma relação de confiança entre florestas pode ser criada entre duas florestas do Active Directory. Esta relação permite que os utilizadores de uma floresta acedam a recursos na outra floresta, expandindo a colaboração enquanto mantêm os limites de segurança.

Um objeto de referência cruzada é um objeto na partição de configuração que associa um contexto de nomeação a um servidor de directórios. Um atacante que comprometa este objeto pode causar problemas de replicação e conduzir a dados de segurança desactualizados.

O scripting entre sítios é um tipo de vulnerabilidade de segurança que não é específico do Active Directory, mas que pode afetar potencialmente qualquer interface baseada na Web utilizada para a administração do AD, se a interface não validar corretamente as entradas.

A criptografia é a prática e o estudo de técnicas de comunicação segura. No Active Directory, a criptografia é utilizada em vários locais, incluindo LDAP seguro, autenticação Kerberos e EFS (Encrypting File System).

A cadeia de destruição cibernética é um quadro que descreve as etapas de um ciberataque. Considera-se geralmente que tem sete etapas:

1. Reconhecimento
2. Armação
3. Entrega
4. Exploração
5. Instalação
6. Comando e controlo
7. Ação relativa ao objetivo

Em ambientes híbridos e multi-nuvem, a Semperis suporta a integridade e a disponibilidade de serviços críticos de diretório corporativo em todas as etapas da cadeia de eliminação cibernética.

A guerra cibernética é uma série de ciberataques aos sistemas informáticos críticos de um país, estado ou organização. Um dos exemplos mais infames é o NotPetya, um malware que teve origem na Rússia em 2017, visou a Ucrânia e rapidamente se espalhou por todo o mundo com efeitos devastadores.

"O NotPetya deu início a uma era totalmente nova de guerra cibernética, e a AD está na mira", disse o CEO da Semperis, Mickey Bresman. "Os programas de segurança cibernética, grandes e pequenos, estão na linha de frente de uma nova guerra que praticamente não tem limites nem regras de engajamento. Se pensarmos nos hospitais que não conseguem aceder aos seus sistemas para salvar uma vida, ou nas cidades que são feitas reféns, temos a responsabilidade de ajudar as organizações a recuperar o controlo."

Um ciberataque é uma tentativa maliciosa de obter acesso não autorizado aos recursos do sistema de informação do computador com o objetivo de roubar, alterar, expor e destruir dados ou interromper operações. Os sistemas de identidade, como o Active Directory, são os principais alvos dos ciberataques. Como tal, a Gartner e outras empresas de análise salientaram que as organizações necessitam de soluções de segurança e recuperação específicas do AD para proteger adequadamente os seus ambientes AD híbridos.

A Cybersecurity and Infrastructure Security Agency (CISA) é uma agência do Departamento de Segurança Interna dos Estados Unidos responsável pelo reforço da cibersegurança e das infra-estruturas contra ameaças.

Um ataque backdoor à lista de controlo de acesso discricionário (DACL) envolve um atacante que adiciona uma entrada à DACL de um objeto. Isto concede ao atacante determinadas permissões ou direitos a esse objeto sem que seja necessário comprometer uma conta com esses direitos.

Um ataque cibernético que ocorre com o objetivo de roubar ou expor informações confidenciais, sensíveis ou protegidas a uma pessoa não autorizada. 

Num ataque DCShadow, um adversário modifica o esquema do Active Directory registando um controlador de domínio desonesto. O atacante pode então propagar alterações de replicação maliciosas para os controladores de domínio reais. 

Os ataques DCSync utilizam como arma a funcionalidade DCSync do Active Directory, que se faz passar por um controlador de domínio (DC) utilizando os Serviços de Replicação de Directórios (DRS) para solicitar dados de palavra-passe ao DC. O ataque pode ser utilizado para "extrair" efetivamente hashes de palavra-passe do controlador de domínio, sem necessidade de executar código no próprio controlador de domínio. Este tipo de ataque é capaz de contornar os métodos tradicionais de auditoria e deteção. 

A defesa em profundidade utiliza várias medidas de segurança numa abordagem em camadas para proteger uma organização contra ciberataques.

Ver também: defesa em camadas.

A delegação Kerberos é uma funcionalidade que permite a um serviço fazer-se passar por um utilizador para outros serviços. Se for incorretamente configurada, pode ser explorada por um atacante para aumentar os privilégios ou mover-se lateralmente através da rede.

Ver também: Kerberos

A Semperis Directory Services Protector (DSP ) é a única solução de deteção e resposta a ameaças à identidade (ITDR) que fornece uma visão única das vulnerabilidades de segurança em ambientes híbridos do Active Directory/Azure AD. Com DSP, é possível correlacionar alterações no AD local e no Azure AD, detetar ataques avançados, automatizar a correção de alterações suspeitas e minimizar a superfície de ataque do AD.

As florestas do Active Directory contêm frequentemente vários riscos de segurança, desde erros de gestão a vulnerabilidades não corrigidas. Com acesso ao AD ou ao Azure AD, os agentes de ameaças podem ganhar domínio sobre toda a sua infraestrutura. Os ciberataques visam o AD para elevar os privilégios e ganhar persistência na organização. Para defender o AD, os administradores precisam de saber como os atacantes estão a visar o ambiente e quais as vulnerabilidades que podem explorar.

Ver também: Aumento de privilégios do Active Directory, indicadores de comprometimento, indicadores de exposição

O Active Directory depende fortemente do DNS para resolução de nomes e localização de serviços. Os ataques ao DNS, como o DNS spoofing ou o DNS poisoning, podem redirecionar ou manipular os pedidos de DNS, conduzindo a um acesso não autorizado ou à interrupção dos serviços do AD.

Os membros do grupo DnsAdmins têm acesso a informações de DNS da rede. Este grupo existe apenas se a função de servidor DNS estiver ou tiver sido instalada num controlador de domínio no domínio. Os atacantes que obtêm acesso a este grupo podem utilizar esse acesso para comprometer o Active Directory.

Um atacante que pertença ao grupo DNSAdmins pode carregar uma DLL arbitrária no serviço DNS, que é executado com privilégios ao nível do sistema, conseguindo assim uma escalada de privilégios.

Se um atacante obtiver controlo não autorizado sobre um controlador de domínio (DC), pode manipular objectos do Active Directory, modificar permissões, criar backdoors ou executar outras acções maliciosas que comprometam toda a infraestrutura do AD.

Durante um ciberataque, os agentes de ameaças procuram frequentemente aceder ao Active Directory. Esse acesso pode permitir que os atacantes obtenham privilégios administrativos e o poder final sobre os domínios do Active Directory e, consequentemente, sobre todas as aplicações e dados que dependem do Active Directory.

Veja também: Ciclo de vida do ataque ao Active Directory, cadeia de morte cibernética

Num ambiente com vários domínios de confiança, um atacante com acesso de administrador a um domínio de nível de confiança inferior pode aproveitar a relação de confiança para obter acesso a um domínio de nível de confiança superior.

O LSASS (Local Security Authority Subsystem Service) armazena credenciais na memória que podem ser descarregadas e extraídas por um atacante. Ferramentas como o Mimikatz são frequentemente utilizadas para este fim.

As permissões efectivas são um conjunto de permissões concedidas a um utilizador ou grupo com base numa combinação de permissões explícitas e herdadas. A compreensão das permissões efectivas é fundamental para a auditoria de segurança e as avaliações de risco.

Os privilégios elevados são permissões de nível superior, normalmente privilégios administrativos, que são concedidos a uma conta de utilizador. Um atacante que obtenha privilégios elevados pode causar danos significativos ou violações de dados.

Uma estrutura de pós-exploração PowerShell e Python, o Empire oferece uma gama de ferramentas para explorar sistemas Windows. Entre as suas capacidades estão funcionalidades para recolher credenciais, criar backdoors e estabelecer persistência num ambiente AD.

Este cmdlet do PowerShell é utilizado para ativar uma conta de utilizador desactivada no Active Directory. A utilização indevida pode reativar contas maliciosas anteriormente desactivadas.

Esta funcionalidade do Windows permite a encriptação e desencriptação transparente de ficheiros através da utilização de algoritmos criptográficos padrão avançados. Embora o EFS possa aumentar a segurança dos dados, deve ser gerido corretamente para evitar o acesso não autorizado ou a perda de dados.

A encriptação é o processo de conversão de dados numa forma codificada para impedir o acesso não autorizado. O AD utiliza a encriptação de várias formas para comunicações seguras, como bilhetes Kerberos ou ligações LDAPS.

A proteção de pontos finais é a prática de proteger pontos finais ou pontos de entrada de dispositivos de utilizador final, como computadores de secretária, computadores portáteis e dispositivos móveis, contra a exploração por agentes e campanhas maliciosos. Se forem geridos de forma incorrecta, os pontos finais infectados podem comprometer a segurança do AD.

Este grupo de alto nível no AD tem controlo total sobre todos os activos em toda a floresta. O grupo Enterprise Admins é um alvo de alto valor para os atacantes, uma vez que o comprometimento de uma conta Enterprise Admins pode levar ao controlo total do domínio.

Um diretório comum, como o Microsoft Active Directory, permite um ambiente mais seguro para os utilizadores do diretório e expectativas comuns quanto ao papel que o diretório pode desempenhar tanto para os utilizadores como para as aplicações. Um recurso comum de diretório empresarial facilita o acesso aos recursos informáticos com base em funções.

O EMM é um conjunto de serviços e tecnologias concebidos para proteger os dados empresariais nos dispositivos móveis dos funcionários. O EMM é utilizado em conjunto com o AD para a gestão de identidades e acessos.

A enumeração é o processo de extração de informações detalhadas sobre objectos no AD. A enumeração não controlada pode levar à divulgação de informações que podem ajudar um atacante.

A escalada de privilégios (ou escalada de privilégios) é um tipo de intrusão na rede que tira partido de erros de programação ou falhas de conceção para conceder ao intruso um acesso elevado à rede e aos dados e aplicações associados. Num contexto de AD, um atacante que consiga tirar partido de configurações incorrectas ou vulnerabilidades para aumentar os seus privilégios pode potencialmente obter controlo total sobre o domínio.

A Ethernet é uma família de tecnologias de ligação em rede de computadores normalmente utilizada em redes locais (LAN), redes de área metropolitana (MAN) e redes de área alargada (WAN). A Ethernet foi introduzida comercialmente em 1980 e, desde então, tem sido aperfeiçoada para suportar taxas de bits mais elevadas e distâncias de ligação mais longas. Atualmente, a Ethernet é a tecnologia de rede local mais amplamente instalada. Os cabos Ethernet, como o Cat 5e e o Cat 6, são normalmente utilizados em redes com fios. As versões mais recentes da Ethernet podem suportar taxas de transferência de dados até 400 gigabits por segundo.

Os registos de eventos são registos de incidentes significativos num sistema operativo ou noutro software. No contexto do AD, a monitorização dos registos de eventos pode ajudar a detetar incidentes de segurança ou configurações problemáticas. No entanto, alguns ataques são concebidos para evitar o registo de eventos.

Este snap-in da Consola de Gestão da Microsoft (MMC) fornece uma vista dos registos de eventos no Windows. Os administradores utilizam o Visualizador de Eventos para monitorizar, gerir e resolver problemas no AD, e a ferramenta é crucial para identificar sinais de potenciais ciberataques.

O Exchange Server é a plataforma de correio eletrónico, calendário, contactos, agendamento e colaboração da Microsoft implementada no sistema operativo Windows Server para utilização numa empresa ou num ambiente empresarial de maior dimensão. O Exchange Server interage com o AD para obter informações e autenticação do utilizador.

A associação explícita a grupos ocorre quando um utilizador ou grupo é diretamente adicionado a um grupo do AD, em vez de obter a associação através de grupos aninhados. Compreender as associações de grupo explícitas e implícitas (aninhadas) é importante para gerir permissões e controlos de acesso.

Esta definição de Política de Grupo permite a exportação de definições do utilizador e do computador. A ativação desta capacidade pode ser um problema de segurança se não for devidamente controlada, uma vez que pode levar à exposição de informações de configuração sensíveis.

A EPA é uma funcionalidade de segurança que melhora a proteção e o tratamento das credenciais de autenticação quando estas são transmitidas através da rede. Esta tecnologia foi concebida para contrariar os ataques man-in-the-middle (MitM), que roubam ou manipulam credenciais durante a transmissão. A ativação da EPA pode melhorar a segurança dos protocolos utilizados para comunicação e troca de dados. Por exemplo, quando utilizada com LDAP, a EPA pode impedir ataques como a retransmissão NTLM.

Os direitos alargados são um conjunto de permissões não normalizadas que podem ser concedidas a um responsável de segurança. Os direitos alargados fornecem direitos de acesso de controlo específicos ao objeto ao qual são aplicados. A configuração incorrecta dos direitos alargados pode conduzir a vulnerabilidades de segurança.

Um esquema alargado é um esquema AD que é modificado ou alargado com atributos ou classes adicionais, normalmente para suportar aplicações de terceiros. No entanto, as modificações incorrectas podem dar origem a problemas de funcionalidade ou vulnerabilidades de segurança.

O XML é uma linguagem de marcação que define um conjunto de regras para codificar documentos num formato legível por humanos e por máquinas. No contexto do Active Directory, o XML pode ser utilizado de muitas formas, como a criação de scripts personalizados para operações específicas, a definição de definições de Política de Grupo ou a formatação de relatórios de dados.

Esta tecnologia de armazenamento de dados ISAM baseada em Jet (anteriormente conhecida como Jet Blue) é utilizada no Active Directory e no Exchange Server. O motor da base de dados ESE permite o armazenamento e a recuperação de dados de forma rápida e eficiente, utilizando o acesso indexado e sequencial.

Uma confiança externa é um tipo de confiança no Active Directory que é definida manualmente e não se estende para além de dois domínios. Os riscos de segurança podem surgir de relações de confiança configuradas incorretamente, uma vez que podem permitir o acesso não autorizado entre domínios.

Uma extranet é uma rede privada controlada que permite o acesso a parceiros, vendedores e fornecedores, ou a um conjunto autorizado de clientes, normalmente a um subconjunto de informações acessíveis a partir da intranet de uma organização. Relativamente à AD, a autenticação e autorização adequadas são essenciais para proteger os recursos da extranet.

Failback é o processo de restaurar um sistema ou outro componente de um sistema para o seu estado original após um failover.

No Active Directory, a ativação pós-falha refere-se ao processo através do qual os serviços de rede são transferidos para um servidor de reserva em caso de falha do servidor principal. É uma parte crucial da garantia de alta disponibilidade.

O clustering de ativação pós-falha é uma tecnologia do Windows Server que permite criar e gerir clusters de ativação pós-falha, que fornecem alta disponibilidade para serviços de rede e aplicações.

Esta funcionalidade de rede permite que um computador partilhe ficheiros de dados e impressoras ligadas com outros computadores e dispositivos na rede.

O FRS é um serviço do Microsoft Windows Server para distribuir ficheiros partilhados e Objectos de Política de Grupo (GPOs). O FRS foi substituído pela Replicação Distribuída do Sistema de Ficheiros (DFSR) nas versões mais recentes do Windows Server.

A segurança do sistema de ficheiros diz respeito aos controlos de acesso e às permissões atribuídas a ficheiros e directórios. Num contexto do Active Directory, a segurança do sistema de ficheiros refere-se frequentemente a permissões definidas através de Objectos de Política de Grupo.

Os atributos FAS não são replicados para Controladores de Domínio Somente Leitura (RODCs).

No contexto do Active Directory, a filtragem é utilizada para limitar os objectos ou atributos sobre os quais actua uma operação de replicação ou consulta. Uma filtragem inadequada pode conduzir a uma replicação ineficiente ou a resultados de consulta imprecisos, afectando o desempenho e conduzindo possivelmente a dados incorrectos.

No Windows Server 2008 e posterior, estas políticas permitem-lhe especificar várias políticas de palavra-passe num único domínio. Desta forma, pode aplicar restrições diferentes para as políticas de bloqueio de palavra-passe e de conta a diferentes conjuntos de utilizadores no seu domínio.

A FOCA é uma ferramenta utilizada para encontrar metadados e informações ocultas em documentos. A FOCA pode ser utilizada para extrair informações de ficheiros públicos alojados no sítio Web de uma empresa, fornecendo aos atacantes informações sobre a estrutura interna de um ambiente AD.

Este dispositivo de segurança de rede monitoriza o tráfego de rede de entrada e de saída e decide se permite ou bloqueia tráfego específico com base num conjunto definido de regras de segurança.

As definições e regras que determinam a forma como a firewall gere o tráfego de entrada e de saída. As configurações incorrectas podem deixar as portas abertas para serem exploradas pelos atacantes, tornando a firewall um aspeto crítico da segurança da rede.

As excepções à firewall são configurações que permitem que o tráfego de rede específico contorne os controlos de segurança, muitas vezes necessários para que determinadas aplicações ou serviços funcionem corretamente numa rede.

As políticas que regem o funcionamento de uma firewall. Essas regras podem definir os tipos de tráfego permitidos ou bloqueados pelo firewall e para onde esse tráfego pode ir. A configuração e gestão correctas das regras da firewall são cruciais para manter a segurança da rede.

Um nome simples é o nome NetBIOS do domínio e pode ser diferente do nome DNS do domínio.

O processo de transferência forçada de funções FSMO de um controlador de domínio não operacional para um controlador de domínio em funcionamento num domínio do Active Directory. A apreensão de FSMO é um processo de recuperação de emergência em que um controlador de domínio do Active Directory assume à força uma função FSMO de outro controlador de domínio que está a funcionar mal ou permanentemente offline. Trata-se normalmente de uma medida de último recurso, uma vez que a apreensão de uma função FSMO pode levar a inconsistências de dados no serviço de diretório se o titular original da função ficar novamente disponível.

O processo de transferência de funções FSMO de um controlador de domínio para outro. A transferência de funções FSMO é normalmente um processo planeado, ao contrário da apreensão de funções FSMO, que é normalmente um processo de emergência. A transferência de FSMO tem de ser gerida de forma segura para evitar que um atacante assuma o controlo destas funções cruciais.

Ver também: Apreensão da função de Operações Flexíveis de Mestre Único (FSMO)

As funções FSMO são funções especiais atribuídas a um ou mais controladores de domínio num ambiente Active Directory. Estas funções gerem operações que podem ser executadas apenas por um DC de cada vez. As funções ajudam a garantir a consistência e a eliminar a possibilidade de actualizações conflituosas num ambiente do Active Directory. No entanto, uma gestão incorrecta ou uma falha de um servidor com uma destas funções pode levar a interrupções no ambiente do AD.

Existem cinco funções FSMO:

• Schema Master (um por floresta)
• Domain Naming Master (um por floresta)
• Emulador PDC (um por domínio)
• RID Master (um por domínio)
• Mestre de infra-estruturas (um por domínio)

O Redireccionamento de Pastas é uma funcionalidade da Política de Grupo que altera a localização de determinadas pastas, como o Ambiente de Trabalho, Documentos e Imagens, para uma nova localização na rede.

Neste tipo de ataque, um atacante força uma conta de utilizador ou de serviço a alterar a sua palavra-passe. O atacante captura o hash da nova palavra-passe à medida que esta é transmitida ao controlador de domínio e, em seguida, utiliza-a para se autenticar como o utilizador ou conta de serviço.

Um objeto que representa uma entidade de segurança (como um utilizador ou grupo de segurança) localizada num domínio fidedigno externo à floresta. Estes objectos permitem que as entidades de segurança externas se tornem membros de grupos de segurança no domínio.

No Active Directory, uma floresta é uma coleção de uma ou mais árvores de domínio, cada uma com um espaço de nomes DNS diferente. Todas as árvores de domínio de uma floresta partilham um esquema e um contentor de configuração comuns. Quando instala o Active Directory pela primeira vez, o ato de criar o primeiro domínio também cria uma floresta. As florestas funcionam como o contentor lógico superior numa configuração do Active Directory, encapsulando domínios.

Forest Druid é uma ferramenta de segurança gratuita da comunidade Semperis que identifica e dá prioridade a caminhos de ataque que conduzem a activos de Nível 0. A ferramenta ajuda as equipas defensivas de cibersegurança a dar rapidamente prioridade às configurações incorrectas de alto risco que podem representar oportunidades para os atacantes obterem acesso a domínios privilegiados. Em vez de perseguir todos os caminhos, os defensores podem usar o site Forest Druid para identificar rapidamente caminhos de ataque indesejados ou inesperados para correção, acelerando o processo de fechamento de backdoors no Active Directory.

Forest Druid ajuda-o:

1. Identificar os grupos e contas com acesso aos activos da Categoria 0
2. Definir os activos da Lista 0 que, de outro modo, não seriam abrangidos pelas configurações por defeito
3. Analisar o AD para detetar violações de alto risco
4. Proteger os activos de nível 0 aplicando os resultados da análise para dar prioridade à correção e reduzir os privilégios excessivos, com especial incidência nos activos de nível 0

A definição FFL determina as capacidades disponíveis dos Serviços de Domínio do Active Directory (AD DS) que podem ser utilizadas numa floresta.

Veja também: Serviços de domínio do Active Directory (AD DS)

O domínio raiz da floresta é o primeiro domínio criado na floresta. Este domínio contém algumas características especiais e é crucial para o funcionamento de toda a floresta AD. O domínio raiz da floresta não pode ser removido.

É estabelecida uma relação de confiança florestal entre duas florestas do Active Directory. Uma relação de confiança de floresta permite que os utilizadores de diferentes florestas acedam a recursos de forma recíproca, sujeitos às permissões configuradas. A configuração incorrecta destas relações de confiança pode expor os recursos a utilizadores não autorizados, conduzindo potencialmente a violações de dados.

Uma ligação direta no Active Directory é um tipo de atributo de ligação que aponta de um objeto para outro. Quando a ligação direta é modificada, o sistema actualiza automaticamente a tabela de ligações para o atributo de ligação inversa. Por exemplo, o atributo member de um objeto de grupo é uma ligação direta, apontando para os utilizadores que são membros do grupo, enquanto o atributo memberOf é a ligação inversa relacionada.

Uma zona de pesquisa avançada é uma parte do servidor DNS no Active Directory que é utilizada para traduzir nomes de domínio em endereços IP. Se não for devidamente protegida, pode ser explorada por atacantes para obter acesso não autorizado ou para lançar um ataque de envenenamento de DNS.

