Segurança do Active Directory

É importante entender que, ainda que a segurança do Active Directory esteja intimamente ligada à conformidade regulamentar, as duas coisas não são idênticas. Muitas regulamentações de conformidade incluem requisitos que afetam diretamente as políticas e os procedimentos de segurança do AD, mas esse mandatos geralmente se ramificam para muitas outras áreas, como o acesso físico a um edifício de escritórios, o treinamento da equipe de trabalho e a responsabilidade executiva. Por outro lado, uma segurança abrangente do AD envolve mais do que estar em conformidade com uma ou mais regulamentações.

A segurança do Active Directory é uma parte essencial de diversas regulamentações de conformidade, incluindo GDPR, CCPA, HIPAA, SOX e PCI-DSS. Negligenciar a segurança adequada do Active Directory pode resultar em uma ampla gama de consequências desagradáveis, incluindo multas altas de reguladores, prisão para os executivos, impossibilidade de processar transações de cartão de crédito e a perda da confiança dos clientes.

Os riscos de segurança do Active Directory surgem basicamente da falta de insights e controle sobre três fatores-chave: quem entra em sua rede, o que podem fazer quando estão em sua rede e quais atividades estão sendo realizadas. Alguns desses riscos de segurança têm nomes específicos, como ameaças internas, spear-phishing, atendimento de segundo nível de privilégios e movimento lateral. No entanto, a melhor forma de lidar com os riscos de segurança do AD não é combatendo-os individualmente; essa abordagem dispersa serve apenas para aumentar os custos e deixar o sistema de TI mais complexo, o que acaba agravando o problema em vez de resolvê-lo.

Em vez disso, a melhor estratégia é limpar seu Active Directory e mantê-lo organizado, ganhando ampla visibilidade das atividades em seu ambiente de TI. As ferramentas nativas oferecem apenas uma pequena fração das funcionalidades que você precisa e exigem muito tempo e esforço para serem utilizadas. Portanto, é inteligente investir em soluções abrangentes que automatizam e simplificam os processos principais exigidos em uma segurança robusta do Active Directory.

Como dito anteriormente, o princípio do menor privilégio é a melhor prática mais básica da segurança de TI. Se você tivesse de atribuir manualmente todas as permissões de usuários individualmente a cada recurso (e manter essas permissões atualizadas conforme os usuários vêm e vão e trocam de função dentro da organização), você estaria sobrecarregado em pouco tempo, e sua organização correria um alto risco de violações de dados e de falhas de conformidade.

A capacidade de criar grupos de segurança do AD e de gerenciar permissões em conjunto para usuários semelhantes reduz essa carga. Os usuários podem ser (e geralmente são) membros de vários grupos do AD, como grupos baseados em projetos. Por exemplo, um novo gerente de vendas poderá receber acesso a todos os recursos certos se eles forem adicionados tanto aos grupo de segurança de Vendas quanto ao grupo de segurança de Gerentes de vendas. De forma semelhante, caso haja uma nova pasta ou um novo compartilhamento de arquivo que toda a equipe de vendas precisa acessar, basta apenas conceder acesso ao grupo de Vendas em vez de concedê-lo às contas de usuários individuais uma a uma. Por outro lado, se um usuário passar de uma função de Vendas para uma posição diferente dentro da organização, será possível remover rapidamente o acesso de todos os recursos de Vendas apenas removendo esse usuário do grupo de Vendas em vez de analisar cada recurso e determinar quais acessos ainda são legítimos.

A utilização dos grupos de segurança do AD não é uma mera conveniência para os administradores; ela aumenta a segurança reduzindo erros no provisionamento e no desprovisionamento, e minimizando a complexidade da estrutura de permissões. Assim, é mais fácil identificar com certeza os acessos de cada um.

Uma dúvida em particular são os grupos de segurança do Active Directory que concedem privilégios de nível administrativo, como os extremamente eficientes grupos de Administradores de empresa, Administradores de domínio e Administradores de esquema, assim como contas locais de administradores criadas durante a instalação do Windows e que possuem controle total dos arquivos, diretórios, serviços e outros recursos do computador local. As organizações precisam ter um controle rígido sobre os integrantes desses grupos de acessos privilegiados, além de estarem atentas a quaisquer alterações em seus membros, que podem indicar um ataque ou um agente malicioso infiltrado tentando aumentar seus privilégios para obter acesso a sistemas ou dados adicionais.

Contas de serviço são contas de usuários especiais que aplicações e serviços utilizam para registrar e realizar ações em seu ambiente de TI. Infelizmente, as contas de serviço com frequência têm mais permissões do que o necessário, aumentando os riscos à sua segurança. As razões comuns para o excesso de provisionamento incluem aceitar passivamente os requisitos especificados pelo fornecedor da aplicação, não conseguir trabalhar adequadamente em meio aos desafios operacionais, e simplesmente clonar um serviço existente em vez de se dedicar para criar um novo com o conjunto apropriado de permissões.

A melhor prática, é claro, é garantir que todas as contas de serviço estejam em conformidade com o princípio do menor privilégio. Você também deve tomar precauções especiais sempre que uma conta de serviço precisar de privilégios administrativos. Você nunca deve fazer com que uma conta de serviço seja membra de um grupo administrativo padrão, como o grupo local de Administradores ou de Administradores de domínio. Algumas opções melhores são executar o serviço na conta LocalSystem, ou criar um grupo personalizado para conta de serviço e negar explicitamente o acesso a outras contas para esse grupo. Além disso, sempre que possível, é prudente configurar contas de serviço para que elas possam fazer login somente durante um período específico do dia.