Conforme o tempo vai passando os domínios vão se modernizando, com novas estações, usuários e aplicativos inseridos. Mas com a atualização dos domínios, outras partes da infraestrutura vão sendo esquecidas e acabam dando brechas para ataques. Os invasores aproveitam destas lacunas para se inserirem no domínio e conseguirem senhas e privilégios de usuários importantes no seu Active Directory através de keylogger instalados na estação.
E é por causa da demanda cada vez maior, que temos que ter noção de como os invasores atacam o AD e saber quais são as melhores práticas recomendadas pela Microsoft.
Algumas das partes da infraestrutura que acabam sendo “esquecidas” com o passar do tempo e acabam dando brechas para ataques, são:
- S.O e aplicativos obsoletos: sistemas em que os fornecedores não dão mais suporte aos mesmos, acabando não surgindo novos upgrades para corrigir falhas;
- Antivírus: não fazer a atualização dos antivírus nas estações e nos servidores, dando mais vulnerabilidade ao seu ambiente;
- Dispositivos de funcionários pessoais ligados em rede: o uso compromete o seu domínio, uma vez que não sabemos quais programas estão instalados nestes dispositivos;
- Utilização de ambientes mistos: é o uso de sistemas Microsoft e não Microsoft em seu ambiente, uma vez que acabam dando mais atenção à um e esquecendo do outro.
Apesar destas falhas não estarem diretamente ligadas ao Active Directory, elas são porta de entrada para o comprometimento do mesmo, uma vez que o invasor se aproveita dessas falhas para se proliferar na estação e depois obter senhas de usuários importantes no AD, tais como: Administradores do domínio, Administradores de empresa e Administradores de esquema.
Usuários estes em que podem comprometer todo seu domínio com alterações inadequadas. Outros usuários bastante vistos pelo invasores são os usuários VIPs. Estes usuários são aqueles que tem acessos importantes como a documentação da empresa e a dados sigilosos que podem consequentemente levar a senha dos usuários administradores do Active Directory.
Algumas das práticas recomendadas para proteger seu AD são:
- Monitorar Logs referentes ao Active Directory;
- Fazer a desativação do usuário administrador local nas estações. (Caso precise utilizar o administrador local, podemos habilitá-lo no modo de segurança por uma GPO em que ative o mesmo temporariamente ou utilizar grupos restritos para este fim);
- Não acessar estações não confiáveis com usuários que sejam administradores de empresa, domínio, etc;
- Usar o mínimo privilégio possível aos usuários do AD (Ou seja, o usuário só deve ter permissão ao que ele irá fazer. Não dando nenhuma permissão a mais);
- Reduzir os usuários dos Grupos Administradores do domínio, empresa, etc do seu AD;
- Fazer a delegação de poderes administrativos. (Delegar poderes em relação a tarefa específica. Por exemplo: usuários que trabalham necessitando instalar impressoras em rede, atribua ao grupo Operadores de impressão e não um grupo mais elevado);
- Atribuir auditorias importantes (Logon, alterações no AD, pastas..).
Há outras importantes recomendações para o seu AD que serão postadas mais para frente. Caso tenha algo a complementar, por favor, deixe seu comentário abaixo!
Este artigo também pode ser visto em: https://diegogouveiace.wordpress.com
3 Comentários
Parabéns Diego! Admiro muito suas postagem. Seu trabalho e ensinamentos são muito uteis.
Pingback: Protegendo o Active Directory - Webglobe
Ola amigos.
Preciso configurar uma VPN, para usuarios acessarem fora da empresa.
Sei que é possivel um gerenciador de VPN no servidor e configurar na maquina do usuario.
Será acessado pelo endereço IP externo da internet .
Alguem tem um “manual” de como configurar perfeitamente?
No aguardo,