O ato de transferir à força funções FSMO (Flexible Single Master Operations) de um Controlador de Domínio para outro. Isto é normalmente feito quando o Controlador de Domínio original já não está disponível e deve ser utilizado como último recurso, uma vez que pode potencialmente conduzir a problemas no domínio. A apreensão incorrecta pode perturbar a funcionalidade do AD e introduzir problemas de segurança.

O processo de retorno de um sistema informático ao seu estado original, normalmente utilizando uma cópia de segurança completa do sistema em caso de falha ou corrupção crítica do sistema.

O FQDN é o nome de domínio completo para um computador específico, ou anfitrião, na Internet. O FQDN é composto por duas partes: o nome do anfitrião e o nome do domínio. No caso do Active Directory, o FQDN é utilizado para identificar com precisão a localização de um objeto no diretório.

No Active Directory, o nível funcional determina as capacidades disponíveis do domínio ou floresta do AD DS. Determina também quais os sistemas operativos do Windows Server que podem ser executados nos controladores de domínio no domínio ou floresta. No entanto, assim que o nível funcional é aumentado, os controladores de domínio que executam versões anteriores do Windows Server não podem ser introduzidos no domínio ou floresta.

Este comando do PowerShell recupera a política de replicação de palavra-passe resultante para uma conta AD. Um atacante pode potencialmente utilizar esta informação para compreender quais as palavras-passe que estão a ser replicadas e onde, ajudando no planeamento do ataque.

Este cmdlet do PowerShell recupera um objeto de controlador de domínio ou efectua uma pesquisa para recuperar vários objectos de controlador de domínio do AD. Utilizado de forma inadequada, pode fornecer a um atacante informações valiosas sobre o controlador de domínio num ambiente AD.

Este cmdlet do PowerShell recupera políticas de senha refinadas do AD. Se estas políticas estiverem incorretamente configuradas ou forem divulgadas, podem ajudar um atacante a planear um ataque de quebra de palavra-passe.

Este cmdlet do PowerShell recupera um objeto de grupo ou efectua uma pesquisa para recuperar vários objectos de grupo do AD. O uso indevido ou a exposição inadequada podem fornecer a um invasor informações valiosas sobre a estrutura e a associação de grupos em um ambiente do AD.

Este comando do PowerShell recupera os membros de um grupo do AD. Um atacante pode usar isso para identificar contas de alto privilégio para atingir.

Este comando do PowerShell recupera um objeto do AD ou efectua uma pesquisa para recuperar vários objectos. É normalmente utilizado em reconhecimento por um atacante para compreender os objectos no AD.

Este cmdlet do PowerShell recupera os metadados de replicação de atributos para objectos AD, que podem ser utilizados para resolver problemas de replicação. No entanto, nas mãos de um atacante, pode potencialmente revelar informações sensíveis.

Este comando PowerShell recupera a raiz da árvore de informações de diretório (DIT) de um domínio AD. Isto pode ser utilizado pelos atacantes para recolher informações sobre a estrutura do domínio.

Este cmdlet do PowerShell recupera um objeto de confiança ou efectua uma pesquisa para recuperar vários objectos de confiança do AD. Utilizado de forma inadequada, pode fornecer a um atacante informações valiosas sobre relações de confiança num ambiente AD.

Este cmdlet do PowerShell recupera um objeto de utilizador ou efectua uma pesquisa para recuperar vários objectos de utilizador do AD. Utilizado ou exposto de forma inadequada, pode fornecer a um atacante informações valiosas sobre contas de utilizador num ambiente AD e identificar potenciais alvos para ataques no AD.

O GAL é um diretório acessível de todos os utilizadores, grupos, contactos partilhados e recursos registados nos Serviços de Domínio do Active Directory (AD DS) de uma organização. O acesso ou a manipulação inadequados da GAL podem levar ao acesso não autorizado a informações ou a ataques de phishing.

O Catálogo Global é um repositório de dados distribuído que contém uma representação parcial e pesquisável de todos os objectos em todos os domínios de uma floresta de Serviços de Domínio do Active Directory (AD DS) de vários domínios. O GC é utilizado para acelerar as pesquisas e os inícios de sessão, especialmente em ambientes de grande dimensão. Se um servidor GC ficar indisponível ou comprometido, pode causar problemas com os inícios de sessão e as pesquisas.

Os grupos globais podem ter membros do seu próprio domínio, mas podem ser concedidas permissões em qualquer domínio da floresta. Se utilizados incorretamente, estes grupos podem conduzir a um aumento indesejado de privilégios.

Um número de referência único utilizado na programação, criado pelo sistema para identificar de forma exclusiva um objeto do AD. Um GUID no Active Directory é um número de 128 bits que é utilizado para identificar objectos de forma exclusiva. Cada objeto criado num Active Directory recebe um GUID que permanece o mesmo durante toda a vida do objeto, mesmo que este seja movido ou renomeado. A manipulação de GUIDs pode potencialmente conduzir a ataques como a falsificação de identidade de objectos. 

Um ataque Golden gMSA é um ciberataque em que os atacantes descarregam os atributos da chave de raiz do Serviço de Distribuição de Chaves (KDS) e geram as palavras-passe para todos os gMSAs associados offline. Este processo de dois passos começa com o atacante a recuperar vários atributos da chave de raiz do KDS no domínio. Depois, utilizando a ferramenta Golden gMSA, o atacante gera a palavra-passe de qualquer gMSA que esteja associada à chave (sem ter uma conta privilegiada).

Um ataque Golden Ticket permite a um atacante forjar um bilhete Kerberos, dando-lhe acesso não autorizado a qualquer sistema no domínio como um utilizador altamente privilegiado, como um administrador de domínio. Esses privilégios elevados podem dar ao atacante acesso quase ilimitado ao Active Directory e aos recursos que dependem dele. 

Esta ferramenta de linha de comandos nos sistemas operativos Windows força uma atualização imediata da Política de Grupo no computador local. Esta ferramenta pode ser útil para aplicar alterações de política imediatamente, em vez de esperar pelo ciclo de atualização automática.

As políticas de auditoria granulares podem ser configuradas no AD para uma recolha de informações mais detalhada. As configurações incorrectas podem levar a lacunas na monitorização e no registo, permitindo potencialmente que os atacantes evitem a deteção.

Este valor único identifica um grupo específico num ambiente AD. Num contexto UNIX, o GID é frequentemente utilizado para mapear grupos UNIX para os seus equivalentes Windows. Esta capacidade pode ser manipulada para ataques de desvio de controlo de acesso em ambientes de sistemas operativos mistos.

Uma Conta de Serviço Gerido de Grupo (gMSA) é uma conta de domínio gerida que ajuda a proteger serviços em vários servidores. Introduzida no Windows Server 2012, a gMSA é um tipo especial de conta de serviço no Active Directory e inclui a rotação automática da palavra-passe a cada 30 dias. Também fornece gestão simplificada do nome principal de serviço (SPN) e a capacidade de delegar a gestão a outros administradores. Se forem comprometidas, as GMSAs podem ser utilizadas para aumentar os privilégios ou mover-se lateralmente numa rede.

Veja também: Ataque da Golden gMSA

As palavras-passe das contas de serviços geridos por grupos (gMSAs) são geridas pelo AD. Estas contas, se comprometidas, podem permitir que um atacante se desloque lateralmente através de uma rede ou aumente os privilégios.

Veja também: Conta de serviço gerida pelo grupo (gMSA)

No Active Directory, os utilizadores são agrupados para simplificar o processo de concessão de permissões ou de delegação de controlo. A associação incorrecta a um grupo pode dar a um utilizador mais direitos de acesso do que o necessário; seguir o princípio do menor privilégio pode reduzir o risco.

O aninhamento de grupos refere-se à prática de adicionar grupos como membros de outros grupos. Embora o aninhamento possa simplificar a gestão de permissões, também pode criar estruturas de permissões complexas e difíceis de controlar, podendo levar a permissões excessivas e a problemas de segurança.

Este snap-in da Consola de Gestão da Microsoft (MMC) fornece uma interface administrativa única para gerir a Política de Grupo em toda a empresa num ambiente Active Directory. O GPMC simplifica a gestão da Política de Grupo, facilitando a compreensão, a implementação e a gestão de implementações de políticas.

Esta ferramenta de planeamento e resolução de problemas para políticas de grupo pode simular o potencial impacto dos GPOs, mas a utilização incorrecta ou a má compreensão dos seus resultados pode levar a configurações incorrectas.

As políticas de grupo permitem aos administradores de TI implementar configurações específicas para utilizadores e computadores. As definições de Política de Grupo estão contidas em Objectos de Política de Grupo (GPOs), que estão ligados a contentores dos Serviços de Domínio do Active Directory (AD DS). Um GPO é um componente da Política de Grupo, utilizado para representar definições de política aplicadas a utilizadores ou computadores. Os GPOs podem tornar-se um alvo para os atacantes que pretendem alterar as definições de segurança a nível de todo o sistema.

Veja também: Abuso de Objeto de Política de Grupo (GPO)

Os atacantes com permissões para modificar GPOs podem aproveitar esta capacidade para executar código malicioso, modificar as definições do sistema ou interromper as operações do sistema nos sistemas onde o GPO se aplica.

Parte da Política de Grupo, o GPP permite uma configuração mais avançada dos sistemas. O GPP é notável por um problema de segurança: Costumava armazenar palavras-passe num formato encriptado reversível, uma vulnerabilidade que já foi explorada no passado.

Veja também: Ataque à palavra-passe das Preferências de Política de Grupo (GPP)

Antes de uma atualização da Microsoft ter removido a funcionalidade de Preferências de Política de Grupo (GPP), as GPP permitiam aos administradores armazenar palavras-passe em Objectos de Política de Grupo (GPOs). As palavras-passe encriptadas podiam ser facilmente desencriptadas e os GPOs mais antigos podiam ainda conter estas entradas de palavra-passe obsoletas, o que os tornava um alvo para os atacantes.

Um relatório das definições de Política de Grupo no âmbito de um objeto (utilizador ou computador). Este relatório pode ser valioso para a resolução de problemas, mas também pode expor potenciais fraquezas ou configurações incorrectas em GPOs aos atacantes.

A Política de Grupo é uma funcionalidade integral incorporada no Microsoft Active Directory. O seu principal objetivo é permitir que os administradores de TI façam a gestão centralizada de utilizadores e computadores num domínio AD. Isto inclui utilizadores empresariais e utilizadores privilegiados, como administradores de TI, e estações de trabalho, servidores, controladores de domínio (DCs) e outras máquinas. A segurança da Política de Grupo é uma parte importante da segurança do AD.

Os âmbitos dos grupos definem o alcance dos grupos do AD em termos da sua capacidade de incluir outros grupos ou utilizadores como membros e até que ponto podem ser concedidas permissões a estes grupos. A configuração incorrecta dos âmbitos dos grupos pode levar a um acesso não autorizado aos recursos.

O Active Directory define dois tipos de grupos: Segurança e Distribuição. Os grupos de segurança são utilizados para permissões, enquanto os grupos de distribuição são utilizados para listas de distribuição de correio eletrónico.

O reforço de um ambiente AD envolve a proteção do ambiente contra ataques, reduzindo a superfície de vulnerabilidade. Isto pode incluir medidas como a implementação do acesso com privilégios mínimos, a monitorização de actividades suspeitas, a atualização regular e a aplicação de patches nos sistemas, etc.

No contexto do Active Directory, o hashing está relacionado com a forma como as palavras-passe são armazenadas. O AD utiliza um algoritmo de hashing para armazenar palavras-passe num formato hash não reversível, aumentando a segurança. No entanto, os atacantes ainda podem utilizar técnicas como ataques pass-the-hash para explorar estas credenciais com hash.

Os controlos de saúde do Active Directory são importantes para garantir o funcionamento e o desempenho correctos de um ambiente AD. Os controlos de saúde regulares podem identificar problemas antes de se tornarem problemas graves. Em termos de segurança, também podem identificar actividades invulgares que podem indicar uma violação ou tentativa de ataque.

Um destinatário oculto no Active Directory é um utilizador que não aparece nas listas de endereços. Se os destinatários ocultos não forem geridos corretamente, um atacante pode utilizá-los para exfiltrar dados sem levantar alarmes.

A estrutura do AD é construída como uma hierarquia, começando pelas florestas até aos domínios, unidades organizacionais e objectos individuais. A compreensão desta hierarquia é crucial tanto para a gestão do AD como para a sua proteção contra potenciais ataques.

No AD, o diretório inicial é uma localização de rede específica que é automaticamente ligada sempre que um utilizador inicia sessão. Se não estiverem devidamente protegidos, estes directórios podem ser explorados por atacantes para obterem acesso não autorizado a dados sensíveis.

Em cibersegurança, uma conta honeypot é uma conta AD de chamariz utilizada para atrair e detetar actividades maliciosas. Se a conta honeypot for acedida ou alterada, pode ser uma indicação de uma violação de segurança.

Um anfitrião é um computador que está ligado a uma rede.

No Active Directory, um registo de anfitrião (A) mapeia um nome de domínio para um endereço IP no DNS. Se estes registos não estiverem devidamente protegidos, os atacantes podem manipulá-los, fazendo com que o tráfego seja redireccionado para sites maliciosos.

No contexto dos Serviços de Federação do Active Directory (AD FS), um cabeçalho de anfitrião é utilizado para encaminhar pedidos HTTP/HTTPS de entrada que são enviados para um servidor de federação AD FS específico num farm.

Um HIDS é um sistema que monitoriza um sistema informático, em vez de uma rede, para detetar actividades maliciosas ou violações de políticas. A implementação de um HIDS em servidores AD críticos pode ajudar a detetar e evitar potenciais ataques.

Um hotfix é um pacote único e cumulativo que inclui informações (frequentemente sob a forma de ficheiros) que são utilizadas para resolver um problema num produto de software como o Active Directory. De uma perspetiva de cibersegurança, a aplicação regular de hotfixes é essencial para proteger contra vulnerabilidades conhecidas.

Um ambiente de Diretório Ativo Híbrido integra o AD local com soluções baseadas em nuvem, como o Azure AD (agora Entra ID). Esta configuração permite que os utilizadores tenham uma única identidade para ambos os sistemas. Do ponto de vista da cibersegurança, a gestão do acesso e das identidades em ambientes locais e na nuvem pode ser complexa e requer uma abordagem de segurança abrangente.

Em uma implantação de nuvem híbrida, o Active Directory pode servir para autenticar e autorizar usuários e computadores em uma rede que combina infraestrutura local e serviços de nuvem. As medidas de segurança precisam ser levadas em conta em ambos os ambientes.

Atualmente, muitas organizações utilizam o Active Directory no local e o Azure AD na nuvem. Este ambiente de identidade híbrida permite uma identidade comum de utilizador e sistema para autenticação e autorização de recursos, independentemente da localização. No entanto, também apresenta desafios únicos de segurança cibernética.

Em resposta, a Semperis fornece soluções de deteção e resposta a ameaças à identidade (ITDR) concebidas para a proteção da identidade híbrida. Também patrocinamos o Podcast Hybrid Identity Protection (HIP) e a série Hybrid Identity Protection Conference (hipconf.com).

Uma ferramenta popular de força bruta, o Hydra suporta vários protocolos, incluindo SMB e HTTP, que são frequentemente utilizados em ambientes AD. O Hydra pode ser utilizado para adivinhar ou decifrar palavras-passe, permitindo o acesso não autorizado a contas de utilizadores.

O HTTPS é frequentemente utilizado nos AD Federation Services (ADFS) para proteger as comunicações. É importante manter os certificados actualizados e utilizar protocolos de encriptação fortes para manter a segurança.

O IAM é uma estrutura de políticas e tecnologias para garantir que as pessoas certas de uma empresa tenham o acesso adequado aos recursos tecnológicos. Os sistemas IAM podem ser utilizados para iniciar, capturar, registar e gerir identidades de utilizadores e as respectivas permissões de acesso.

Desde e-mails de phishing a ciberataques que visam o Active Directory, os agentes de ameaças adoram visar recursos de identidade. Se um ciberataque conseguir obter as credenciais de identidade de um utilizador (por exemplo, através de um e-mail de phishing), não precisa de invadir o seu ambiente; pode simplesmente iniciar sessão. Uma vez dentro do seu ambiente, o atacante pode tentar apoderar-se de outras identidades, subindo (através do aumento de privilégios) até ao acesso ao nível de administrador. Nessa altura, o atacante pode fazer alterações ao Active Directory para assumir o controlo, bloquear ou encerrar contas, recursos e dados de utilizadores e sistemas.

A IdM é uma vasta área administrativa que envolve a identificação de indivíduos num sistema (como um país, uma rede ou uma empresa) e o controlo do seu acesso a recursos dentro desse sistema, associando direitos de utilizador e restrições à identidade estabelecida.

O IdP é um sistema que cria, mantém e gere informações de identidade para os mandantes e fornece autenticação de mandantes a outros fornecedores de serviços numa federação, como os AD Federation Services (ADFS).

Os sistemas de identidade estão a ser alvo de ataques contínuos. A utilização indevida de credenciais é agora o principal método que os ciberataques utilizam para aceder aos sistemas e atingir os seus objectivos.

A Gartner definiu a categoria de deteção e resposta a ameaças à identidade (ITDR) para avaliar as soluções que detectam e neutralizam ataques baseados na identidade. A ITDR refere-se ao conjunto de práticas, estratégias e tecnologias utilizadas para detetar e responder a potenciais ameaças e ataques que visam as identidades e credenciais dos utilizadores. No contexto do Active Directory, isso geralmente inclui o monitoramento de atividades suspeitas, como padrões anormais de login, tentativas excessivas de login com falha ou escalonamento inesperado de privilégios. 

A ITDR é uma componente crucial da cibersegurança, uma vez que as credenciais de utilizador comprometidas são muitas vezes um trampolim para os atacantes obterem acesso a recursos sensíveis, efectuarem movimentos laterais ou aumentarem os privilégios dentro da rede. Por conseguinte, as organizações necessitam de um conjunto de ferramentas e processos para defender os sistemas de identidade. 

Este atributo no AD liga um utilizador no local a um utilizador do Office 365. O ImmutableID é frequentemente usado durante migrações ou consolidações do AD.

Impacket é uma coleção de classes Python desenvolvidas para trabalhar com protocolos de rede, frequentemente utilizadas para criar ferramentas de rede. Ele fornece uma estrutura robusta e abrangente para criar e decodificar pacotes de rede, permitindo que os desenvolvedores construam e analisem o tráfego de rede. Embora o Impacket seja uma ferramenta importante para administradores de rede legítimos e profissionais de cibersegurança, também pode ser explorado por agentes maliciosos para ataques de rede, como ataques de retransmissão NTLM no Active Directory.

Veja também: Ataque de retransmissão NTLM

A usurpação de identidade refere-se à capacidade de um thread ser executado num contexto de segurança diferente do contexto do processo que detém o thread. Num contexto de cibersegurança, a falsificação de identidade é um método de ataque comum que pode conduzir a um acesso não autorizado ou a um aumento de privilégios.

Identidades especiais que representam diferentes utilizadores em momentos diferentes, dependendo das circunstâncias. Por exemplo: Início de sessão anónimo, Lote, Utilizador autenticado e muito mais.

Um método de indexação de dados para recuperação rápida utilizado pelo Extensible Storage Engine (ESE) utilizado no Active Directory.

Os indicadores de ataque (IOAs) em cibersegurança são indicadores de segurança que demonstram a intenção de um ciberataque. A deteção de IOAs no início de um ataque pode ajudar os defensores a evitar mais danos.

Ver também: indicadores de segurança, indicadores de comprometimento, indicadores de exposição

Os indicadores de comprometimento (IOCs) em cibersegurança são indicadores de segurança que demonstram que a segurança da rede foi violada. Normalmente, os investigadores detectam os IOCs depois de serem informados de um incidente suspeito, ao descobrirem chamadas invulgares da rede ou durante uma avaliação de segurança. Semperis Purple Knight e Directory Services Protector ( DSP) efectuam o scan de IOCs.

Ver também: indicadores de segurança, indicadores de ataque, indicadores de exposição

Os indicadores de exposição (IOEs) são indicadores de segurança que fornecem informações sobre potenciais vulnerabilidades exploráveis antes da ocorrência de um incidente de cibersegurança. Ao compreender esses riscos, as equipas de segurança podem dar melhor prioridade aos esforços de gestão da segurança e estar preparadas para conter rapidamente os ataques. A Semperis Purple Knight e Directory Services Protector ( DSP) efectuam o scan de IOEs.

Ver também: indicadores de segurança, indicadores de ataque, indicadores de comprometimento

A IRM é uma forma de tecnologia de segurança de TI utilizada para proteger as informações contra o acesso não autorizado. No contexto do Active Directory, a IRM pode ajudar a proteger dados sensíveis, controlando quem tem acesso aos mesmos e o que podem fazer com eles, como impedir que os dados sejam impressos ou reencaminhados.

Um conjunto de políticas emitidas por uma organização para garantir que todos os utilizadores de TI no domínio da organização cumprem as suas regras e directrizes relacionadas com a segurança da informação. As políticas são concebidas para proteger os dados organizacionais e gerir o risco para a confidencialidade, integridade e disponibilidade da informação.

Uma das cinco funções FSMO no AD, o Mestre de Infra-estruturas é responsável pela atualização de referências de objectos no seu domínio para objectos noutros domínios. Se todos os controladores de domínio forem também servidores de Catálogo Global, a função de mestre de infra-estruturas não executa quaisquer tarefas.

Ver também: Funções flexíveis de Operações Principais Únicas (FSMO)

A herança refere-se ao cascateamento de permissões de objectos pai para objectos filho na árvore do Active Directory. No AD, as permissões concedidas a um nível superior na hierarquia podem ser herdadas por objectos de nível inferior, a menos que a herança seja explicitamente bloqueada. A herança simplifica a gestão de permissões, mas as configurações incorrectas podem expor os recursos a utilizadores não autorizados. 

Os controladores de domínio não autorizados ou o comprometimento do controlador de domínio podem levar à replicação de dados de serviços de diretório para um agente malicioso, permitindo-lhe recolher informações e credenciais sensíveis.

Esta funcionalidade permite aos administradores instalar um controlador de domínio utilizando ficheiros de cópia de segurança restaurados. Ao utilizar a opção Instalar a partir de Suporte (IFM), pode minimizar a replicação de dados de diretório na rede. Isto ajuda-o a instalar controladores de domínio adicionais em locais remotos de forma mais eficiente, especialmente quando as ligações WAN a estes locais são relativamente lentas e/ou o tamanho da base de dados do AD existente é consideravelmente grande.

Este comando do PowerShell instala um novo controlador de domínio no AD.

Este comando do PowerShell instala uma nova floresta do AD DS. Este é um comando altamente privilegiado que, se mal utilizado, pode levar à criação de uma floresta maliciosa, potencialmente comprometendo todo o ambiente do AD.

Refere-se a um DNS que está integrado num domínio do Active Directory. Um servidor DNS integrado no AD armazena os seus dados no Active Directory. Isto permite que as informações do DNS sejam replicadas para todos os outros controladores de domínio no domínio, melhorando a tolerância a falhas do seu DNS.

Uma confiança estabelecida entre duas florestas do Active Directory. Uma confiança entre florestas pode ser uma confiança unidirecional ou bidirecional que fornece acesso controlado a recursos em cada floresta. É crucial gerir e monitorizar as relações de confiança entre florestas para reduzir o risco de acesso não autorizado.

No Active Directory, a função ISTG é detida por um controlador de domínio em cada site e é responsável pela criação de uma árvore de abrangência de todas as ligações de site no site e pela construção de uma topologia de encaminhamento de menor custo para replicação entre controladores de domínio no site.

Este tipo de início de sessão ocorre quando um utilizador introduz as suas credenciais diretamente no sistema, normalmente através da consola do sistema. No Active Directory, os logons interactivos são registados como um evento específico (ID de evento 528 no Windows Server 2003 e anteriores, e ID de evento 4624 no Windows Server 2008 e posteriores).

A Internet é uma rede global de computadores e servidores que comunicam entre si através de protocolos normalizados, principalmente o TCP/IP (Transmission Control Protocol/Internet Protocol). A Internet fornece vários serviços, incluindo a World Wide Web, o correio eletrónico, a transferência de ficheiros e os serviços de computação em nuvem. Em termos de cibersegurança, a Internet é frequentemente o principal vetor de uma vasta gama de ameaças dirigidas a ambientes Active Directory, incluindo ataques de phishing, distribuição de malware e exploração remota de vulnerabilidades. Assim, proteger as ligações à Internet e monitorizar os serviços virados para a Internet são tarefas cruciais na segurança da rede.

O IAS é a implementação da Microsoft de um servidor RADIUS (Remote Authentication Dial-In User Service) e proxy no Windows Server 2000 e 2003. O IAS efectua a autenticação, autorização e contabilização de ligações centralizadas para muitos tipos de acesso à rede, incluindo ligações sem fios e VPN. Do ponto de vista da cibersegurança, a proteção do IAS é crucial, uma vez que os atacantes que o comprometam podem manipular processos de autenticação, obter acesso não autorizado à rede ou bisbilhotar o tráfego de rede. Desde o Windows Server 2008, o IAS foi substituído pelo Network Policy Server (NPS).

O IIS é um software de servidor Web criado pela Microsoft para ser utilizado com a família Windows NT. O IIS suporta HTTP, HTTPS, FTP, FTPS, SMTP e NNTP. No contexto do AD, o IIS é frequentemente utilizado para alojar serviços necessários baseados na Web, como o ADFS.

O IPsec é um conjunto de protocolos que protege as comunicações IP através da autenticação e encriptação de cada pacote IP num fluxo de dados. Em termos do Active Directory, as políticas IPsec podem ser utilizadas para fornecer segurança ao tráfego entre controladores de domínio AD e servidores ou clientes membros, adicionando assim uma camada extra de segurança.

Uma intranet é uma rede privada dentro de uma organização. As intranets são frequentemente utilizadas para partilhar informações da empresa e recursos informáticos entre os funcionários. Em termos de segurança, o acesso não controlado ou não autorizado à intranet pode levar à fuga de informações ou a outras formas de ataques internos.

Um dispositivo ou aplicação de software que monitoriza uma rede ou sistemas para detetar actividades maliciosas ou violações de políticas. Um IDS desempenha um papel crucial numa arquitetura de segurança robusta.

Um inventário de hardware ou software refere-se normalmente ao processo de recolha de informações detalhadas sobre todo o hardware ou software utilizado numa organização. Um inventário preciso é essencial para gerir os recursos, planear as necessidades futuras e manter a segurança.

Um endereço IP é uma etiqueta numérica atribuída a cada dispositivo que participa numa rede informática que utiliza o Protocolo de Internet para comunicação. Num ambiente do Active Directory, o endereçamento IP adequado é crucial para a comunicação em rede e o acesso a recursos.

Esta série de regras determina qual a forma de IPsec que deve ser utilizada numa transação entre o servidor e o cliente. A configuração incorrecta das regras pode deixar vulnerabilidades de segurança no seu ambiente AD.

Uma secção de uma rede isolada do resto da rede. A utilização de segmentos de rede isolados pode limitar os danos potenciais se ocorrer um incidente de segurança num segmento diferente.

Este conjunto de práticas pormenorizadas para a gestão de serviços de TI (ITSM) centra-se no alinhamento dos serviços de TI com as necessidades da empresa.

A base de dados do Active Directory é baseada no motor Microsoft Jet Blue e utiliza o Extensible Storage Engine (ESE) para armazenar, editar, eliminar e ler dados. A base de dados do Active Directory é um único ficheiro denominado ntds.dit. Por predefinição, esta base de dados é armazenada na pasta %SYSTEMROOT%NTDS em cada controlador de domínio e é replicada entre eles.

Um cracker de senhas rápido, usado para detetar senhas fracas. Os atacantes usam o John the Ripper para quebrar senhas com hash, permitindo o acesso não autorizado.

Uma operação em que um computador passa a fazer parte de um domínio do Active Directory. A adesão a um domínio permite ao sistema utilizar a autenticação central fornecida pelo AD, aceder a recursos e aderir a políticas definidas pelo domínio. Os erros neste processo podem causar vulnerabilidades e controlos de acesso inadequados.

Esta tecnologia de segurança permite a administração delegada para qualquer coisa gerida pelo PowerShell. Num contexto AD, o JEA pode ajudar a limitar os ataques de escalonamento de privilégios, reduzindo o número de pessoas que têm direitos administrativos totais.

Ver também: Administração Just-in-Time (JIT)

Este método de atribuição de privilégios aos utilizadores é semelhante ao Just Enough Administration (JEA). A JIT dá aos utilizadores o privilégio necessário para executar uma tarefa, mas apenas durante um determinado período de tempo. Isto pode minimizar o risco de aumento de privilégios ou roubo de credenciais.

Ver também: Administração suficiente (JEA)

O Kerberoasting visa a fraqueza do protocolo de autenticação Kerberos utilizado pelo Active Directory. Os atacantes solicitam um bilhete de serviço para uma conta de serviço visada e depois decifram o bilhete de serviço encriptado offline para obter a palavra-passe da conta.

Ver também: Kerberos, abuso da delegação Kerberos, adivinhação de palavras-passe Kerberos

O Rubeus é uma ferramenta poderosa para interagir com o protocolo Microsoft Kerberos. Nos ataques Kerberoasting, os atacantes utilizam o Rubeus para solicitar bilhetes de serviço e decifrar os bilhetes offline para obter credenciais de contas de serviço.

O Kerberos é o principal método de autenticação utilizado nos domínios do Active Directory para autenticar utilizadores e computadores. Os sistemas operativos mais antigos suportam a encriptação DES, enquanto o Windows Server 2008 e posteriores suportam a encriptação AES. O Kerberos está sujeito a vários tipos de ataques, como os ataques Golden Ticket e Silver Ticket, que exploram a forma como os bilhetes Kerberos são criados e utilizados num ambiente AD.

O protocolo de segurança de rede informática Kerberos gere a autenticação e autorização no Active Directory. O Massachusetts Institute of Technology (MIT), que criou o Kerberos, descreve-o como a utilização de criptografia forte para permitir que um cliente prove a sua identidade a um servidor numa ligação de rede não segura. Depois de o cliente e o servidor utilizarem o Kerberos para provar as suas identidades, podem também encriptar as suas comunicações para garantir a privacidade e a integridade dos dados. Há duas décadas, o protocolo Kerberos foi um divisor de águas no que diz respeito à segurança, unificação e movimentação do AD para a gestão de identidades. Mas a evolução dos métodos de ataque e a migração para a cloud tornaram o Kerberos cada vez mais vulnerável a ciberameaças.

Ver também: Abuso da delegação Kerberos, adivinhação de palavras-passe Kerberos, Kerberoasting

Esta funcionalidade de segurança do Active Directory permite que um serviço se faça passar por um utilizador para aceder a um serviço diferente. A funcionalidade foi concebida para reduzir o número de utilizadores com privilégios excessivos. No entanto, as configurações incorrectas podem permitir que os atacantes elevem os privilégios ou contornem os sistemas de autenticação.

Veja também: Abuso da delegação Kerberos

Os atacantes podem manipular a delegação sem restrições, com restrições e com restrições baseadas em recursos para se fazerem passar por outros utilizadores ou elevar os privilégios dentro do domínio. Este abuso tira partido das complexidades e da confiança implícita do protocolo Kerberos.

Ver também: Kerberoasting, Kerberos, Kerberos Constrained Delegation (KCD), Kerberos password guessing

Neste ataque, um adversário visa contas de utilizador que não requerem pré-autenticação Kerberos. O atacante tenta autenticar-se no Centro de Distribuição de Chaves (KDC) e recebe um bilhete de concessão de bilhetes (TGT) encriptado que contém a palavra-passe com hash do utilizador, que pode então ser decifrada offline.

Veja também: Kerberos, abuso da delegação Kerberos, Kerberoasting

A política Kerberos define as propriedades dos bilhetes para todos os utilizadores do domínio, como o tempo de vida e a renovação dos bilhetes. Esta política faz parte da Política de Grupo e, se não for corretamente configurada, pode permitir que os agentes de ameaças reproduzam bilhetes Kerberos antigos para obterem acesso não autorizado.

O SPN é utilizado no Active Directory para associar uma instância de serviço a uma conta de início de sessão de serviço. Os SPNs podem ser um alvo para determinados tipos de ataques, como o Kerberoasting, em que um atacante utiliza um bilhete Kerberos válido para solicitar dados de bilhetes de serviço, que podem então ser forçados a revelar a palavra-passe em texto simples da conta de serviço.

O Kerbrute é uma ferramenta concebida para efetuar a força bruta de pré-autenticação do Kerberos. Pode ser utilizada para validar a existência de nomes de utilizador num ambiente Active Directory sem o risco de bloqueio de contas.

No protocolo Kerberos, o KDC é responsável pela autenticação dos utilizadores e pelo fornecimento de bilhetes de concessão de bilhetes (TGTs), que são depois utilizados para obter bilhetes de serviço para vários recursos na rede. Um KDC comprometido pode ter implicações graves, uma vez que pode levar ao comprometimento de qualquer utilizador ou serviço no domínio.

Este utilitário de linha de comandos lista os bilhetes Kerberos do utilizador que executa o comando. A ferramenta é útil para a resolução de problemas de autenticação Kerberos.

Este serviço do Active Directory gera uma topologia de replicação para o sistema de replicação do Active Directory. Se o KCC falhar ou for comprometido, pode dar origem a inconsistências nos dados do diretório.

Um estado seguro conhecido representa o estado de um ambiente que está confirmado como não contendo qualquer malware ou ransomware. O regresso a um estado seguro conhecido após um ciberataque ajuda a evitar a perda de confidencialidade, integridade ou disponibilidade das informações.

Este utilitário de linha de comandos é utilizado para configurar um computador que não está associado a um domínio para utilizar recursos do domínio. A ferramenta é frequentemente utilizada para configurar um computador para utilizar o Kerberos para autenticação em cenários não tradicionais.

O L0phtCrack é um auditor de palavras-passe que ajuda a automatizar a recuperação de palavras-passe a partir de hashes, ajudando os atacantes a invadir sistemas através da quebra da palavra-passe do utilizador.

Este atributo identifica a última localização conhecida de um objeto AD movido ou eliminado. Se não for devidamente monitorizado, pode ajudar no seguimento do ciclo de vida do objeto e, potencialmente, no restauro do objeto, representando um risco de segurança.

Este atributo indica a última vez que o utilizador iniciou sessão. Irregularidades neste atributo podem indicar um potencial acesso não autorizado ou um ataque pass-the-hash.

O movimento lateral ocorre quando um ciberataque utiliza contas comprometidas para obter acesso a clientes e contas adicionais na rede de uma organização. Os ciberataques utilizam o movimento lateral em combinação com o aumento de privilégios para identificar e obter acesso a contas e recursos sensíveis que partilham credenciais de início de sessão armazenadas em contas, grupos e máquinas. Um objetivo típico do movimento lateral bem sucedido é o eventual acesso administrativo aos controladores de domínio do Active Directory.

Ver também: domínio do domínio, privilégio mínimo, acesso privilegiado, escalonamento de privilégios

Uma defesa em camadas é aquela que aplica várias camadas de proteção (por exemplo, segurança de pontos finais, SIEM e segurança do Active Directory) para ajudar a garantir que um ciberataque que penetre numa camada de defesa seja travado por uma camada subsequente.

Ver também: defesa em profundidade

O processo de ligação entre a camada de transporte e a camada de aplicação, criando uma unidade coesa. No que respeita à ligação do canal LDAP, a camada de aplicação LDAP está essencialmente entrelaçada com o túnel TLS. Esta interligação estreita cria um identificador distinto e único, ou impressão digital, para a comunicação LDAP, pelo que quaisquer comunicações LDAP interceptadas não podem ser reutilizadas por atacantes.

Ligações lógicas e unidireccionais de um controlador de domínio para outro com o objetivo de replicação. Se comprometidos, os objectos de ligação LDAP podem ser explorados para obter controlo não autorizado sobre a replicação.

Um formato padrão de intercâmbio de dados em texto simples. Representa o conteúdo do diretório como registos para pedidos de atualização no Active Directory. Utilizado pelo utilitário de linha de comandos LDIFDE.

Ver também: LDAP Data Interchange Format Directory Exchange (LDIFDE)

Um utilitário da Microsoft que pode ser utilizado para importar/exportar objectos do AD para/de ficheiros LDIF. A utilização incorrecta pode levar à exportação/importação não autorizada de dados.

Ver também: Formato de intercâmbio de dados LDAP (LDIF)

O LDAP Directory Probe é um utilitário gráfico da Ferramenta de Suporte do Windows que os administradores utilizam para executar operações LDAP contra o AD. A utilização indevida desta ferramenta pode expor informações sensíveis ou alterar objectos do AD.

Neste tipo de ataque, um atacante manipula campos de entrada para inserir e executar comandos LDAP (Lightweight Directory Access Protocol). O atacante utiliza estes comandos para consultar e manipular dados armazenados num servidor LDAP, frequentemente utilizado em conjunto com o Active Directory.

Uma extensão do LDAP que encripta o tráfego LDAP. Se não for corretamente configurado, o LDAPS pode deixar o tráfego suscetível de ser intercetado.

Políticas que definem o comportamento de um servidor LDAP. A configuração incorrecta destas políticas pode levar a problemas de desempenho e a potenciais riscos de segurança.

Quando um servidor LDAP não consegue responder a uma consulta, o servidor remete o cliente para outro servidor. Num ataque de encaminhamento, um cliente pode ser encaminhado para um servidor malicioso.

Os filtros de pesquisa LDAP são utilizados para encontrar e manipular objectos do AD. A utilização incorrecta pode levar ao acesso não autorizado ou à alteração de objectos de diretório.

A assinatura LDAP refere-se ao processo em que o tráfego LDAP é assinado digitalmente na sua origem. Essa assinatura digital serve para garantir que o conteúdo do tráfego LDAP permaneça inalterado durante o trânsito, preservando sua autenticidade e integridade. Além disso, fornece um meio para o recetor confirmar a fonte original do tráfego LDAP. A configuração da assinatura LDAP pode ser conseguida através de políticas de grupo personalizadas ou através da manipulação de chaves de registo. A desativação da assinatura LDAP pode tornar a rede suscetível a ataques man-in-the-middle.

Esta ferramenta é utilizada para descarregar domínios utilizando LDAP. A ferramenta fornece a um atacante acesso fácil a todo o tipo de informações úteis sobre o domínio.

O LDAPMiner é uma ferramenta utilizada para extração de dados LDAP, destinada principalmente a testes de penetração e outras auditorias de segurança. Os atacantes podem utilizar esta ferramenta para consultar e recolher dados do ambiente AD, ajudando no reconhecimento.

Por vezes chamado de privilégio mínimo, o princípio de segurança da informação do privilégio mínimo enfatiza que os utilizadores e as aplicações devem ter acesso privilegiado apenas aos dados e às operações de que necessitam para desempenhar as suas funções. Ao adotar esta abordagem, as equipas de TI e de segurança podem ajudar a evitar potenciais movimentos laterais nas redes da sua organização.

Ver também: domínio do domínio, movimento lateral, acesso privilegiado, escalonamento de privilégios 

Um princípio que consiste em limitar os direitos dos utilizadores às permissões mínimas de que necessitam para realizar o seu trabalho. Não seguir o LUA pode abrir caminhos para ataques de escalada de privilégios.

Um identificador único para cada objeto no Active Directory (AD). A manipulação deste identificador pode levar a um acesso não autorizado, o que constitui uma grande preocupação em termos de cibersegurança.

O LDAP é um protocolo aberto e multiplataforma baseado na norma de diretório X.500 utilizada para autenticação de serviços de diretório. O fornecedor LDAP permite o acesso à estrutura hierárquica do Active Directory ou a qualquer base de dados compatível com LDAP. As injecções LDAP podem constituir uma ameaça à cibersegurança se os dados de entrada não forem devidamente higienizados, permitindo que os atacantes executem comandos arbitrários no servidor de directórios.

Os objectos persistentes podem ocorrer se um controlador de domínio não replicar durante um intervalo de tempo superior ao tempo de vida do túmulo (TSL) e, em seguida, voltar a ligar-se à topologia de replicação. Estes são objectos que permanecem na base de dados do diretório depois de terem sido eliminados noutros controladores de domínio e causam inconsistências e potenciais problemas de segurança se não forem tratados corretamente.

No Active Directory, uma tabela de ligação é uma tabela de base de dados que controla os atributos multi-valorados ligados. Estes incluem atributos que criam uma relação entre dois objectos do AD, como os atributos member e memberOf que ligam utilizadores a grupos.

Um atributo no esquema AD que identifica de forma exclusiva um atributo de objeto. Se for comprometido, este atributo pode levar a inconsistências de dados e a um potencial aumento de privilégios.

Um mecanismo do Active Directory que permite actualizações incrementais de atributos com vários valores. Se for comprometida, esta replicação pode levar à inconsistência dos dados e potencialmente propagar informações falsas dentro do diretório.

Atributos no AD que têm um atributo correspondente noutro objeto, como member e memberOf. Uma configuração inadequada pode criar ligações órfãs que podem confundir o processo de replicação, afectando a consistência dos dados do AD.

Uma funcionalidade do Active Directory, introduzida com o Windows Server 2003, que permite actualizações individuais de atributos com vários valores, em vez de replicar todo o conjunto de valores. Por exemplo, a adição de um novo membro a um grupo grande apenas replica a adição do novo utilizador e não toda a lista de membros do grupo. Quando um atributo multivalorado não ligado é atualizado, todo o atributo tem de ser replicado. Requer o modo Interim do Windows Server 2003 ou o Nível Funcional da Floresta do Windows Server 2003 ou superior. Se for manipulado, pode levar a erros de replicação ou alterações não autorizadas.

Uma ferramenta da Microsoft que ajuda as organizações a gerir as palavras-passe de administrador local para computadores ligados ao domínio. Ajuda a mitigar o risco de um ataque pass-the-hash ao gerar e armazenar aleatoriamente uma palavra-passe diferente para a conta de administrador local de cada máquina no Active Directory. Em termos de cibersegurança, a implementação de LAPS pode melhorar significativamente a postura de segurança de uma organização, limitando as possibilidades de movimento lateral para os atacantes que obtiveram acesso às credenciais de administrador local num computador.

Grupos que existem numa máquina local. Se um atacante obtiver o controlo de um grupo local, pode alterar as permissões e obter privilégios adicionais.

Conjuntos de regras definidas numa máquina local que ditam a forma como esse sistema específico se comporta. Se não forem configurados corretamente, podem constituir uma brecha para violações de segurança.

O LSA é responsável pela política de segurança local e pela autenticação do utilizador. Os ciberataques visam frequentemente os segredos do LSA, uma vez que contêm dados de segurança e credenciais sensíveis.

Este processo nos sistemas operativos Microsoft Windows é responsável pela aplicação da política de segurança no sistema. O LSASS é frequentemente alvo da infame ferramenta Mimikatz para extrair palavras-passe em texto simples, hashes, PINs e bilhetes Kerberos da memória.

Contas de utilizador que existem especificamente numa máquina local e não são baseadas em domínios. Se não estiverem devidamente protegidas, podem ser utilizadas por atacantes para ganharem uma posição numa rede.

Contas de utilizador que foram bloqueadas devido a várias tentativas incorrectas de início de sessão. Um atacante pode bloquear deliberadamente as contas para causar uma negação de serviço ou para disfarçar as suas actividades.

O ataque do ransomware LockerGoga aproveita "a própria infraestrutura da organização, neste caso o Active Directory e a Política de Grupo, para se ajudar a propagar" (Darren Mar-Elia, VP de Produtos da Semperis). Normalmente, o ransomware não se propaga desta forma, pelo que este método é mais difícil de detetar. Mas as organizações ainda podem minimizar o risco de tais ameaças. "Sabemos que os atacantes obtiveram acesso aos administradores de domínio no Active Directory para usar essa infraestrutura para se espalhar", diz Mar-Elia. "Reforçar a sua infraestrutura utilizando uma abordagem de privilégio mínimo pode ajudar imenso."

O parâmetro LockoutThreshold define o número de tentativas de início de sessão inválidas permitidas antes de a conta ser bloqueada. Este parâmetro é crucial para impedir ataques de força bruta.

O Active Directory armazena uma cache das informações de início de sessão dos utilizadores localmente no sistema. Se esta cache não estiver devidamente protegida, pode ser explorada para obter acesso não autorizado às contas dos utilizadores.

Define as horas durante as quais um utilizador tem permissão para iniciar sessão no domínio. Se não for corretamente gerido, pode constituir uma janela de oportunidade para os atacantes durante as horas mortas.

Um ficheiro que é atribuído a uma conta de utilizador e que é executado automaticamente quando o utilizador inicia a sessão. Um script de início de sessão pode ajustar definições no sistema operativo, mapear unidades de rede para diferentes grupos de utilizadores ou até apresentar uma mensagem de boas-vindas específica para cada utilizador. Estes scripts residem numa pasta na partilha de rede SYSVOL de um controlador de domínio e, portanto, estão disponíveis em todo o domínio. Se for inserido conteúdo malicioso nestes scripts, pode resultar no comprometimento generalizado dos sistemas.

Este parâmetro especifica as máquinas a partir das quais um utilizador pode iniciar sessão. Se não for adequadamente restringido, pode levar a ataques de movimento lateral.

Esta definição de Política de Grupo permite que o mesmo utilizador tenha políticas diferentes ao iniciar sessão em máquinas diferentes. A má configuração desta definição pode levar a ataques de escalonamento de privilégios.

Uma funcionalidade de segurança do Windows que impede o acesso ao processo LSASS. Reduz o risco de ataques destinados a extrair informações sensíveis do processo LSASS, como os efectuados com a ferramenta Mimikatz.

Objectos de dados que são armazenados pela LSA para guardar dados sensíveis como credenciais. A extração destes segredos é uma tática comum nos ataques de roubo de credenciais.

Utilizado na compressão de dados da base de dados AD (NTDS.DIT). A exploração deste mecanismo pode levar à corrupção ou roubo de dados.

Cada computador numa rede tem uma conta de máquina, que fornece um meio de autenticação e auditoria. Um atacante com controlo sobre uma conta de máquina pode efetuar vários ataques, como o pass-the-ticket ou o pass-the-hash.

Um identificador único que o Windows atribui à base de dados do gestor de contas de segurança (SAM) de cada máquina. Se um atacante obtiver o SID de uma máquina, poderá fazer-se passar por ela e obter acesso não autorizado aos recursos da rede.

Um estado em que se pode colocar um servidor quando se aplicam actualizações ou se executa outra tarefa de manutenção. O facto de não proteger adequadamente um servidor durante a manutenção pode expor o sistema a potenciais ataques.

O malware é um software ou código malicioso destinado a danificar ou destruir sistemas informáticos e outros dispositivos pessoais através de vários meios, incluindo o roubo de dados, a obtenção de acesso não autorizado, a partilha de informações privadas, etc. Os ciberataques podem usar malware para transformar o Active Directory em uma arma e mapear possíveis caminhos de ataque, o que torna crucial para as organizações aumentar o foco na segurança e recuperação do AD. Na Semperis, nossas soluções fornecem monitoramento contínuo e avaliação de vulnerabilidades para o AD, bem como a capacidade de reverter alterações não autorizadas sem o envolvimento do administrador.

Um ataque man-in-the-middle (MiTM) é um ciberataque em que o atacante se posiciona entre duas partes (por exemplo, dois utilizadores, um utilizador e uma aplicação, uma estação de trabalho e um computador servidor) numa tentativa de intercetar, inspecionar e até modificar os dados trocados entre as partes. Este ataque pode conduzir a violações de dados, expondo informações sensíveis e proporcionando acesso não autorizado a recursos de rede.

Um tipo de conta de domínio que gere automaticamente a gestão da palavra-passe, eliminando a possibilidade de expiração da palavra-passe que poderia causar interrupções no serviço. Estas contas podem ser alvo de ataques de escalonamento de privilégios.

Um atributo no AD que especifica o utilizador ou grupo que gere um objeto. A utilização incorrecta pode conduzir a um acesso não autorizado a recursos.

Um atributo definido no Esquema do Active Directory como obrigatório para uma classe de objectos. Por exemplo, para um objeto User, "sAMAccountName" é um atributo obrigatório.

Unidades de rede mapeadas para um sistema individual. Se um atacante obtiver acesso a um sistema com unidades mapeadas, poderá aceder a dados sensíveis ou espalhar ransomware pela rede.

A variante de ransomware Maze, descoberta em 2019, é considerada a primeira em que os ciberataques não só encriptaram dados, mas também ameaçaram divulgar os dados confidenciais das vítimas se as suas exigências não fossem satisfeitas. O Maze normalmente obtém acesso através de e-mails de phishing e, em seguida, utiliza várias técnicas para se mover lateralmente através da rede. Compromete e tira partido do Active Directory (AD) para propagar o payload do ransomware ao maior número possível de sistemas.

Um computador com um sistema operativo Windows Server que é membro de um domínio do Active Directory mas não é um controlador de domínio.

Este atributo contém os Nomes Distintos dos grupos aos quais um objeto (utilizador ou grupo) pertence. Uma configuração incorrecta pode levar a um acesso não autorizado aos recursos.

Uma funcionalidade do AD que permite armazenar em cache a associação a grupos universais de um utilizador num site para melhorar o desempenho do início de sessão. Se os dados da cache não estiverem corretamente protegidos, podem ser explorados para obter acesso não autorizado.

O MSMQ é um protocolo de mensagens que permite a comunicação entre aplicações executadas em servidores ou processos separados. Se não estiver corretamente protegido, pode ser um potencial ponto de exploração, permitindo mensagens ou comandos não autorizados.

Uma base de dados do AD que armazena os metadados dos objectos no Active Directory. Se esta base de dados for comprometida, um atacante pode alterar os metadados associados aos objectos do AD.

No contexto do Active Directory, refere-se aos dados sobre os dados no diretório. Isto inclui informações sobre quando e como os objectos de dados foram criados, modificados, acedidos ou eliminados, incluindo por quem. Do ponto de vista da cibersegurança, os metadados podem fornecer informações cruciais durante uma investigação ou auditoria de segurança, uma vez que podem revelar alterações não autorizadas, padrões de acesso ou indicadores de comprometimento.

O Metasploit é uma estrutura de testes de penetração que simplifica a pirataria informática. É uma ferramenta essencial no arsenal de um atacante, com inúmeras explorações, incluindo as que visam ambientes AD.

Descobriu-se que um protocolo de autenticação criado pela Microsoft, o MS-CHAP, tem vulnerabilidades e pode ser explorado se for utilizado para autenticação em rede.

O Microsoft Defender for Identity (anteriormente designado por Proteção Avançada contra Ameaças do Azure) é uma solução baseada na cloud que utiliza sinais do Active Directory no local para detetar e responder a ameaças de cibersegurança e identidades comprometidas. O Defender for Identity monitoriza e analisa as actividades e informações do utilizador e do cliente em toda a rede, criando uma linha de base comportamental para cada utilizador. Em seguida, o MDI alerta sobre atividades incomuns de clientes ou usuários, conforme estabelecido por essa linha de base.

Um serviço centralizado para gerir identidades em vários directórios. Se o MIIS for violado, um atacante pode manipular dados de identidade entre sistemas.

O MIM é um serviço que fornece ferramentas e tecnologias para gerir identidades, credenciais e políticas de acesso baseadas na identidade em ambientes heterogéneos. O MIM inclui funcionalidades para sincronização de identidades, gestão de certificados e palavras-passe e aprovisionamento de utilizadores.

A MMC aloja ferramentas administrativas denominadas snap-ins, incluindo muitas para o AD, como o snap-in Utilizadores e Computadores do Active Directory. O acesso inadequado ao MMC pode levar a alterações não autorizadas no AD.

O Mimikatz é uma ferramenta líder para extrair palavras-passe em texto simples, hashes, códigos PIN e bilhetes Kerberos da memória. Pode ser utilizado para montar ataques Golden Ticket, em particular, que exploram as vulnerabilidades do Kerberos, permitindo aos atacantes gerar um bilhete de concessão de bilhete (TGT) e obter privilégios ao nível do domínio. Também é utilizada para efetuar ataques pass-the-hash que permitem a um atacante autenticar-se num servidor ou serviço remoto utilizando o hash NTLM ou LanMan subjacente da palavra-passe de um utilizador. Além disso, a ferramenta pode ser utilizada para lançar ataques Silver Ticket que envolvem a criação de bilhetes de serviço fraudulentos e permitem o acesso a um serviço específico numa máquina específica, mas podem passar despercebidos pelo controlador de domínio.

O MITRE ATT&CK Framework é uma ferramenta comummente utilizada para compreender a cobertura de segurança atual e determinar como melhorá-la. Esta base de conhecimentos fornece informações fundamentais que podem ser utilizadas para desenvolver modelos de ameaças e é uma ferramenta popular para a criação de planos de segurança abrangentes. 

Este termo refere-se ao nível funcional de domínio do Active Directory quando estão presentes controladores de domínio Windows NT 4.0. No modo misto, determinadas funcionalidades avançadas são desactivadas, tornando o AD mais suscetível a riscos de segurança.

Ver também: Modo nativo

Uma localização numa hierarquia de directórios onde um volume está ligado, fornecendo localizações adicionais do sistema de ficheiros. Se um ponto de montagem não estiver protegido corretamente, um atacante pode obter acesso não autorizado a dados sensíveis.

Este cmdlet do PowerShell é utilizado para mover um servidor de diretório para um novo site. É útil em organizações maiores para gerir a topologia do Active Directory.

Este comando do PowerShell transfere uma ou mais funções de mestre de operações (FSMO) para um controlador de domínio especificado.

Ver também: Funções flexíveis de Operações Principais Únicas (FSMO)

Este cmdlet do PowerShell é utilizado para mover um objeto ou um contentor de objectos para um contentor ou domínio diferente. 

Esta ferramenta de linha de comandos é utilizada para mover objectos do AD entre domínios. A utilização incorrecta pode levar à deslocalização acidental ou maliciosa de objectos, conduzindo a inconsistências e potenciais violações.

Este atributo define os serviços que uma conta pode representar numa delegação Kerberos. Uma configuração incorrecta pode conduzir a escalada de privilégios e a ataques de delegação Kerberos.

Este atributo determina o nível funcional do domínio e da floresta do AD. Um nível funcional inferior pode expor o AD a vulnerabilidades, uma vez que algumas melhorias de segurança só estão disponíveis em níveis superiores.

Este atributo é utilizado como o atributo de âncora de origem no Azure AD Connect. Uma configuração incorrecta pode levar a problemas de sincronização entre o AD no local e o Azure AD, causando potencialmente problemas de autenticação.

Este atributo armazena o carimbo de data/hora do último início de sessão interativo bem sucedido do utilizador. Tempos de início de sessão invulgares podem indicar uma potencial violação da segurança.

Este atributo determina o período de tempo que uma conta permanece bloqueada depois de exceder o limiar de bloqueio de conta. Se for demasiado curto, pode não impedir eficazmente os ataques de força bruta.

Funcionalidades opcionais que foram activadas ou desactivadas numa floresta do Active Directory. A configuração incorrecta destas funcionalidades pode expor a floresta a riscos de segurança.

Este atributo contém as Políticas de Palavra-passe Detalhadas que são aplicadas a objectos de utilizador ou de grupo. Se estas definições forem pouco rigorosas ou mal configuradas, podem deixar as contas de utilizador vulneráveis a ataques de força bruta ou de pulverização de palavras-passe.

Este atributo armazena o carimbo de data/hora do segundo início de sessão bem sucedido mais recente do utilizador. Tempos de início de sessão anómalos podem indicar uma potencial violação de segurança.

Este atributo representa o computador principal de um utilizador. Se for manipulado, o atributo pode permitir que um atacante se faça passar pela máquina de um utilizador, conduzindo potencialmente a um acesso não autorizado.

Este atributo contém metadados de replicação para atributos ligados, tais como membros de grupos. Um agente de ameaça com acesso a este atributo pode potencialmente alterar os membros do grupo, levando a uma escalada de privilégios.

Este atributo indica os tipos de encriptação que a conta de utilizador suporta para a pré-autenticação Kerberos. Tipos de encriptação fracos podem tornar a conta vulnerável a ataques baseados no Kerberos.

Este atributo armazena sinalizadores que ditam o estado da conta de utilizador, como por exemplo se está desactivada, bloqueada ou se tem uma palavra-passe expirada. A manipulação não autorizada desses sinalizadores pode levar ao aumento de privilégios ou ao acesso não autorizado.

Este atributo indica a hora exacta em que a palavra-passe de um utilizador expira. Se não for corretamente gerido, pode dar uma janela de oportunidade aos atacantes para tentarem ataques baseados em credenciais.

Um utilitário de interface de linha de comandos para o Microsoft Windows Installer, que é utilizado para instalar, manter e remover software.

Este pacote de autenticação no Windows lida com hashes NTLM. O famoso ataque pass-the-hash visa frequentemente este pacote, uma vez que os hashes NTLM podem ser reutilizados para autenticação sem cracking.

Uma funcionalidade que permite que os clusters abranjam vários sites do Active Directory para melhorar a disponibilidade. Se não for corretamente configurado e protegido, este tipo de clustering pode tornar-se um potencial vetor de ataque.

Um atributo de um objeto que pode conter mais do que um valor. Os atributos com vários valores podem não ter qualquer valor, ter um valor ou mais do que um. Por exemplo, o atributo memberOf de um objeto de utilizador, que contém uma lista de todos os grupos a que o utilizador pertence.

As soluções de segurança multicloud ajudam a proteger a sua infraestrutura, aplicação e dados em sistemas de nuvem de vários fornecedores de nuvem.

A MFA é um mecanismo de segurança que exige que os utilizadores provem a sua identidade utilizando dois ou mais métodos independentes, ou factores, antes de lhes ser concedido acesso. Estes factores podem incluir algo que se sabe (como uma palavra-passe), algo que se tem (como um token de hardware ou um telemóvel) e algo que se é (como uma impressão digital ou outro fator biométrico). No contexto do Active Directory, a implementação da MFA pode aumentar significativamente a segurança ao dificultar o acesso dos atacantes, mesmo que tenham comprometido a palavra-passe de um utilizador, reduzindo o risco de um ataque bem sucedido de phishing, password-spray ou força bruta.

A capacidade do Active Directory de permitir a ocorrência de alterações em qualquer DC, que depois replica as alterações para outros DCs. Se um atacante comprometer um único DC, ele poderá propagar alterações maliciosas para outros.

Um identificador único utilizado pela Microsoft para um objeto num diretório. As alterações não autorizadas podem levar à perda de acesso ou a inconsistências no diretório.

Uma caraterística de segurança em que tanto o cliente como o servidor validam a identidade um do outro antes de estabelecer uma ligação. Sem isto, é mais fácil para um atacante efetuar ataques man-in-the-middle (MitM).

O processo de resolução de um nome de anfitrião para um endereço IP numa rede. Ataques como o DNS spoofing podem manipular este processo para redirecionar o tráfego de rede.

No contexto do AD, os Named Pipes são um método de comunicação entre processos (IPC). Estão sujeitos a vulnerabilidades relacionadas com IPC, como DLL Hijacking ou Named Pipe Impersonation.

No Active Directory, um espaço de nomes é um contentor que contém objectos como utilizadores, computadores e outras unidades organizacionais. Um espaço de nomes bem concebido pode ajudar a evitar muitos problemas de segurança, tais como conflitos de nomes e erros de replicação.

Também conhecido como Partição de Diretório no Active Directory, um NC é uma parte do diretório que pode ser replicada para controladores de domínio. Existem três tipos de NCs:

• Esquema
• Configuração
• Domínio

Um Nível Funcional de Domínio (DFL) que apenas se aplica ao Windows 2000 Server e que não suporta controladores de domínio do Windows NT. Uma vez no modo Nativo, o domínio suportará grupos aninhados. A alternativa é o modo misto.

Ver também: Modo misto

Um utilitário de linha de comando para relatar estatísticas NetBIOS sobre TCP/IP.

No Active Directory, os grupos podem conter outros grupos, permitindo uma organização hierárquica. No entanto, o aninhamento pode levar a um aumento não intencional de permissões e acesso a recursos se não for gerido com cuidado.

Uma ferramenta de linha de comandos utilizada para ligar, desligar e configurar ligações a recursos partilhados, como unidades de rede e impressoras. Se for mal utilizada, esta ferramenta pode levar a um acesso não autorizado aos recursos.

Acrónimo de Network Basic Input/Output System, é um protocolo de rede utilizado pelos sistemas Windows para comunicação numa rede local. O nome NetBIOS de um computador é geralmente os primeiros 15 caracteres do nome do anfitrião, seguidos do carácter "$". A resolução de nomes NetBIOS para endereços IP é efectuada através de transmissões locais e do serviço WINS.

Conhecido como o "canivete suíço" do TCP/IP, o Netcat pode ler e gravar dados em conexões de rede. Os atacantes podem utilizar o Netcat para criar backdoors, transferir ficheiros ou efetuar a exploração da rede.

Um serviço do Windows utilizado para autenticação de utilizadores e computadores em sistemas operativos mais antigos. Uma partilha chamada Netlogon é criada automaticamente em todos os controladores de domínio para compatibilidade com versões anteriores e pode conter scripts de início de sessão. A recente exploração do ZeroLogon permitiu aos atacantes obter controlo sobre o controlador de domínio utilizando este serviço.

Um utilitário de script de linha de comando que, entre outras coisas, permite a modificação de configurações de rede. Os atacantes podem utilizar incorretamente esta ferramenta para manipular o tráfego de rede ou exfiltrar dados.

Esta ferramenta de linha de comandos é utilizada para apresentar ligações de rede activas e portas em escuta. Os atacantes podem usá-la para reconhecimento interno depois de obterem acesso inicial.

A NAP é uma tecnologia da Microsoft para controlar o acesso à rede de um computador com base no seu estado de saúde. Se for comprometida, a NAP pode permitir o acesso de sistemas não autorizados à rede.

NAT é um método de mapeamento de um espaço de endereço IP para outro, modificando as informações de endereço de rede no cabeçalho IP dos pacotes enquanto eles estão em trânsito. No contexto do Active Directory, regras NAT mal configuradas podem potencialmente expor serviços internos ao exterior, representando um risco de segurança.

Isto refere-se ao processo de identificação de todos os dispositivos numa rede. No contexto do Active Directory, assegure-se de que apenas os indivíduos autorizados podem efetuar a descoberta da rede para evitar o reconhecimento indesejado.

O NFS é um protocolo de sistema de ficheiros distribuído que permite que um utilizador num computador cliente aceda a ficheiros através de uma rede de forma semelhante à forma como o armazenamento local é acedido. Partilhas NFS configuradas incorretamente podem permitir o acesso não autorizado a ficheiros sensíveis.

O ponto de interligação entre um computador e uma rede privada ou pública. Uma interface de rede comprometida num controlador de domínio pode permitir a um atacante intercetar ou manipular o tráfego.

O NLA é uma funcionalidade de segurança para ligações RDP que requer que o utilizador que estabelece a ligação se autentique antes de ser estabelecida uma sessão com o servidor. A desativação do NLA pode deixar o servidor vulnerável a ataques baseados em RDP.

Um Ouvinte de rede é um serviço ou componente de rede que escuta as ligações ou pacotes de rede de entrada numa porta ou protocolo específico. Aguarda os pedidos de comunicação de entrada e responde adequadamente com base nas regras ou configurações predefinidas.

O NPS é a implementação da Microsoft de um servidor RADIUS e proxy. Como em qualquer sistema de autenticação, é um componente de segurança crítico e qualquer comprometimento pode levar ao acesso não autorizado à rede.

Uma prática de segurança em que diferentes partes de uma rede são separadas umas das outras. Isto pode limitar a propagação do movimento lateral num compromisso do Active Directory.

Os serviços (por exemplo, DNS, DHCP) que são disponibilizados a partir de um servidor para uma rede privada ou pública. Se estes serviços forem comprometidos, podem ter um impacto direto na segurança do ambiente do Active Directory.

O sniffing de rede refere-se à utilização de analisadores de protocolos de rede ou ferramentas semelhantes para capturar e analisar o tráfego de rede. No contexto do AD, isto pode potencialmente expor dados sensíveis não encriptados.

Um protocolo de rede para sincronização de relógios entre sistemas informáticos através de redes de dados de latência variável com comutação de pacotes. No Active Directory, a precisão da hora é essencial para a autenticação Kerberos, uma vez que existe uma diferença de tempo máxima (5 minutos por defeito) permitida entre a hora no cliente e a hora no servidor. Se um atacante conseguir manipular as respostas NTP numa rede, pode potencialmente explorar este facto para ataques de repetição ou mesmo para causar falhas de autenticação na rede. Por conseguinte, é crucial proteger as comunicações NTP.

O New Technology File System (NTFS) é o sistema de ficheiros que o sistema operativo Windows NT utiliza para armazenar e recuperar ficheiros num disco rígido. O NTFS é o sistema de ficheiros principal das versões recentes do Windows e do Windows Server.

Este cmdlet do PowerShell é utilizado para criar uma nova Unidade Organizacional (OU) do AD. Se for mal utilizado, pode levar à criação de UOs desnecessárias, perturbando a estrutura do AD e potencialmente ocultando alterações não autorizadas.

Um cmdlet do PowerShell utilizado para criar um novo objeto de utilizador no Active Directory. A utilização por um atacante pode levar à criação de contas backdoor para acesso persistente.

O National Institute of Standards and Technology (NIST) é uma agência do Departamento de Comércio dos EUA. Um exemplo de como o NIST executa a sua missão, "promover a inovação e a competitividade industrial dos EUA através do avanço da ciência, das normas e da tecnologia de medição de forma a aumentar a segurança económica e a melhorar a nossa qualidade de vida", é o desenvolvimento do NIST Cybersecurity Framework. Esta abordagem popular para identificar e resolver riscos de alta prioridade para o Active Directory (AD) e outros sistemas cruciais compreende cinco fases:

• Identificar
• Proteger
• Detetar
• Responder
• Recuperar

O Nmap é um scanner de segurança usado para descobrir hosts e serviços numa rede de computadores, criando assim um "mapa" da rede. Os atacantes podem utilizar este scanner para descobrir redes e efetuar auditorias de segurança.

Um restauro não autoritativo restaura um controlador de domínio do AD para um ponto no tempo. No entanto, como este tipo de restauro não está marcado como autoritativo, se outro controlador de domínio tiver atualizado objectos ou atributos desde a data e hora restauradas do controlador de domínio de destino, essas actualizações são replicadas no controlador de domínio restaurado, tornando os seus dados actuais.

Ver também: restauração autorizada

Um NDR indica que uma determinada parte da comunicação (como um correio eletrónico ou um pacote) não foi entregue. Os ciberataques podem utilizar os NDRs para obter informações sobre a estrutura interna do sistema de correio eletrónico de uma organização para efetuar um ataque direcionado.

No contexto do Active Directory, o não-repúdio refere-se à capacidade de garantir que uma parte num litígio não pode negar a validade das provas (como um utilizador que nega as suas actividades). Uma política de auditoria fraca pode levar a um não-repúdio deficiente.

O processo de modificação de dados para que se ajustem a um formato desejado. Os atacantes podem contornar as verificações de validação de entrada através de inconsistências de normalização.

O malware "wiper" NotPetya actua como ransomware, mas não tem forma de reverter a sua encriptação. O NotPetya afecta particularmente o Active Directory (AD), interrompendo as operações. O NotPetya é famoso pelos seus ataques devastadores em 2017, que começaram na Ucrânia e causaram danos estimados - e sem precedentes - de 10 mil milhões de dólares em todo o mundo.

Um utilitário de linha de comando para diagnosticar problemas de infraestrutura do Serviço de Nomes de Domínio (DNS).

Contas de serviço incorporadas em sistemas Windows. Se estas contas forem comprometidas, podem frequentemente fornecer níveis elevados de acesso ao sistema.

O NT Service Hardening impede que os serviços do Windows executem actividades anormais no sistema de ficheiros, registo, rede ou outros recursos que possam ser utilizados para permitir que o malware persista ou se propague.

Um utilitário de cópia de segurança integrado no Windows. Se um atacante conseguir manipular ou aceder a estas cópias de segurança, pode obter acesso a dados sensíveis.

Este é um ficheiro do sistema Windows utilizado no processo de arranque. A adulteração ou o comprometimento deste ficheiro pode levar a um acesso persistente ao nível do sistema por parte de um atacante.

As quotas NTDS limitam o número de objectos que uma entidade de segurança pode possuir no diretório. Se não for corretamente definido, isto pode ser aproveitado para um ataque de negação de serviço (DoS).

A base de dados do AD armazenada nos controladores de domínio, contendo todas as informações sobre objectos de utilizador, incluindo palavras-passe com hash. Os atacantes visam frequentemente este ficheiro para extrair dados sensíveis.

Uma ferramenta de linha de comandos que fornece facilidades de gestão para os Serviços de Domínio do Active Directory (AD DS) e os Serviços de Diretório Ligeiro do Active Directory (AD LDS). Se utilizada de forma maliciosa, pode causar danos significativos nos serviços AD.

Ver também: Serviços de Domínio do Active Directory (AD DS), Serviços de Diretório Ligeiro do Active Directory (AD LDS)

Uma ferramenta para extrair dados do AD de ficheiros ntds.dit (a base de dados do AD). O NTDSXtract pode ser utilizado para descobrir nomes de utilizador, membros de grupos, políticas de palavra-passe e muito mais. Estes dados podem ajudar um atacante a planear e conduzir ataques.

Permissões em objectos do sistema de ficheiros em volumes NTFS, geridos através do Active Directory. As configurações incorrectas podem levar ao acesso não autorizado aos dados ou à negação de serviço.

O NTLM é um conjunto de protocolos de segurança utilizados para autenticar, fornecer integridade e confidencialidade aos utilizadores. Embora o Kerberos seja o protocolo de autenticação preferido e seja utilizado nas versões modernas do Windows, o NTLM ainda está disponível para clientes e sistemas mais antigos num grupo de trabalho. O NTLM tem várias falhas de segurança, propenso a vários ataques, como o pass-the-hash e o pass-the-ticket, que permitem aos atacantes obter acesso às palavras-passe dos utilizadores, pelo que deve ser evitado.

Num ataque de retransmissão NTLM, um atacante intercepta sessões de autenticação NT LAN Manager (NTLM) entre computadores numa rede e, em seguida, encaminha (retransmite) as credenciais para outro anfitrião na rede. Isto permite ao atacante executar comandos ou aceder a recursos no segundo anfitrião utilizando as credenciais interceptadas.

Uma ferramenta criada com o objetivo de tornar o reconhecimento baseado no protocolo NTLM rápido e fácil. Pode ser utilizada para identificar domínios e serviços que suportam sessões Null.

Um tipo de ligação anónima no LDAP. Quando a ligação nula está activada, pode permitir que um utilizador anónimo se ligue ao diretório e aceda potencialmente a informações sensíveis.

As sessões nulas no Windows são sessões NetBIOS não autenticadas, que podem permitir a um atacante reunir uma grande quantidade de informações sobre o sistema.

O OAuth é um padrão aberto para delegação de acesso, normalmente usado para autenticação e autorização baseadas em token. A proteção dos tokens OAuth é fundamental; os atacantes podem utilizar tokens roubados para se fazerem passar por utilizadores legítimos.

No Active Directory, um objeto é um conjunto distinto e nomeado de atributos que representam algo na rede, como um utilizador, um computador ou um grupo. A segurança destes objectos é vital, uma vez que o seu comprometimento pode permitir que os atacantes obtenham acesso não autorizado ou elevem os seus privilégios.

Esta funcionalidade permite-lhe recolher informações sempre que um determinado tipo de objeto é acedido. A falta de auditoria adequada pode permitir que actividades maliciosas passem despercebidas.

Este evento do Active Directory ocorre quando um objeto, como um utilizador ou um grupo, é removido. A monitorização de eliminações inesperadas de objectos é importante para detetar potenciais actividades maliciosas.

Este valor globalmente único é utilizado para identificar uma variedade de coisas, incluindo atributos e classes de esquemas, mecanismos de segurança e formas de nomes. Os OIDs são cruciais para a interoperabilidade e extensibilidade do serviço de diretório. Em muitas implementações de directórios LDAP, um OID é a representação interna padrão de um atributo. Cada atributo no esquema do Active Directory tem um OID X.500 único. Todos os valores OID criados pela Microsoft começam por 1.2.840.113556.

A herança de objectos é uma propriedade dos objectos do Active Directory em que os objectos filhos herdam as permissões dos seus objectos pais. Definições incorrectas podem levar à concessão acidental de permissões excessivas.

Este atributo é utilizado para agrupar classes semelhantes. Uma configuração incorrecta pode dar origem a classificações incorrectas e a potenciais vulnerabilidades de segurança.

Este atributo determina o tipo de objectos (por exemplo, utilizador, computador, grupo) que são armazenados no Active Directory. Também especifica o conjunto de atributos obrigatórios (ou seja, todos os objectos da classe têm de ter pelo menos um valor de cada) e atributos possíveis (ou seja, todos os objectos da classe podem ter um valor de cada). ObjectClass é definido num objeto classSchema. A manipulação deste atributo pode permitir a um atacante mascarar actividades maliciosas.

Um identificador único para um objeto no Active Directory, que permanece constante. Os atacantes podem utilizar ObjectGUIDs para manter a persistência no ambiente.

Este identificador único é atribuído a cada objeto num domínio do Active Directory. Se um atacante conseguir manipular estes identificadores, pode obter acesso não autorizado.

Este processo permite que um computador adira a um domínio sem necessitar de ligação à rede. Um potencial vetor de ataque poderia forçar um dispositivo a aderir a um domínio controlado por um atacante.

Esta ferramenta pode ser utilizada para alterar a palavra-passe de qualquer utilizador que tenha uma conta local válida num sistema Windows. Se um atacante obtiver acesso físico a um sistema, pode utilizar estas ferramentas para obter acesso a uma conta local e potencialmente aumentar os seus privilégios.

Esta popular plataforma de gestão de identidades e acessos (IAM) fornece software na nuvem para ajudar as empresas a gerir e proteger a autenticação de utilizadores em aplicações modernas e para os programadores criarem controlos de identidade em aplicações, serviços Web de sítios Web e dispositivos. Pode ser integrada com o Active Directory para gerir o acesso dos utilizadores em ambientes locais e na nuvem. Se for comprometido, pode levar a um acesso não autorizado generalizado.

Esta ferramenta de linha de comandos, desenvolvida por Joe Richard (DS-MVP) para consultar o Active Directory em busca de contas de computador ou de utilizador não utilizadas, também pode limpar contas.

Esta ferramenta é utilizada para replicar informações do Active Directory no local para os serviços de nuvem da Microsoft. Um comprometimento do DirSync poderia expor dados sensíveis do Active Directory local a um atacante.

Uma palavra-passe que é válida apenas para uma sessão ou transação de início de sessão. É normalmente utilizada em sistemas de autenticação de dois factores para fornecer uma camada adicional de segurança para além de um simples nome de utilizador e palavra-passe.

No Active Directory, uma confiança unidirecional é um caminho de autenticação unidirecional criado entre dois domínios. Se um atacante comprometer este caminho, pode obter acesso não autorizado a recursos num domínio com origem no outro.

É um protocolo da Internet utilizado para obter o estado de revogação de um certificado digital X.509. Um atacante pode efetuar um ataque de falsificação de OCSP para imitar uma autoridade de certificação e emitir certificados fraudulentos.

O software subjacente que controla um computador ou servidor. O reforço do SO dos controladores de domínio é fundamental para a segurança do Active Directory.

Atributos que o diretório fornece automaticamente, como creationTimeStamp. Estes atributos são calculados por um controlador de domínio a pedido. Podem ser utilizados para controlar acções e alterações em objectos. Um pedido de pesquisa LDAP que solicite "todos os atributos" não devolve atributos operacionais e respectivos valores. Os atacantes podem tentar manipular ou limpar estes atributos para ocultar as suas actividades.

Um atributo definido no esquema como opcional para uma classe de objectos. Ao contrário dos atributos obrigatórios, os atributos opcionais não são obrigados a ter um valor.

Em termos do Active Directory, a identidade organizacional refere-se às credenciais e identificadores que pertencem a uma empresa ou organização. A proteção destes identificadores é crucial para evitar que os atacantes se façam passar por uma entidade legítima dentro da organização.

Uma UO é um tipo de contentor dentro de um Active Directory no qual pode colocar utilizadores, grupos, computadores e outras unidades organizacionais. As UOs podem ser utilizadas para atribuir políticas de grupo e gerir recursos, e uma configuração incorrecta pode levar a um acesso inadequado.

Um objeto órfão permanece na base de dados do diretório, mas foi eliminado em todos os sentidos práticos porque o seu objeto pai foi eliminado. Estes objectos podem ser explorados por um atacante para esconder as suas actividades ou manter a persistência num ambiente.

O aprovisionamento do sistema operativo (SO) é o ato de instalar um determinado sistema operativo em vários anfitriões. 

Este tipo de correção é lançado numa altura não programada, normalmente para resolver uma vulnerabilidade específica. Aplique estas correcções rapidamente para evitar a exploração.

As definições e configurações predefinidas que vêm com um sistema ou software quando este é instalado pela primeira vez. Estas configurações podem por vezes ser inseguras, pelo que é importante reforçá-las com base nas melhores práticas para evitar uma exploração fácil.

A replicação de saída é o processo de um controlador de domínio que replica as alterações para outros controladores de domínio. Se um atacante conseguir manipular este processo, pode propagar alterações maliciosas pelo domínio.

Uma relação de confiança entre dois domínios para efeitos de autenticação. A confiança de saída é da perspetiva do domínio que confia noutro domínio.

O Outlook Anywhere permite aceder ao Exchange Server a partir do cliente Outlook sem utilizar uma VPN. Este facto pode constituir um potencial ponto de entrada para os atacantes se não estiver devidamente protegido.

O OWA permite aceder ao correio eletrónico através de um navegador Web. Se não estiver corretamente protegido, pode constituir um ponto de entrada para os atacantes.

Nesta configuração, duas ligações de sítios têm sítios em comum. Esta configuração pode levar a um tráfego de replicação ineficiente se não for gerida corretamente, proporcionando potenciais oportunidades para um atacante intercetar dados sensíveis.

Um ataque overpass-the-hash é semelhante a um ataque pass-the-hash, mas envolve o Kerberos em vez do NTLM. O atacante utiliza o hash da palavra-passe de um utilizador para gerar um hash de pré-autenticação Kerberos, que é depois utilizado para pedir um bilhete de concessão de bilhete (TGT) ao controlador de domínio.

Veja também: Kerberos, Ataque Pass-the-hash

No Active Directory, cada objeto tem um proprietário, que tem determinados direitos sobre o objeto. Um atacante que se aproprie de um objeto pode potencialmente utilizar indevidamente esses direitos.

Esta entidade de segurança representa o proprietário atual de um objeto. Um atacante que obtenha direitos de proprietário pode modificar atributos importantes do objeto, conduzindo a violações de segurança.

No Active Directory, o contentor principal refere-se ao objeto contentor de nível superior que contém outros objectos.

Um objeto é a raiz de uma árvore de objectos ou tem um objeto pai acima dele na hierarquia da árvore. Se dois objectos tiverem o mesmo pai, devem ter nomes distintos relativos (RDNs) diferentes.

Uma relação hierárquica entre dois domínios no Active Directory, em que um domínio é o pai e o outro é o filho. Os domínios filhos herdam políticas do seu domínio pai.

O subconjunto de atributos que são replicados para réplicas parciais de contexto de nomenclatura (NC). Especifica quais os atributos que devem ser replicados para os servidores do Catálogo Global.

Uma divisão lógica da base de dados do Active Directory que armazena objectos e atributos. As partições incluem a partição de esquema, a partição de configuração e as partições de domínio. A gestão adequada das partições é essencial para manter a integridade e a escalabilidade do diretório.

Num ataque pass-the-hash, um atacante obtém acesso ao hash da palavra-passe da conta de um utilizador no Active Directory e utiliza-o para autenticar e fazer-se passar pelo utilizador sem saber a palavra-passe real. Este ataque tira partido de algoritmos de hashing fracos ou de hashes de palavra-passe roubados.

Num ataque pass-the-ticket, um atacante rouba um bilhete de concessão de bilhete Kerberos (TGT) da máquina de um utilizador e utiliza esse TGT para obter acesso não autorizado a recursos, sem necessidade de autenticação.

Este tipo de autenticação permite que os utilizadores utilizem o mesmo nome de utilizador e palavra-passe no local e na nuvem, sem a necessidade de um sistema de federação de terceiros.

Esta funcionalidade permite a sincronização das alterações de palavra-passe no Active Directory para outros sistemas. Por exemplo, quando um utilizador altera a sua palavra-passe no Active Directory, o PCNS assegura que esta alteração é reflectida noutros sistemas aos quais o utilizador tem acesso.

Um requisito na política de palavras-passe que obriga à utilização de palavras-passe fortes que contenham uma combinação de letras maiúsculas e minúsculas, números e caracteres especiais. A imposição da complexidade da palavra-passe torna mais difícil para os atacantes adivinharem ou decifrarem as palavras-passe. Embora os requisitos de complexidade de palavras-passe fortes sejam importantes, é igualmente crucial educar os utilizadores sobre a importância da higiene das palavras-passe, evitando a reutilização de palavras-passe em várias contas e adoptando medidas de segurança adicionais, como a autenticação multifactor, para uma maior proteção.

Uma política que exige que os utilizadores alterem as suas palavras-passe após um intervalo de tempo especificado. A expiração de senhas ajuda a impor atualizações regulares de senhas e reduz o risco de credenciais comprometidas serem usadas por um longo período.

Um componente do Active Directory que intercepta e valida as alterações de palavra-passe para aplicar políticas de palavra-passe personalizadas ou efetuar verificações adicionais. Os filtros de palavra-passe são utilizados para melhorar a segurança das palavras-passe e impedir a definição de palavras-passe fracas ou fáceis de adivinhar.

Uma representação matemática da palavra-passe de um utilizador armazenada no Active Directory. Os atacantes têm como alvo os hashes de palavra-passe, uma vez que podem ser decifrados offline, permitindo o acesso não autorizado a contas de utilizadores. Técnicas como os ataques Pass-the-Hash exploram os hashes de palavra-passe.

Um recurso no Azure AD Connect que sincroniza os hashes de senha das contas de usuário do Active Directory local para o Azure AD (Entra ID), permitindo que os usuários usem suas senhas locais para entrar em serviços de nuvem. Proteger a sincronização do hash da palavra-passe é crucial para evitar o comprometimento das credenciais do utilizador.

Este mecanismo no Active Directory impede que os utilizadores reutilizem palavras-passe utilizadas anteriormente, mantendo um histórico das alterações de palavra-passe. As políticas de histórico de palavras-passe aumentam a segurança desencorajando a reutilização de palavras-passe antigas.

Esta funcionalidade de segurança do Active Directory bloqueia temporariamente uma conta de utilizador após um número especificado de tentativas de início de sessão falhadas. As políticas de bloqueio de palavra-passe ajudam a evitar ataques de força bruta e tentativas de acesso não autorizado.

Um conjunto de regras e requisitos que ditam a complexidade, o comprimento, a expiração e outras características das palavras-passe dos utilizadores no Active Directory. Políticas de senha fracas podem tornar as contas de usuário suscetíveis a ataques de força bruta e adivinhação de credenciais.

O processo de assegurar que as políticas de palavra-passe definidas são aplicadas e cumpridas por todos os utilizadores no Active Directory. A aplicação adequada da política de senhas ajuda a reduzir o risco de senhas fracas e melhora a segurança geral.

O processo de alteração da palavra-passe esquecida ou expirada de um utilizador no Active Directory. A implementação adequada dos procedimentos de redefinição de senha garante a restauração segura e autorizada do acesso, minimizando o risco de engenharia social ou alterações não autorizadas de senha.

Objectos no contentor Sistema do Active Directory que implementam Políticas de Palavra-passe Detalhadas (FGPP).

Uma técnica utilizada pelos atacantes para adivinhar palavras-passe comuns ou fracas num grande número de contas de utilizador no Active Directory, com o objetivo de evitar bloqueios de conta e aumentar as hipóteses de autenticação bem sucedida. Em vez de tentar várias palavras-passe contra um utilizador, o que pode provocar bloqueios de conta, um atacante tenta uma palavra-passe comum contra várias contas, reduzindo o risco de deteção e aumentando as hipóteses de autenticação bem sucedida.

Um método de autenticação que elimina a necessidade de palavras-passe tradicionais, frequentemente substituídas por factores biométricos (por exemplo, impressão digital ou reconhecimento facial), fichas de hardware ou outros métodos de autenticação seguros. A autenticação sem palavra-passe reduz o risco de ataques relacionados com a palavra-passe e pode aumentar a conveniência do utilizador.

O processo de aplicação regular de actualizações de software (patches) para corrigir vulnerabilidades e erros nos componentes do Active Directory e sistemas associados. A não aplicação de patches nos sistemas pode deixá-los expostos a explorações e ataques conhecidos.

Uma das cinco funções FSMO (Flexible Single Master Operations) no AD, um Emulador de CPD actua como o Controlador de Domínio Primário (CPD) do Windows NT para compatibilidade com versões anteriores. O Emulador de CPD é responsável pelo tratamento das alterações de palavra-passe, bloqueios de utilizadores e Política de Grupo. Também serve como fonte de tempo primária para o domínio. A maioria das ferramentas de Política de Grupo tem como alvo o Emulador PDC. Um controlador de domínio em cada domínio deve ter esta função.

Ver também: Funções flexíveis de Operações Principais Únicas (FSMO)

O processo através do qual os objectos no Active Directory herdam permissões dos seus contentores ou unidades organizacionais (OUs) principais. Compreender e gerir corretamente a herança de permissões é importante para garantir um controlo de acesso consistente e evitar o acesso não intencional a recursos sensíveis.

Ver também: Herança

Direitos de acesso concedidos a utilizadores, grupos ou contas de computador que determinam as acções que podem ser executadas em objectos do Active Directory. Permissões mal configuradas podem levar a acesso não autorizado, escalonamento de privilégios ou exposição de informações confidenciais.

Um atacante utiliza uma conta válida para gerar um token de acesso e modifica o token para elevar os privilégios, permitindo-lhe executar comandos ou aceder a recursos que normalmente estariam para além das suas permissões.

O PetitPotam é um método de ataque em que os ciberataques forçam um cliente vítima a autenticar-se numa máquina arbitrária sem qualquer interação do utilizador. Quando o PetitPotam é explorado e as credenciais do Windows NT LAN Manager (NTLM) são enviadas para os Serviços de Certificados do Active Directory, um ciberataque pode obter privilégios de Administrador de Domínio sem autenticação prévia no domínio.

Uma técnica enganadora utilizada pelos atacantes para induzir os utilizadores a revelar as suas credenciais ou informações sensíveis através de e-mails, sites ou outros canais de comunicação fraudulentos. Os ataques de phishing visam frequentemente os utilizadores do Active Directory para obterem acesso não autorizado à rede. Assim que obtêm as credenciais dos utilizadores, começam a recolher informações sobre os recursos do sistema e tentam mover-se lateralmente através da rede. Além disso, estas credenciais podem ser utilizadas para criar ataques mais precisos, personalizados e dedicados a utilizadores específicos de elevado valor da empresa.

PingCastle é uma ferramenta de avaliação do Active Directory escrita em C#. Com base em modelos e regras incorporados, esta ferramenta avalia os subprocessos do AD e gera um relatório de risco que inclui uma pontuação para contas privilegiadas, relações de confiança entre domínios do AD, informações sobre objectos obsoletos e anomalias de segurança. Para ambientes híbridos, também pode fornecer informações sobre se a relação de confiança com o Azure AD é segura. Os atacantes podem utilizar esta ferramenta para analisar o estado do ambiente AD e identificar potenciais vulnerabilidades.

Ver também: Purple Knight

Um PowerShell Post-Exploitation Framework, o PowerSploit é amplamente utilizado por atacantes para várias tarefas, como a execução de cargas úteis, exfiltração, escalonamento de privilégios e muito mais num ambiente AD.

Este grupo incorporado no Active Directory inclui todas as contas de utilizador e de computador que necessitam de compatibilidade com sistemas mais antigos baseados no Windows NT 4.0.

Utilizado para fins de compatibilidade com sistemas operativos mais antigos. Para objectos de utilizador e de grupo, este nome é o valor do atributo sAMAccountName. Para objectos de computador, é o nome NetBIOS da máquina com o carácter "$" anexado ao fim.

Nos domínios baseados no Windows NT, o controlador de domínio primário (PDC) era o primeiro controlador de domínio no domínio e tinha zero ou mais controladores de domínio de cópia de segurança (BDCs). Um controlador de domínio (DC) designado para controlar as alterações efectuadas nas contas de todos os computadores de um domínio. Embora utilizado por muitos, os conceitos de PDC já não se aplicam no Active Directory do Windows 2000 e superior, uma vez que todos os controladores de domínio são essencialmente iguais do ponto de vista da replicação, porque utiliza o modelo de replicação multi-mestre. Não deve ser confundido com o Emulador PDC.

Um grupo atribuído a cada utilizador no Active Directory, que representa a sua afiliação principal no domínio. Utilizado principalmente para conformidade com POSIX. Os grupos primários são utilizados para controlo de acesso e estão associados a permissões em recursos.

O endereço de correio eletrónico associado a um utilizador ou caixa de correio que é considerado o endereço principal para comunicação. O Active Directory utiliza o endereço SMTP principal como identificador único para operações relacionadas com o correio eletrónico.

O direito de um utilizador realizar operações relacionadas com o sistema, como a depuração do sistema. Os direitos e privilégios são efetivamente os mesmos e são concedidos a entidades de segurança, tais como utilizadores, serviços, computadores ou grupos. Alguns (como Permitir que as contas de computador e de utilizador sejam de confiança para delegação) aplicam-se ao Active Directory, enquanto outros (como Alterar a hora do sistema) se aplicam ao sistema operativo Windows. O utilizador é considerado um membro do seu grupo principal. O contexto de autorização de um utilizador especifica quais os privilégios detidos por esse utilizador.

O processo de atribuição de privilégios ou direitos administrativos específicos a utilizadores ou grupos não-administradores no Active Directory. A delegação de privilégios permite que os utilizadores executem tarefas específicas sem lhes conceder acesso administrativo total, minimizando o risco de abuso de privilégios ou alterações não autorizadas.

O processo de obtenção de níveis mais elevados de acesso e permissões do que os originalmente atribuídos. Os ataques de escalonamento de privilégios no Active Directory podem permitir que os atacantes contornem os controlos de segurança e obtenham privilégios administrativos. Uma vez dentro do seu ambiente, os ciberataques procuram normalmente o escalonamento de privilégios, de contas com privilégios mais baixos para contas com privilégios mais elevados, num esforço para obter privilégios administrativos e acesso ao Active Directory.

Ver também: Domínio do domínio, Movimento lateral, Acesso privilegiado

A prática de dividir os privilégios administrativos por várias contas de utilizador no Active Directory, garantindo que nenhuma conta individual tem acesso excessivo ou ilimitado. A separação de privilégios ajuda a minimizar o impacto de contas comprometidas e reduz o risco de acções não autorizadas.

O acesso privilegiado concede direitos e controlo superiores aos normais sobre os recursos de um ambiente. Este tipo de acesso deve ser concedido com moderação, uma vez que a obtenção de controlo de uma conta de acesso privilegiado pode permitir que os ciberataques desliguem ou desactivem o Active Directory e obtenham o controlo da sua rede.

Ver também: Domínio do domínio, Movimento lateral, Escalada de privilégios

Uma solução no Microsoft Identity Manager (MIM) que ajuda a mitigar as preocupações de segurança associadas à escalada ou utilização indevida de privilégios administrativos.

Uma conta com permissões elevadas e direitos de acesso que pode executar tarefas administrativas no Active Directory. As contas privilegiadas comprometidas são um alvo principal para os atacantes, uma vez que podem conceder um controlo alargado sobre o domínio.

O PsExec é um substituto leve do telnet que permite executar processos noutros sistemas. Os atacantes utilizam-no como uma ferramenta para movimento lateral num ambiente AD.

O PsTools é um conjunto de ferramentas de linha de comando amplamente utilizadas que permitem gerir sistemas locais e remotos. Estas ferramentas podem ser utilizadas por atacantes para várias tarefas, tais como executar processos remotamente, encerrar sistemas ou visualizar informações do sistema.

Parte do conjunto de ferramentas pass-the-hash, o PTH-Winexe permite a execução de comandos em sistemas Windows através da passagem de hashes NTLM em vez de credenciais de texto simples, permitindo o movimento lateral e a execução remota de comandos.

Uma chave criptográfica utilizada em algoritmos de encriptação assimétrica, constituída por um par de chaves pública e privada. As chaves públicas são amplamente distribuídas e utilizadas para encriptar dados ou verificar assinaturas digitais nas comunicações do Active Directory.

Um documento assinado digitalmente que associa uma chave pública à identidade de uma entidade, validando a autenticidade e a integridade da chave pública. Os certificados de chave pública são utilizados no Active Directory para comunicação, autenticação e encriptação seguras.

Uma estrutura de serviços criptográficos, tecnologias e protocolos utilizados para estabelecer e gerir certificados digitais, pares de chaves público-privadas e comunicação segura no Active Directory. A PKI é crucial para garantir a autenticação segura, a integridade e a confidencialidade dos dados.

Quando se trata de proteger a sua empresa contra ciberataques, a proteção da sua infraestrutura de identidade é fundamental. As infiltrações nos sistemas de identidade não só expõem os seus activos e operações comerciais mais importantes a ataques, como também podem passar despercebidas durante longos períodos, causando danos significativos. Por isso, reforçar a sua posição de segurança de identidade é um passo importante. Para pelo menos 90 por cento das empresas, isso significa dar prioridade à segurança do Active Directory e do Azure AD.

As vulnerabilidades do Active Directory e do Azure AD podem dar aos atacantes acesso praticamente ilimitado à rede e aos recursos da sua organização. A Semperis criou o Purple Knight- uma ferramenta gratuita de avaliação da segurança do AD comunitário e do Azure AD - para o ajudar a descobrir indicadores de exposição (IoEs) e indicadores de compromisso (IoCs) no seu ambiente AD híbrido.

Purple Knight ajuda a identificar falhas de segurança no seu ambiente AD que podem deixar a porta aberta a ciberataques. A ferramenta também fornece relatórios de avaliação com classificação baseada nas seguintes categorias: Delegação do AD, segurança da infraestrutura do AD, segurança da conta, Kerberos e segurança da Política de Grupo.

O Pwdump é uma ferramenta que extrai hashes de palavras-passe NTLM e LanMan do Gestor de Contas de Segurança do Windows (SAM), que podem ser decifrados offline. Isto pode levar a um acesso não autorizado se não estiverem em vigor políticas de palavra-passe fortes.

Uma consulta no Active Directory refere-se a um pedido feito ao serviço de diretório para obter informações específicas, tais como os detalhes de um utilizador ou de um computador. As consultas do AD são essenciais para gerir e controlar o acesso aos recursos. O LDAP (Lightweight Directory Access Protocol) é normalmente utilizado para efetuar consultas à base de dados do AD. Por exemplo, um administrador pode executar uma consulta para encontrar todos os utilizadores de um departamento específico.

As quotas no Active Directory referem-se aos limites impostos ao número de objectos que uma entidade de segurança (como um utilizador ou um grupo) pode possuir numa partição de diretório. Isto é particularmente importante num ambiente grande e distribuído para evitar que um utilizador ou grupo crie tantos objectos que afecte o desempenho ou o armazenamento do AD.

Uma tabela textual pré-computada usada para reverter funções de hash criptográficas, principalmente para decifrar hashes de senhas. Cada tabela rainbow é específica para uma determinada função hash, conjunto de caracteres e comprimento da palavra-passe. As tabelas Rainbow contêm milhões ou mesmo milhares de milhões de hashes pré-computados para potenciais palavras-passe. Um atacante que obtenha a versão com hash de uma palavra-passe (talvez através de uma violação de dados ou penetrando num sistema Active Directory inadequadamente protegido) pode utilizar uma tabela rainbow para procurar esse hash e potencialmente encontrar a palavra-passe original.

Uma ferramenta que tenta decifrar hashes de palavras-passe com tabelas arco-íris.

Um tipo de malware que encripta os dados da vítima até que seja efectuado um pagamento ao ciberatacante. As vítimas são informadas de que, se o pagamento for efectuado, receberão uma chave de desencriptação para restaurar o acesso aos seus ficheiros, embora isto seja frequentemente um estratagema. Num ataque de extorsão dupla, não só a chave de desencriptação é retida, como o agente malicioso também ameaça publicar os dados em sítios de fuga de dados (DLS).

Os grupos de ransomware estão frequentemente ligados a organizações criminosas ou terroristas ou a Estados-nação hostis. O pagamento do resgate financia normalmente outras actividades criminosas.

Ver também: malware, ranswomware como um serviço

Um modelo de negócio em que os agentes de ameaças alugam ou compram variantes de ransomware a programadores de ransomware, da mesma forma que as organizações alugam produtos SaaS a programadores de software legítimos. A popularidade do RaaS tem vindo a aumentar nos últimos anos.

Ver também: malware, ransomware

Os servidores RODC são controladores de domínio que mantêm uma cópia só de leitura da base de dados do Active Directory e não permitem alterações ao AD. Um RODC é normalmente implantado em locais que exigem acesso rápido aos serviços do AD, mas não são fisicamente seguros o suficiente para hospedar um controlador de domínio gravável. Embora um RODC possa autenticar os logins dos utilizadores, as alterações não são escritas diretamente nele, mas sim num controlador de domínio gravável, sendo depois replicadas de volta para o RODC.

Os controladores de domínio graváveis podem ser utilizados para atualizar objectos no Active Directory. No Active Directory, todos os controladores de domínio são graváveis, exceto se forem controladores de domínio só de leitura (RODC).

Um objetivo de ponto de recuperação (RPO) define um limite para a antiguidade dos dados antes de ser efectuado o backup (por exemplo, 24 horas). 

Ver também: objetivo de tempo de recuperação

Um objetivo de tempo de recuperação (RTO) define um limite para o período de tempo em que uma aplicação, sistema ou processo pode estar indisponível (por exemplo, não mais de 2 horas).

Ver também: objetivo do ponto de recuperação

Uma consulta DNS recursiva é um tipo de consulta DNS em que o resolvedor ou servidor DNS tenta resolver a consulta consultando iterativamente outros servidores DNS até obter a resposta final. Os clientes utilizam normalmente este tipo de consulta para resolver nomes de anfitriões para endereços IP.

Introduzida pela primeira vez como uma funcionalidade opcional no Windows Server 2008 R2, esta funcionalidade cria um novo contentor oculto na árvore de domínio e armazena objectos eliminados durante um determinado número de dias antes de os remover permanentemente, permitindo a opção de os restaurar sem perda dos valores dos atributos do objeto. Esta funcionalidade pode ser activada e acedida através da consola do Centro Administrativo do Active Directory (ADAC).

Quando um objeto é eliminado, permanece num contentor oculto na árvore do domínio até que tenha passado um período de tempo configurado (ou seja, o tempo de vida da lápide), após o qual o objeto é permanentemente removido do armazenamento. Estes objectos só existem quando a funcionalidade opcional da Reciclagem está activada.

A Floresta Vermelha, também conhecida como ESAE (Enhanced Security Admin Environment), era um conceito de segurança da Microsoft em que todas as suas credenciais administrativas residiam numa floresta AD separada, na qual as suas florestas AD de produção confiavam. A abordagem tinha como objetivo remover as credenciais de administrador das florestas do AD, melhorando assim a segurança. O conceito foi retirado.

Nos testes de cibersegurança, a equipa vermelha é o grupo de indivíduos responsáveis por atacar as defesas de cibersegurança de uma organização, explorar as vulnerabilidades do sistema e ajudar a identificar métodos de contra-ataque para os defensores (ou seja, a equipa azul).

Ver também: equipa azul

O Registo do Windows armazena definições e opções de configuração nos sistemas operativos Microsoft Windows, incluindo as relacionadas com o AD. Um atacante que obtenha acesso ao Registo pode alterar estas definições para perturbar a funcionalidade do AD ou aumentar os seus privilégios.

O nome de um objeto em relação ao seu pai. Este é o par atributo-valor mais à esquerda no nome distinto (DN) de um objeto. Por exemplo, no DN "cn=Daniel Petri, ou=Company Users, dc=semperis, dc=com", o RDN é "cn=Daniel Petri".

Um RID é um identificador único atribuído a cada objeto num domínio AD. É combinado com um identificador de domínio para formar um identificador de segurança (SID) para o objeto. O mestre de RID, uma das funções FSMO, é responsável pelo processamento de pedidos de agrupamento de RID de todos os controladores de domínio num determinado domínio.

O acesso remoto refere-se a métodos que permitem aos utilizadores aceder a uma rede AD a partir de uma localização remota. Os pontos de acesso remoto inseguros podem ser explorados por atacantes para acesso não autorizado à rede.

O RDS, anteriormente conhecido como Serviços de Terminal, permite que um utilizador assuma o controlo de um computador remoto ou de uma máquina virtual através de uma ligação de rede.

Veja também: Serviços de terminal

A gestão remota refere-se à gestão de sistemas informáticos a partir de uma localização remota. Isto é especialmente relevante para a administração de Controladores de Domínio espalhados por várias localizações geográficas. No contexto do Active Directory, ferramentas como as Ferramentas de Administração Remota do Servidor (RSAT) permitem aos administradores gerir funções e funcionalidades remotamente.

Trata-se de um protocolo de comunicação utilizado por programas clientes para solicitar um serviço a um programa noutro computador da rede. É utilizado extensivamente para a replicação e administração do AD. No entanto, pode ser explorado para movimento lateral se não estiver corretamente protegido.

Uma coleção de ferramentas e aplicações que permite aos administradores de TI gerir remotamente funções e funcionalidades no Windows Server 2008 e posteriores a partir de um computador de estação de trabalho com o Windows 7 e posteriores. Semelhante à instalação do adminpak.msi em computadores cliente Windows 2000 ou Windows XP.

Um comando do PowerShell que remove uma Unidade Organizacional (OU) do AD. Se for utilizado de forma maliciosa, pode levar à perturbação da estrutura do AD e à potencial perda de objectos dentro da OU.

Um comando do PowerShell que remove um utilizador do AD. Se for utilizado de forma maliciosa, pode levar à eliminação de contas de utilizador legítimas, causando potencialmente interrupções operacionais ou perda de dados.

Um utilitário de linha de comandos para diagnosticar a replicação do Active Directory entre controladores de domínio.

Uma cópia de um espaço de nomes do Active Directory (NC ou contexto de nomes) num controlador de domínio que se replica com outros controladores de domínio na floresta AD.

A replicação no Active Directory refere-se ao processo de cópia de dados de um controlador de domínio para outro. Este processo assegura que cada controlador de domínio tem as mesmas informações que os outros controladores de domínio e permite a distribuição da base de dados do AD por vários servidores. Se a replicação falhar ou se atrasar, pode dar origem a inconsistências, conhecidas como erros de replicação.

Um Servidor de Cabeça de Ponte de Replicação é um controlador de domínio designado para gerir o tráfego de replicação dentro de um site no Active Directory. Actua como um ponto central para receber e enviar dados de replicação entre sites, reduzindo o tráfego de replicação em redes de área alargada (WANs).

O intervalo de replicação no Active Directory define o período de tempo entre dois ciclos de replicação consecutivos entre controladores de domínio. Garante que as alterações são propagadas de forma eficiente pela rede sem causar tráfego de replicação excessivo.

A latência de replicação é o intervalo de tempo entre a atualização final de origem para um objeto AD e para todas as réplicas.

Os metadados de replicação no AD são utilizados para resolver conflitos que possam ocorrer durante a replicação. Os metadados registam as alterações que já foram aplicadas para evitar que as alterações antigas substituam as mais recentes.

A topologia de replicação refere-se à estrutura de ligações entre controladores de domínio para replicar dados no Active Directory. Define a forma como as alterações são propagadas na rede para garantir a consistência dos dados.

Um comando do PowerShell que redefine a senha da conta do computador. Se for mal utilizado, pode interromper o canal seguro entre o computador e o seu domínio, levando a uma potencial negação de serviço ou acesso não autorizado.

O ReFS é um sistema de ficheiros desenvolvido pela Microsoft para utilização nos sistemas operativos Windows e foi concebido para ultrapassar algumas das limitações do NTFS.

Uma ferramenta de rede que pode manipular as comunicações de rede e responder a pedidos de difusão de rede, o Responder é frequentemente utilizado em ataques man-in-the-middle, ajudando os atacantes a intercetar e manipular o tráfego.

Uma ferramenta do Windows que os administradores utilizam para determinar o efeito combinado das Políticas de Grupo aplicadas a um sistema e/ou utilizador. Essencialmente, fornece uma vista cumulativa de todas as políticas de várias fontes que se aplicam a um utilizador ou sistema específico. Esta ferramenta pode ser particularmente útil em cenários de resolução de problemas, quando um administrador necessita de compreender porque é que uma determinada política está ou não a ter efeito.

Uma operação privada de ransomware como serviço (RaaS) baseada na Rússia ou que fala russo. O ransomware REvil (também conhecido como Sodinokibi) propaga-se frequentemente através de ataques de força bruta e explorações de servidores, mas também pode propagar-se através de ligações maliciosas e phishing. Os ciberataques podem utilizar o REvil para explorar configurações incorrectas do Active Directory (AD) ou palavras-passe fracas para se propagarem pela rede.

Este é o processo de invalidação de um certificado, um processo que pode ser gerido através dos Serviços de Certificados do AD. A revogação adequada de certificados é importante para evitar a utilização não autorizada de um certificado num ataque Man-in-the-Middle ou noutros tipos de ciberataques.

Neste tipo de ataque, o identificador relativo (RID) de uma conta de domínio padrão é modificado para corresponder ao RID de uma conta de administrador de domínio, promovendo efetivamente a conta padrão para o estatuto de administrador de domínio.

Uma das cinco funções FSMO (Flexible Single Master Operations) do AD, o RID Master é responsável pelo processamento dos pedidos de pool de RID de todos os DCs do domínio. Quando são criados objectos como utilizadores e computadores no Active Directory, é-lhes atribuído um ID de segurança único (SID) e um ID relativo (RID). A função mestre de RID assegura que não são atribuídos os mesmos SID e RIDs a nenhum objeto no AD. Qualquer falha na função de mestre de RID pode afetar a criação de novos objectos no domínio. Um controlador de domínio em cada domínio tem de ter esta função.

Ver também: Funções flexíveis de Operações Principais Únicas (FSMO)

Um sistema de criptografia de chave pública.

O RBAC é um princípio fundamental utilizado na gestão do controlo de acesso. Atribui permissões com base na função de um utilizador na organização e não no utilizador individual. Esta abordagem simplifica a gestão de permissões e pode reduzir o risco de ataques de escalonamento de privilégios.

Um objeto que expõe um conjunto de propriedades que são características do diretório.

O domínio raiz é o domínio mais importante de uma floresta do Active Directory. O domínio raiz é o primeiro domínio criado numa nova floresta do AD e torna-se o pai de todos os domínios filhos subsequentes. A segurança e a estabilidade do domínio raiz são cruciais para a estrutura geral do AD, uma vez que o comprometimento do domínio raiz pode levar a uma violação completa da floresta.

O RRAS é uma API da Microsoft e um software de servidor que permite criar aplicações para administrar as capacidades do serviço de encaminhamento e acesso remoto do sistema operativo, para funcionar como um router de rede. No entanto, os servidores RRAS, se fizerem parte do domínio e não estiverem devidamente protegidos, podem tornar-se um ponto de entrada para os atacantes.

Um tipo de ransomware que é conhecido por visar sistemas Windows de grande dimensão e de entidades públicas. O Ryuk encripta os ficheiros, o acesso ao sistema e os dados de um computador, impossibilitando os utilizadores de recuperar informações ou aceder a programas. Este ataque tem um aspeto invulgar para o Active Directory (AD): o ransomware é enviado para utilizadores insuspeitos através de Objectos de Política de Grupo (GPO) do AD.

Para se defender contra ataques de tabelas arco-íris, é comum utilizar um método chamado salgar os hashes, em que um valor aleatório é adicionado à palavra-passe antes de esta ser submetida a um hash. Isto torna as tabelas arco-íris muito menos eficazes porque mesmo uma pequena alteração na entrada (como adicionar um "sal") resulta num hash drasticamente diferente. Vale a pena notar que a proteção dos hashes das palavras-passe é um aspeto crucial da segurança de um ambiente Active Directory.

O nome de início de sessão dos utilizadores que é utilizado para suportar clientes e servidores que executam versões anteriores do Windows. Também designado por "nome de início de sessão anterior ao Windows 2000".

Num ataque SaveTheQueen, os ciberataques visam o AD através de uma estirpe de ransomware que utiliza a partilha SYSVOL nos controladores de domínio do AD para se propagar por todo o ambiente. O acesso ao compartilhamento SYSVOL - que é usado para fornecer scripts de política e logon para membros do domínio - normalmente requer privilégios elevados e indica um sério comprometimento do AD.

O esquema do Active Directory define todas as classes de objectos que podem ser criadas e utilizadas na floresta do Active Directory. Por predefinição e de imediato, o esquema define todos os atributos que podem existir num objeto, as relações entre os vários atributos, quais são obrigatórios, as permissões de cada um e muitos outros parâmetros. O esquema é basicamente uma planta ou modelo de como os dados e que tipo de dados podem ser armazenados no Active Directory. Do ponto de vista da cibersegurança, as alterações não autorizadas ao esquema podem ser perigosas porque não podem ser desfeitas e podem ter um efeito destrutivo nos dados do Active Directory.

O grupo Schema Admins no Active Directory é um grupo altamente privilegiado que tem controlo total sobre o esquema do Active Directory. Os membros deste grupo podem modificar o esquema, incluindo adicionar ou eliminar definições de atributos e classes de objectos. Por exemplo: O grupo Schema Admins incluiria normalmente administradores de TI responsáveis pela gestão do esquema do Active Directory, como a implementação de extensões de esquema ou a realização de actualizações de esquema.

Do ponto de vista da cibersegurança, o comprometimento do grupo Schema Admins pode ter consequências graves, uma vez que permite que os atacantes façam alterações não autorizadas ao esquema do Active Directory. Isso pode levar à corrupção de dados, negação de serviço ou acesso não autorizado a sistemas críticos e informações confidenciais.

As extensões de esquema no Active Directory referem-se ao processo de modificação ou adição de novas definições de atributos e classes de objectos ao esquema existente do Active Directory. Isto permite às organizações personalizar o esquema para acomodar requisitos de aplicação específicos ou armazenar atributos adicionais para objectos. Por exemplo: Uma organização pode estender o esquema do Active Directory para incluir atributos personalizados para objetos de usuário para armazenar informações adicionais, como números de identificação de funcionários ou nomes de departamentos.

Esta é uma das cinco funções FSMO (Flexible Single Master Operations) no AD, responsável por tratar de todas as alterações ao esquema do Active Directory. O acesso não autorizado ao Schema Master pode levar a alterações críticas na estrutura do AD, permitindo ataques graves. Um controlador de domínio em toda a floresta deve ter esta função.

Ver também: Funções flexíveis de Operações Principais Únicas (FSMO)

Um objeto que define um atributo ou uma classe de objeto.

Uma versão do protocolo LDAP que estabelece uma ligação segura ao servidor LDAP através da aplicação de SSL/TLS. É crucial para proteger a troca de informações entre clientes e controladores de domínio contra espionagem ou manipulação.

Um protocolo normalizado utilizado em vários protocolos, como HTTPS, LDAPS e outros, que suporta a confidencialidade e a integridade de mensagens em aplicações cliente e servidor que comunicam através de redes abertas. O SSL suporta a autenticação do servidor e, opcionalmente, do cliente, utilizando certificados X.509. O SSL foi substituído pelo Transport Layer Security (TLS). A versão 1.0 do TLS é baseada na versão 3.0 do SSL.

O SAM é uma base de dados que armazena utilizadores e objectos de grupo utilizados pelos sistemas operativos Windows clientes para autenticar utilizadores locais. As palavras-passe dos utilizadores são armazenadas num formato com hash. O SAM utiliza medidas criptográficas para impedir que utilizadores não autenticados acedam ao sistema. Se um atacante tiver acesso a esta base de dados, pode tentar extrair detalhes sobre as contas de utilizador e as suas palavras-passe.

Uma norma aberta baseada em XML para o intercâmbio de dados de autenticação e autorização entre partes, especificamente entre um fornecedor de identidade e um fornecedor de serviços. A SAML é fundamental em cenários em que é necessário um Single Sign-On (SSO) seguro e sem falhas em diferentes domínios. Ajuda as organizações a proporcionar uma experiência de utilizador sem problemas, reduzindo a necessidade de várias palavras-passe e inícios de sessão, ao mesmo tempo que mantém elevados níveis de segurança e controlo sobre o acesso dos utilizadores.

No Active Directory, um descritor de segurança é uma estrutura de dados que contém as informações de segurança associadas a um objeto securizável, como utilizadores, grupos ou computadores. Inclui o SID do proprietário, o SID do grupo primário, a DACL e a SACL. Um descritor de segurança define quem tem que tipo de acesso ao objeto. A configuração incorrecta de um descritor de segurança pode conduzir a um acesso não autorizado ou a um aumento de privilégios.

Um processo no Active Directory que mantém a consistência das Listas de Controlo de Acesso (ACLs) em todo o diretório. Funciona ao nível do domínio e assegura que as alterações de permissões efectuadas a um objeto principal são devidamente propagadas a todos os objectos secundários na hierarquia. Assim, desempenha um papel vital na aplicação de políticas de segurança e controlo de acesso em toda a infraestrutura do AD.

Uma coleção de registos do Windows que capturam uma série de informações relacionadas com a segurança, incluindo tentativas de início de sessão e acesso a recursos, que podem ser valiosas na deteção de actividades suspeitas. Se não forem monitorizadas regularmente, as actividades maliciosas podem passar despercebidas, conduzindo a violações.

Os grupos de segurança podem conter várias contas, como objectos de utilizador, objectos de computador ou mesmo outros objectos de grupo, que podem ser utilizados para atribuir facilmente permissões a um recurso ou solicitar permissões. Os grupos de segurança desempenham um papel crucial na segurança dos recursos e na gestão dos direitos de acesso num ambiente do Active Directory, uma vez que são utilizados para aplicar as permissões a uma pasta ou objeto ao grupo em vez de a cada conta individual.

Um SID é um valor único utilizado para identificar contas de utilizador, grupo e computador no Windows. Desempenham um papel essencial na gestão das permissões e no controlo do acesso aos recursos num ambiente Active Directory. Se um atacante conseguir forjar um SID, poderá fazer-se passar por outro utilizador ou obter privilégios não autorizados. O valor SID para todos os objectos num domínio é idêntico. Para criar um valor único para as entidades de segurança, o valor SID é combinado com um valor RID único que é controlado pelo conjunto de RID atribuído aos DCs pelo titular da função FSMO Mestre de RID no domínio.

Os indicadores de segurança são valores baseados em métricas obtidas através da comparação de atributos logicamente relacionados com o comportamento de uma atividade, processo ou controlo num determinado período de tempo. Estes indicadores críticos são derivados de critérios predefinidos e podem ser preditivos da postura global de segurança de uma organização. Os indicadores de segurança incluem indicadores de ataque (IOAs), indicadores de comprometimento (IOCs) e indicadores de exposição (IOEs).

Ver também: Indicadores de ataque, Indicadores de compromisso, Indicadores de exposição

Uma tecnologia que agrega e analisa dados de registo e eventos gerados por várias fontes na infraestrutura de TI de uma organização. As organizações utilizam o SIEM para reunir, centralizar e armazenar registos de várias fontes, em tempo real.

Pode utilizar o SIEM para monitorizar actividades suspeitas e analisar eventos passados, recolhendo registos de redes, sistemas, infra-estruturas, aplicações ou activos específicos. O SIEM também pode obter feeds de ameaças externas e usar análises avançadas para notificá-lo sobre eventos maliciosos no ambiente do Active Directory. No entanto, alguns ataques são concebidos para iludir a deteção do SIEM.

Um SOC é uma unidade que funciona como o centro de cibersegurança de uma organização, com a tarefa de reforçar as medidas de segurança e lidar com as ameaças em tempo real. Monitoriza vários sistemas, incluindo identidades, pontos finais, servidores e bases de dados, ao mesmo tempo que utiliza informações actualizadas sobre ameaças para identificar e retificar vulnerabilidades antes de estas poderem ser exploradas por ciber-atacantes.

Um conjunto de soluções concebidas para simplificar as operações de segurança através da automatização da deteção e resposta a ameaças. O SOAR integra várias ferramentas e sistemas de segurança, fornecendo uma plataforma unificada para recolher dados e executar respostas adequadas às ameaças. Isto permite às equipas de segurança gerir e responder a um maior volume de ameaças de forma mais eficiente, melhorando a postura geral de segurança de uma organização.

Pode utilizar esta tecnologia de segurança para ajudar a reduzir o tempo de resposta a incidentes - o que afecta diretamente a produtividade e a eficiência - e aceder a alertas anteriores para fins de investigação. No entanto, alguns ataques são concebidos para iludir a deteção do SOAR.

Com o advento dos serviços em nuvem, dispositivos móveis e trabalho remoto, os perímetros de segurança das organizações mudaram dos servidores locais que compõem uma rede para uma nova fronteira: a identidade. 

Uma entidade única, também designada por entidade principal, que pode ser autenticada pelo Active Directory. Normalmente, é um objeto de utilizador, um objeto de grupo de segurança ou um objeto de computador. Todas as entidades de segurança no Active Directory têm um ID de Segurança (SID).

A SSPI permite que as aplicações utilizem vários modelos de segurança disponíveis num computador ou numa rede sem alterar a interface com o sistema de segurança. A sua má utilização pode conduzir a ataques de manipulação de tokens.

O STS é um fornecedor de identidade baseado em software, que emite tokens de segurança como parte de um sistema de identidade baseado em reclamações. É normalmente utilizado em cenários de federação, desempenhando um papel fundamental na garantia da segurança. Se for comprometido, pode levar ao acesso não autorizado a vários serviços.

O Server Core é uma opção de instalação de servidor mínima para o Windows Server que fornece um ambiente de servidor de baixa manutenção com funcionalidade limitada. É utilizado principalmente para funções de infraestrutura, incluindo uma função de Serviços de Domínio do Active Directory. Do ponto de vista da cibersegurança, a menor superfície de ataque do Server Core pode reduzir o risco potencial de vulnerabilidades de segurança.

O SMB é um protocolo para a partilha de ficheiros, impressoras, portas de série e abstracções de comunicações, como pipes nomeados e slots de correio entre computadores. Um exemplo de um problema de cibersegurança é o ataque SMB Relay, em que um atacante configura um servidor SMB e faz com que a máquina alvo se autentique nele, permitindo o roubo de credenciais ou a execução de código arbitrário.

Uma conta de utilizador que é criada explicitamente para fornecer um contexto de segurança para serviços executados em servidores Windows. A má gestão das contas de serviço pode expô-las a atacantes, permitindo movimentos laterais ou o aumento de privilégios.

O objeto Ponto de Ligação de Serviço (SCP) no Active Directory é utilizado para definir as informações de configuração de que os clientes ou serviços necessitam para encontrar e ligar a serviços ou recursos específicos na infraestrutura da organização. Por exemplo: O Microsoft Exchange cria objectos SCP para especificar o ponto final do serviço Autodiscover no Active Directory. Isto permite que os clientes Outlook descubram automaticamente as definições do Exchange e se liguem ao servidor Exchange adequado.

Um SPN é um identificador exclusivo associado a cada instância de um serviço do Windows. Os SPNs são utilizados em conjunto com o protocolo de autenticação Kerberos para associar uma instância de serviço a uma conta de início de sessão de serviço. Num ciberataque conhecido como Kerberoasting, um atacante pode pedir bilhetes Kerberos para SPNs para decifrar as suas palavras-passe offline.

Veja também: Kerberoasting, digitalização do nome principal de serviço (SPN)

Um método frequentemente utilizado em ataques para descobrir contas de serviço num ambiente Active Directory. Os atacantes enumeram os serviços executados em contas de domínio através de SPNs (Service Principal Names) expostos. Estas contas têm muitas vezes privilégios elevados e palavras-passe mais fracas, o que as torna alvos privilegiados para serem comprometidos.

Um ataque em que uma sessão de utilizador é tomada por um atacante. No contexto do Active Directory, isto pode incluir o controlo de uma sessão de concessão de bilhetes Kerberos, por exemplo.

Este cmdlet do PowerShell define a data de expiração de uma conta do AD. Se for utilizado incorretamente, pode levar à negação de serviço ao definir uma expiração imediata em contas de utilizador válidas.

Este comando do PowerShell define a proteção de bloqueio de conta para um utilizador do AD.

Este comando do PowerShell restringe o logon a estações de trabalho específicas para um usuário. Se usado de forma maliciosa, pode levar a um acesso não autorizado ou a uma potencial negação de serviço.

Este cmdlet do PowerShell é utilizado para modificar as propriedades de um objeto de computador. Se for utilizado de forma maliciosa, pode levar a alterações não autorizadas nas propriedades do computador, podendo levar a interrupções ou violações operacionais.

Este cmdlet do PowerShell é utilizado para modificar a política de palavra-passe predefinida para um domínio AD. Se for mal utilizado, pode enfraquecer a política de palavras-passe da organização, facilitando a adivinhação ou a quebra de palavras-passe por parte de um atacante.

Este cmdlet do PowerShell é utilizado para modificar os atributos de um objeto de utilizador no Active Directory. Nas mãos erradas, este comando pode ser utilizado de forma maliciosa para alterar as propriedades da conta de utilizador, como o campo de descrição, para persistência furtiva ou escalonamento de privilégios.

A Cópia Sombra é uma tecnologia dos sistemas Windows que permite efetuar cópias de segurança manuais ou automáticas ou instantâneos de dados, mesmo que estes estejam a ser utilizados. Pode ser utilizada para restaurar versões anteriores de ficheiros e directórios.

Quando os utilizadores partilham um nome de utilizador e uma palavra-passe em vários sistemas (incluindo sistemas que não são do AD), um atacante pode aproveitar credenciais violadas ou fracas de um sistema para obter acesso não autorizado a outro.

Os grupos sombra no Active Directory são utilizados para espelhar os membros de um determinado grupo de distribuição dinâmico. Isto pode ser especialmente útil quando é necessário atribuir permissões a um grupo de distribuição dinâmico. No entanto, se não forem geridos corretamente, os grupos sombra podem representar um risco de segurança através da concessão inadvertida de permissões.

Um mecanismo de segurança no Active Directory que elimina SIDs estrangeiros do token de acesso de um utilizador ao aceder a recursos através da Confiança da Floresta. Esta funcionalidade, que está activada por predefinição entre florestas, ajuda a proteger contra utilizadores maliciosos com privilégios administrativos numa floresta fidedigna de obterem controlo sobre uma floresta fidedigna. Quando a filtragem de SID está ativa, apenas os SID do domínio de confiança são utilizados no token de um utilizador, enquanto os SID de outros domínios de confiança são excluídos.

O Histórico de SID é um atributo de um objeto de utilizador, que ajuda na migração de recursos de um domínio para outro. Armazena SIDs anteriores de uma conta de utilizador, permitindo o acesso a recursos que reconhecem o SID antigo. Os atacantes podem abusar deste atributo através de um método denominado Injeção de Histórico de SID para aumentar os privilégios.

O atributo histórico do Identificador de Segurança (SID) pode ser manipulado para elevar os privilégios de um utilizador. Um atacante pode adicionar o SID de um grupo privilegiado ao atributo do histórico do SID da sua conta, concedendo-lhe os privilégios correspondentes.

Um ataque Silver Ticket centra-se na falsificação de um bilhete de sessão (ST). Este ataque permite ao atacante fazer-se passar por um utilizador legítimo e obter acesso não autorizado a recursos dentro do domínio. Neste tipo de ataque, um atacante obtém acesso não autorizado a um serviço forjando um bilhete Kerberos para esse serviço. Ao obter o hash NTLM da conta de serviço e outras informações necessárias, o atacante pode criar um bilhete malicioso, concedendo-lhe acesso ao serviço sem necessidade de autenticação ou de saber a palavra-passe do utilizador real.

Uma estrutura que fornece um mecanismo para autenticação e serviços de segurança opcionais em protocolos da Internet. No contexto do Active Directory (AD), o SASL é utilizado para garantir a integridade e a segurança dos dados durante a transmissão. Quando um cliente AD pretende autenticar-se num servidor, pode utilizar a SASL para especificar o método de autenticação que prefere. A SASL suporta vários métodos de autenticação, tais como Kerberos, NTLM e Digest-MD5, e é frequentemente utilizada em protocolos como o LDAP. Alguns mecanismos SASL também fornecem serviços de segurança para além da autenticação, como verificações de integridade de dados e encriptação, para proteger os dados durante a transmissão.

O SSO é um processo de autenticação que permite a um utilizador aceder a vários recursos com um conjunto de credenciais de início de sessão. O SSO pode ser utilizado para fornecer aos utilizadores um acesso contínuo aos recursos da rede, melhorando a experiência do utilizador ao reduzir o número de palavras-passe de que necessitam de se lembrar. O SSO pode aumentar a eficiência da empresa, mas também apresenta um potencial problema de segurança se o ponto de autenticação único for comprometido.

Um conjunto de uma ou mais sub-redes TCP/IP bem ligadas (fiáveis e rápidas) representadas como objectos na base de dados do AD. Os sites ajudam os administradores a otimizar o tráfego de início de sessão do Active Directory e a replicação do Active Directory no que diz respeito à rede física e às velocidades de ligação WAN. Quando os utilizadores iniciam sessão, as máquinas membro do domínio encontram controladores de domínio (DCs) que se encontram no mesmo site que o utilizador, ou perto do mesmo site se não existir um DC no site. Quando os DCs replicam, efectuam uma replicação quase imediata entre todos os DCs de um site e adiam o tráfego de replicação para outros sites com base na janela e no intervalo de replicação. A configuração incorrecta de sites e serviços pode levar a ineficiências na replicação e pode afetar a disponibilidade dos serviços do AD.

As ligações de sites no Active Directory representam caminhos IP fiáveis entre sites. São utilizados pelo Knowledge Consistency Checker (KCC) para criar a topologia de replicação.

Um objeto da classe site, que representa um site.

Num ataque skeleton key, um adversário implementa um software malicioso num controlador de domínio. Este malware permite ao atacante iniciar sessão em qualquer conta do domínio utilizando uma palavra-passe conhecida apenas pelo atacante, sem perturbar as operações normais ou alterar as palavras-passe reais.

Esta é uma forma forte de autenticação de dois factores utilizada para iniciar sessão num domínio AD. Um cartão inteligente contém um certificado, associado a uma conta de utilizador, proporcionando uma defesa robusta contra o roubo de credenciais.

Um ataque rápido ao estilo psexec com o benefício adicional da capacidade de passar o hash. Executa comandos em computadores remotos aproveitando o protocolo SMB.

Uma ferramenta que permite aos utilizadores enumerar unidades de partilha samba em todo um domínio. Os atacantes podem utilizá-la para descobrir as permissões ao nível dos ficheiros, directórios e partilhas.

Isto refere-se a uma "fotografia" ou estado armazenado da base de dados do Active Directory num determinado momento, que pode ser utilizado para fins de cópia de segurança. O acesso não autorizado a instantâneos pode revelar dados confidenciais, e instantâneos desatualizados podem conter vulnerabilidades que foram corrigidas no ambiente ativo.

Os SRP identificam programas de software em execução nos computadores de um domínio e controlam a capacidade de execução desses programas. Este é um método eficaz para evitar a execução de malware ou software não fiável. A SRP pode ser utilizada para estabelecer uma configuração altamente segura para sistemas, permitindo a execução apenas de aplicações pré-aprovadas. Estando integrada com o Microsoft Active Directory e a Política de Grupo, as SRP podem ser criadas tanto em ambientes de rede como em computadores independentes.

No início de 2020, os ciberataques invadiram secretamente os sistemas da SolarWind, sediada no Texas, e adicionaram código malicioso ao sistema de software da empresa. O sistema, denominado "Orion", é amplamente utilizado por empresas para gerir recursos informáticos. A SolarWinds tinha 33,000 clientes usando Orion, de acordo com documentos da SEC. No entanto, por volta de março de 2020, até 18.000 clientes da SolarWinds instalaram atualizações que os deixaram vulneráveis a ciberataques. Entre eles estavam vários clientes de alto perfil da SolarWinds, incluindo empresas da Fortune 500 e várias agências do governo dos EUA, incluindo partes do Pentágono, o Departamento de Segurança Interna e o Tesouro.

As identidades especiais (também designadas por identidades implícitas) são grupos predefinidos que desempenham funções únicas e frequentemente dinâmicas na infraestrutura. Ao contrário dos grupos típicos, estas identidades não têm uma lista estática de membros. Em vez disso, representam diferentes utilizadores em diferentes circunstâncias. Alguns exemplos destas identidades especiais incluem o início de sessão anónimo, o lote e o utilizador autenticado.

Num ataque de SPN-jacking, os ciberataques manipulam o SPN das contas de computador/serviço para redirecionar a Delegação Restrita pré-configurada para alvos não pretendidos, mesmo sem obter privilégios de SeEnableDelegation.

No contexto do Active Directory, o spoofing refere-se geralmente a uma situação em que uma entidade maliciosa se faz passar por outro dispositivo ou utilizador na rede. Por exemplo, a falsificação de DNS pode ser utilizada para desviar o tráfego para um servidor malicioso.

No DNS, um tipo de registo de informações armazenado na base de dados de zonas no DNS, que mapeia o nome de um determinado serviço para o nome DNS de um servidor que oferece esse serviço. O Active Directory utiliza fortemente os registos SRV para permitir que os clientes e outros DCs localizem serviços como o Catálogo Global, LDAP e Kerberos, e os DCs anunciam automaticamente as suas capacidades através da publicação de registos SRV no DNS.

O processo de negociação e estabelecimento de uma ligação protegida por Secure Sockets Layer (SSL) ou Transport Layer Security (TLS).

Também conhecidos como ataques de terceiros ou ataques à cadeia de valor, ocorrem quando um atacante se infiltra no seu sistema através de um parceiro ou fornecedor externo com acesso aos seus sistemas e dados. Essencialmente, em vez de atacar diretamente o alvo principal, o agente da ameaça visa elementos menos seguros na cadeia de fornecimento da rede. Exemplos notórios incluem o ataque da SolarWinds, em que foi inserido código malicioso em actualizações de software, afectando milhares de clientes em todo o mundo.

No contexto do Active Directory, a sincronização é o processo de garantir que várias cópias de um objeto de dados, como uma conta de utilizador ou um grupo, são iguais em todos os controladores de domínio. Se a sincronização falhar, pode levar a inconsistências que podem ser exploradas por um atacante.

Uma lista de controlo de acesso (ACL) que controla a geração de mensagens de auditoria para tentativas de acesso a um objeto seguro no AD. As mensagens de auditoria resultantes podem ser vistas no registo de segurança no Visualizador de Eventos do Windows. Ignorar as SACLs pode deixar um sistema vulnerável ao não registar e alertar sobre actividades suspeitas.

A partilha SYSVOL é uma pasta muito importante que é partilhada em cada controlador de domínio no domínio AD. A localização predefinida é %SYSTEMROOT%SYSVOLSYSVOL e contém normalmente Objectos de Política de Grupo, Pastas, Scripts, Pontos de Junção e muito mais. Cada Controlador de Domínio obtém uma réplica da partilha SYSVOL. Se não estiver corretamente protegido, os atacantes podem obter acesso a esta partilha e tudo o que aí for colocado é replicado por predefinição em toda a floresta AD. Modificações não autorizadas no SYSVOL também podem levar a problemas de segurança relacionados ao GPO.

Um utilitário gráfico de monitorização de rede da Sysinternals que mostra uma representação de todos os pontos finais TCP e UDP atualmente activos num sistema.

O TACACS é um protocolo de autenticação remota normalmente utilizado em redes UNIX. O TACACS permite que um servidor de acesso remoto reencaminhe a palavra-passe de início de sessão de um utilizador para um servidor de autenticação para determinar se o acesso pode ser permitido a um determinado sistema. Embora não faça diretamente parte do Active Directory, é frequentemente utilizado em conjunto com o AD em ambientes mistos.

Os Serviços de Terminal, agora conhecidos como Serviços de Ambiente de Trabalho Remoto, permitem aos utilizadores aceder remotamente a programas baseados no Windows ou ao ambiente de trabalho completo do Windows. Embora ofereça conveniência e flexibilidade, também pode representar um risco de segurança se não for devidamente protegido, uma vez que pode ser explorado por atacantes para acesso remoto não autorizado.

Veja também: Serviços de Ambiente de Trabalho Remoto (RDS)

Este comando do PowerShell verifica o canal seguro entre o computador local e o seu domínio. Se mostrar uma conexão insegura, isso pode indicar possíveis ataques MiTM ou outros comprometimentos de rede.

A caça às ameaças é um processo proactivo de cibersegurança que consiste em procurar nas redes para detetar e isolar ameaças avançadas que escapam às soluções de segurança existentes. É crucial em ambientes do Active Directory para identificar potenciais intrusões ou actividades maliciosas que tenham contornado as medidas de segurança tradicionais. Um exemplo bem conhecido de um caso de caça a ameaças no AD seria a procura de sinais de ataques "Golden Ticket", em que os atacantes forjam um TGT.

Um termo genérico para descrever os tipos de vulnerabilidades, ataques e agentes de ameaças que existem num determinado momento e num determinado contexto. As tecnologias informáticas e de informação estão a avançar à velocidade da luz. No entanto, os ciberataques estão a acompanhar o ritmo, evoluindo constantemente os seus métodos de exploração das vulnerabilidades do sistema. A volatilidade do atual cenário de ciberameaças torna crítica a utilização de uma abordagem de segurança em camadas e de soluções criadas especificamente para proteger e recuperar rapidamente o Active Directory.

O TGS é um componente crítico do protocolo de autenticação Kerberos utilizado no Active Directory. Após a autenticação inicial, é emitido um TGT (Ticket Granting Ticket) pelo KDC (Key Distribution Center). O TGS utiliza este TGT para emitir bilhetes de serviço para acesso a outros recursos no domínio. Se um atacante obtiver acesso a um TGT válido, pode solicitar bilhetes para qualquer serviço de rede, conduzindo a um potencial acesso não autorizado.

Ver também: Bilhete de concessão de bilhetes (TGT)

No protocolo de autenticação Kerberos, as Opções de bilhete são um campo no bilhete que especifica sinalizadores como, por exemplo, se o bilhete é renovável ou se é válido para utilização proxy. A configuração incorrecta destas opções, ou a exploração por um atacante, pode levar a problemas de segurança, como a renovação não autorizada do bilhete.

Como parte do protocolo de autenticação Kerberos, é emitido um TGT pelo Centro de Distribuição de Chaves (KDC) aquando da autenticação inicial do utilizador. Este bilhete é depois utilizado para solicitar bilhetes de serviço ao Serviço de Concessão de Bilhetes (TGS) para recursos de rede específicos. O TGT contém a chave de sessão, a data de expiração e o endereço IP do utilizador. O TGT é um alvo de elevado valor para os atacantes, uma vez que a posse de um TGT válido lhes permite fazer-se passar por utilizadores e obter acesso não autorizado a recursos.

Ver também: Serviço de concessão de bilhetes (TGS)

Os activos de nível 0 são aqueles que são críticos para o funcionamento do seu ambiente de TI. Esses activos incluem o Active Directory e os controladores de domínio AD, que, por sua vez, controlam o acesso e os privilégios de todos os utilizadores, sistemas e recursos da organização.

Este modelo de segurança para o acesso administrativo separa os privilégios em níveis distintos para evitar o roubo de credenciais e o acesso não autorizado. Por exemplo, os administradores com acesso ao controlador de domínio (Nível 0) não devem utilizar as mesmas contas ou máquinas para gerir activos menos fiáveis, como estações de trabalho de utilizadores (Nível 2). Este modelo é essencial para minimizar o risco de escalonamento de privilégios ou ataques de movimento lateral.

O Active Directory utiliza o protocolo Kerberos para autenticação, que se baseia em bilhetes sensíveis ao tempo. É crucial manter uma hora exacta e sincronizada em todos os sistemas de um ambiente AD para evitar problemas de autenticação. Definições de hora incorrectas podem mesmo conduzir a ataques baseados no Kerberos, como ataques de repetição.

O TTL não é exclusivo do Active Directory, mas desempenha um papel fundamental no DNS, que é um componente significativo do AD. No contexto do DNS integrado no AD, o TTL é um valor num registo DNS que significa a duração da validade do registo antes de ter de ser atualizado. Um TTL excessivamente longo pode levar à utilização de informações de DNS desactualizadas, o que pode perturbar os serviços do AD.

Um token no Active Directory é uma representação dos direitos e permissões do utilizador. Sempre que um utilizador inicia sessão, é gerado um token que identifica o utilizador e os grupos aos quais o utilizador pertence. Os tokens podem ser alvo de ataques de imitação de token por parte de cibercriminosos, que roubam o token para obter acesso não autorizado.

O inchaço dos tokens é uma situação em que um utilizador acumula tantos identificadores de segurança (SIDs) no seu token de acesso devido à participação em muitos grupos que tem problemas de início de sessão ou de acesso a recursos. Do ponto de vista da cibersegurança, o inchaço do token pode afetar a produtividade do utilizador e servir como um sinal de permissões excessivas que podem ser exploradas por um atacante se a conta do utilizador for comprometida.

Quando um objeto é eliminado do Active Directory, é movido para o contentor Objectos eliminados. O objeto mantém a maioria dos seus atributos. Os objectos permanecem neste contentor durante o período de tombstone (por predefinição, 180 dias), após o qual são permanentemente eliminados. Se o período de tombstone ainda não tiver passado, os objectos eliminados podem ser reanimados. O restauro de objectos com tombamento incorreto pode dar origem a inconsistências e, possivelmente, a objectos órfãos.

O número de dias antes de um objeto eliminado ser removido dos serviços de diretório. A predefinição costumava ser 60 dias quando não era introduzido qualquer valor. Nos sistemas operativos modernos, o valor é 180 dias.

Uma relação bidirecional que é criada automaticamente entre os domínios pai e filho numa floresta do Microsoft Active Directory e que pode permitir que os utilizadores de um domínio da floresta iniciem sessão em recursos de qualquer outro domínio dessa floresta. Isto significa que se o Domínio A confia no Domínio B e o Domínio B confia no Domínio C, então o Domínio A confia automaticamente no Domínio C. Os atacantes podem explorar esta transitividade para obter acesso não autorizado a recursos.

O TCP/IP é o conjunto de protocolos de comunicação utilizados para interligar dispositivos de rede na Internet ou numa rede privada. No contexto do Active Directory, é fundamental, uma vez que constitui a espinha dorsal das comunicações de rede. É importante garantir a implementação de medidas de segurança adequadas, como o IPsec, para proteger o tráfego de rede contra ataques de sniffing ou spoofing.

O TLS é um protocolo que garante a privacidade entre aplicações e utilizadores em comunicação na Internet. Quando um servidor e um cliente comunicam, o TLS garante que nenhum terceiro pode escutar ou adulterar qualquer mensagem. Se não for corretamente implementado, os atacantes podem explorar vulnerabilidades no protocolo ou utilizar ataques de baixa qualidade para enfraquecer a segurança da ligação.

Uma árvore é uma coleção de domínios do Active Directory numa ordem hierárquica e com um espaço de nomes contíguo.

Uma confiança de raiz de árvore é uma relação de confiança transitiva automática que é estabelecida entre os domínios de raiz de duas árvores na mesma floresta do Active Directory. Esta confiança permite que todos os domínios de uma árvore confiem em todos os domínios da outra árvore. No entanto, à semelhança das relações de confiança transitivas, as relações de confiança de raiz de árvore podem ser potencialmente exploradas por atacantes para movimento lateral dentro da floresta.

O TrickBot é um tipo de malware Trojan que foi identificado pela primeira vez em 2016. O seu objetivo original era visar bancos e roubar dados financeiros, mas o TrickBot evoluiu para um malware modular de vários estágios. O vetor de infeção inicial mais comum é o malspam que contém documentos de escritório maliciosos e carregados de macros, tais como facturas, cartões de boas festas, infracções de trânsito, etc.

Uma relação de confiança é uma relação entre domínios que permite o acesso de objectos de um domínio a recursos de outro. É estabelecida entre duas árvores de domínios ou florestas para permitir que os utilizadores de um domínio acedam aos recursos do outro. Por exemplo, um utilizador de um domínio pode iniciar sessão e aceder a recursos de outro domínio.

Estes definem o tipo de acesso que é dado a um domínio fidedigno. Os atributos de confiança incluem definições como a autenticação selectiva, que restringe o acesso apenas a determinados recursos num domínio. As configurações incorrectas nos atributos de confiança podem levar ao acesso não autorizado a recursos.

No Active Directory, um limite de confiança é um limite lógico que separa diferentes domínios ou reinos de segurança. Representa o grau em que as relações de confiança podem ser estabelecidas entre entidades dentro e fora do limite. O estabelecimento de uma relação de confiança através desta fronteira permite que as entidades de segurança (como utilizadores ou computadores) de um domínio acedam a recursos de outro domínio.

A 2FA acrescenta uma camada extra de segurança ao processo de autenticação, exigindo que os utilizadores verifiquem a sua identidade utilizando dois factores diferentes: algo que conhecem (como uma palavra-passe) e algo que possuem (como um token ou dispositivo móvel). Torna mais difícil para os atacantes obterem acesso, mesmo que consigam comprometer um fator.

Os grupos universais no Active Directory são grupos que podem incluir utilizadores, grupos e computadores de qualquer domínio na respectiva floresta AD. Este atributo torna-os ideais para a gestão de acesso em grande escala em vários domínios, mas as configurações incorrectas ou a utilização excessiva podem aumentar o tráfego de replicação na floresta, afectando potencialmente o desempenho.

Este comando do PowerShell desbloqueia uma conta do AD que tenha sido bloqueada. A utilização indevida pode levar um atacante a desbloquear contas que foram bloqueadas devido a actividades suspeitas.

Um USN é um número de 64 bits no Active Directory que aumenta à medida que ocorrem alterações em objectos ou atributos. Utilizado para controlar a replicação destas alterações em toda a floresta do AD.

Embora não seja estritamente um termo do AD, o UAC é uma funcionalidade de segurança do Windows que pode interagir com o AD. Controla os privilégios de uma conta de utilizador, pedindo confirmação sempre que uma alteração requer direitos administrativos. Se as definições do UAC não estiverem corretamente configuradas, pode permitir alterações não autorizadas ou a propagação de malware.

Na Interface de Serviços do Active Directory (ADSI), cada objeto tem um identificador único conhecido como UID. É frequentemente utilizado quando se interage com o AD através de scripts ou linguagens de programação, servindo como um ponteiro distinto para um objeto no diretório.

No Active Directory, um objeto de utilizador é um conjunto distinto de atributos que representam um utilizador da rede. Inclui informações como o nome de utilizador, a palavra-passe e vários outros detalhes sobre o utilizador. A segurança dos objectos de utilizador é fundamental para garantir a privacidade dos dados e impedir o acesso não autorizado.

Um nome de início de sessão ao estilo da Internet para um objeto de utilizador, baseado na norma da Internet RFC 822. O UPN é mais curto do que o nome distinto e mais fácil de memorizar, simplificando o processo de início de sessão, especialmente em ambientes com relações de confiança. Por convenção, este nome deve corresponder ao endereço de correio eletrónico do utilizador, o que facilita a sua memorização.

Um diretório virtual é um nome de diretório, também conhecido como caminho, que é utilizado para fazer referência ao diretório físico (ou directórios) onde os ficheiros estão efetivamente armazenados. Este conceito é importante no AD porque permite que os recursos sejam localizados e geridos eficazmente sem lidar diretamente com as complexidades subjacentes às suas localizações físicas.

Uma VLAN é uma divisão lógica numa rede, que agrupa um conjunto de dispositivos que podem comunicar como se estivessem na mesma rede física, mesmo que não estejam. Do ponto de vista do AD, as VLANs podem influenciar o design e o desempenho da replicação do AD, bem como a aplicação de políticas.

Uma VPN é uma ligação de rede segura que utiliza encriptação e outros mecanismos de segurança para garantir que apenas os utilizadores autorizados podem aceder à rede e que os dados não podem ser interceptados. Isto tem implicações para o Active Directory porque permite o acesso remoto e seguro à rede de uma organização onde residem os recursos do AD.

O processo de criação de uma versão virtual de algo, incluindo, entre outros, uma plataforma de hardware, um sistema operativo, um dispositivo de armazenamento ou recursos de rede. No contexto do AD, os controladores de domínio podem ser virtualizados para poupar nos custos de hardware ou para fins de recuperação de desastres. No entanto, a virtualização dos componentes do AD tem de ser gerida com cuidado, uma vez que as configurações incorrectas (como ter um controlador de domínio virtual a manter o seu próprio tempo) podem dar origem a problemas significativos.

Um vírus é um programa malicioso que se replica para se espalhar para outros computadores. Pode afetar potencialmente o Active Directory se infetar sistemas que interagem com o AD ou se visar especificamente componentes do AD. A proteção contra vírus e a intervenção atempada são cruciais para manter a integridade e a disponibilidade do ambiente do AD.

O VBScript é uma linguagem de script leve, desenvolvida pela Microsoft, que é frequentemente utilizada para a criação de scripts do lado do servidor em ambientes do Active Directory. Apesar da sua idade, muitos administradores do AD têm VBScripts antigos no seu ambiente, ou podem utilizar o VBScript para tarefas rápidas e simples.

Este é um serviço do Windows que permite a cópia de segurança manual ou automática de ficheiros e volumes do computador. É essencialmente a ferramenta de cópia de segurança nativa do Windows, capaz de criar cópias "sombra" em intervalos especificados ou quando accionada por um evento do sistema. O VSS pode ser utilizado para efetuar cópias de segurança de uma base de dados do Active Directory enquanto esta ainda está em execução e desempenha um papel essencial nas operações de restauro do sistema e de recuperação de dados.

Esta técnica de segurança é utilizada para identificar pontos fracos de segurança num sistema informático. No contexto do Active Directory, a análise de vulnerabilidades pode revelar problemas como software não corrigido, configurações incorrectas de segurança ou a utilização de palavras-passe fracas. A verificação regular de vulnerabilidades é uma parte crítica da manutenção da segurança de um ambiente do Active Directory.

O worm de ransomware Wannacry explorou a vulnerabilidade EternalBlue e visou computadores com Windows em 2017. A Microsoft lançou uma correção de segurança para a EternalBlue pouco antes do início dos ataques, mas muitos utilizadores do Windows não atualizaram imediatamente os seus sistemas ou estavam a utilizar versões desatualizadas do Windows. Como resultado, o Wannacry infetou mais de 200 000 computadores em 150 países e causou danos no valor de 8 mil milhões de dólares.

Um utilitário de prompt de comando que permite aos administradores ou operadores de backup fazer backup e restaurar um sistema operacional (SO), volume, arquivo, pasta ou aplicativo. O Wbadmin substituiu o NT backup, a ferramenta utilizada para criar cópias de segurança em sistemas anteriores ao Windows Server 2008.

No domínio do SSL/TLS, um certificado wildcard é um certificado que pode proteger qualquer subdomínio de um domínio. Por exemplo, um único certificado wildcard para *.semperis.com pode proteger www.semperis.com, mail.semperis.com, etc. No AD, um certificado wildcard pode ser utilizado para proteger vários serviços sem a necessidade de vários certificados.

Também conhecido como Azure Active Directory (AAD). Trata-se dos Serviços de Domínio do Active Directory na nuvem do Windows Azure.

O Windows Defender é o sistema de segurança incorporado e em tempo real no Windows que oferece proteção contra uma vasta gama de ameaças, tais como malware, spyware e vírus. Desempenha um papel fundamental na segurança dos dispositivos que fazem parte do Active Directory.

Uma aplicação Windows que permite aos administradores ver registos detalhados do sistema operativo, segurança e notificações de aplicações. Utilizada pelos administradores para diagnosticar problemas do sistema e prever problemas futuros.

Um serviço baseado no Windows que resolve nomes NetBIOS de computadores em endereços IP. O WINS foi concebido para resolver os problemas decorrentes da resolução de nomes NetBIOS em ambientes encaminhados.

Uma infraestrutura incorporada nos sistemas operativos Microsoft Windows que permite que os dados de gestão e os parâmetros operacionais sejam obtidos e configurados em qualquer dispositivo que se "ligue" ao sistema. Fornece uma forma unificada de o software solicitar informações do sistema e gerir os componentes do sistema local ou remotamente. A WMI pode ser utilizada para tarefas como a consulta de definições do sistema, a definição de propriedades do sistema ou o desencadeamento de acções específicas nos sistemas.

O Windows PowerShell é um shell de linha de comando baseado em tarefas e uma linguagem de scripting concebida especialmente para a administração de sistemas. Construído com base no .NET Framework, o PowerShell ajuda os profissionais de TI a controlar e automatizar a administração do sistema operativo Windows e das aplicações executadas no Windows. Por exemplo, os administradores podem utilizar o PowerShell para automatizar o processo de criação de utilizadores no Active Directory.

Um anfitrião de scripting independente da linguagem para motores de scripting compatíveis com o Windows Script. Fornece um conjunto de objectos e serviços que permitem a criação de scripts ao nível do sistema, permitindo que os scripts escritos em JScript ou VBScript, por exemplo, automatizem tarefas administrativas ou interajam diretamente com o sistema operativo Windows. Os scripts WSH podem ser executados diretamente a partir do ambiente de trabalho ou da linha de comandos, ou podem ser incorporados numa página Web, proporcionando uma plataforma versátil para automatizar tarefas de rotina.

O Windows Server é um grupo de sistemas operativos concebido pela Microsoft que suporta gestão, armazenamento de dados, aplicações e comunicações de nível empresarial. O Active Directory é um dos serviços críticos executados no Windows Server, fornecendo uma variedade de serviços de diretório.

O WSUS é uma função do servidor Windows que pode planear, gerir e implementar actualizações, patches e hotfixes para sistemas operativos Windows e outro software Microsoft.

O serviço Windows Time garante que todos os computadores num domínio do Active Directory partilham uma hora comum. Isto é crítico, uma vez que uma diferença de tempo para além do limite permitido (5 minutos por predefinição) pode levar a falhas de autenticação devido à sensibilidade do protocolo Kerberos ao tempo.

O fornecedor do espaço de nomes do Windows NT, que suporta a base de dados de contas SAM do Windows NT.

Amplamente utilizado na resolução de problemas de rede e na análise de protocolos, o Wireshark é uma ferramenta legítima de captura de rede que pode ser utilizada por atacantes para capturar e analisar o tráfego de rede, potencialmente revelando dados sensíveis transmitidos em texto simples.

Uma linguagem do tipo SQL utilizada para filtrar e consultar informações da estrutura Windows Management Instrumentation (WMI). É utilizada para escrever consultas que devolvem informações específicas a partir da vasta quantidade de dados que a WMI pode fornecer, como a consulta de eventos ou objectos de dados, a chamada de métodos ou o acesso ou modificação de propriedades do sistema. A WQL oferece um conjunto de ferramentas robusto para os administradores automatizarem tarefas, resolverem problemas ou recolherem informações do sistema num ambiente Windows.

No contexto do Active Directory, uma estação de trabalho refere-se normalmente a um computador que está ligado à rede e sob o controlo do AD. As políticas podem ser aplicadas às estações de trabalho, os utilizadores podem iniciar sessão nas mesmas utilizando as suas credenciais do AD e podem aceder a recursos com base nos seus direitos e permissões de utilizador do AD.

Um controlador de domínio gravável é um servidor que aloja uma cópia gravável da base de dados do AD. Isto contrasta com um controlador de domínio só de leitura (RODC). Os WDCs permitem alterações à base de dados, que são depois replicadas para outros DCs. Qualquer comprometimento de um WDC pode ter um impacto significativo devido à sua capacidade de alterar os dados do diretório.

Uma série de normas de redes informáticas que definem um serviço de diretório para sistemas de computação distribuídos. Funciona como um livro de endereços global, facilitando a partilha de informações sobre utilizadores, sistemas, redes, serviços e aplicações em toda a rede. O protocolo LDAP baseia-se num subconjunto destas normas, tornando o X.500 uma parte importante da base para serviços de diretório modernos, como o Active Directory da Microsoft.

A Confiança Zero é um conceito de segurança que assume que não existe confiança implícita concedida a activos ou contas de utilizador com base apenas na sua localização física ou de rede. A Confiança Zero exige que todos os utilizadores sejam autenticados e autorizados antes de lhes ser concedido acesso a aplicações e dados. A segurança da identidade está no centro das iniciativas bem-sucedidas do Zero Trust. 

Uma vulnerabilidade na criptografia do processo Netlogon da Microsoft pode permitir um ataque contra o Active Directory (AD). O Zerologon permite que os ciberataques se façam passar por qualquer computador e assumam o controlo de um controlador de domínio, incluindo o controlador de domínio raiz. Para tal, os ciberataques alteram ou removem a palavra-passe de uma conta de serviço no controlador e, em seguida, causam uma negação de serviço (DoS) ou assumem o controlo de toda a rede.

As transferências de zona ocorrem nos protocolos do Sistema de Nomes de Domínio (DNS) em que um servidor DNS passa uma cópia de parte da sua base de dados (uma zona) para outro servidor DNS. No contexto do Active Directory, é um componente essencial do processo de replicação de zonas DNS integradas no AD. Em termos de segurança, as transferências de zona não seguras podem expor informações sensíveis sobre recursos de rede, pelo que é importante garantir que estão configuradas para permitir apenas transferências para servidores autorizados.