Para obter uma melhor experiência web, utilize o IE11+, Chrome, Firefox ou Safari.

Segurança do Active Directory

Melhores práticas para proteger seu AD e manter a conformidade.

Current state of AD security 03:01

Estado atual da segurança do AD

A segurança do Active Directory é geralmente descrita como uma maneira de controlar as chaves de seu castelo: uma metáfora que tem razão de ser, mas que também apresenta limitações importantes. O Active Directory funciona como um guardião, determinando quem tem as chaves para entrar em sua rede, assim como quais dados e recursos cada uma dessas chaves pode abrir. Mas, diferentemente de uma construção de cimento, seu ambiente de TI é um local incrivelmente dinâmico, com usuários entrando e saindo constantemente, funcionários assumindo novas funções, novas funções sendo adicionadas e outras sendo descontinuadas, e assim por diante. Portanto, a segurança do Active Directory não é um evento que deve ser feito uma única vez, como trocar as fechaduras de um castelo, mas um processo contínuo.

Continue lendo para obter mais dicas sobre como proteger seu Active Directory.

Ato de equilíbrio

Ato de equilíbrio

Ato de equilíbrio

A segurança do Active Directory é um ato de equilíbrio delicado. Seguindo com a metáfora do castelo: enquanto um rei ou uma rainha podem exigir qualquer medida de segurança desejada de seus subordinados, os profissionais de TI devem ter sempre em mente as necessidades dos negócios. Se as medidas de segurança forem muito árduas, elas vão retardar os processos críticos de negócios e afastar os talentos da equipe. Por exemplo, é essencial garantir que apenas as pessoas certas tenham acesso aos dados médicos de um indivíduo, mas também é igualmente importante garantir que as equipes médicas possam ver os diagnósticos e prescrições médicas de um paciente a tempo de oferecer os cuidados necessários. Além disso, os usuários encontram maneiras de contornar medidas de segurança que eles consideram inconvenientes: peça que eles criem senhas complexas que devem ser alteradas a cada trintas dias, e você encontrará diversas notas de lembrete em suas mesas, o que compromete seu objetivo de proteger as contas contra acessos não autorizados.

Segurança vs. conformidade

Segurança vs. conformidade

Segurança vs. conformidade

É importante entender que, ainda que a segurança do Active Directory esteja intimamente ligada à conformidade regulatória, as duas coisas não são idênticas. Muitas regulamentações de conformidade incluem requisitos que afetam diretamente as políticas e os procedimentos de segurança do AD, mas esse mandatos geralmente se ramificam para muitas outras áreas, como o acesso físico a um edifício de escritórios, o treinamento da equipe de trabalho e a responsabilidade executiva. Por outro lado, uma segurança abrangente do AD envolve mais do que estar em conformidade com uma ou mais regulamentações.

A segurança do Active Directory é uma parte essencial de diversas regulamentações de conformidade, incluindo GDPR, CCPA, HIPAA, SOX e PCI-DSS. Negligenciar a segurança adequada do Active Directory pode resultar em uma ampla gama de consequências desagradáveis, incluindo multas altas de reguladores, prisão para os executivos, impossibilidade de processar transações de cartão de crédito e a perda da confiança dos clientes.

O papel essencial da segurança

O papel essencial da segurança

O papel essencial da segurança

Proteger a segurança do seu Active Directory precisa ser uma de suas maiores prioridades, pois ele cumpre um papel vital em sua infraestrutura de TI, literalmente controlando quem pode adentrar sua rede e o que podem fazer uma vez lá dentro. Deixar de implementar e manter uma segurança robusta do AD aumenta drasticamente o risco de usuários acessarem dados e aplicações que eles não deveriam utilizar, seja de maneira deliberada ou por acidente. Também aumenta sua vulnerabilidade a ataques e malware invadindo a conta de um usuário ou, ainda pior, a conta de um administrador, com o intuito de roubar seus dados confidenciais, critptografá-los por um resgate, ou apenas para causar estragos em seus sistemas de TI. Um único ataque bem-sucedido ao seu Active Directory pode causar danos prolongados à sua organização, ou até mesmo acabar com seus negócios completamente.

Riscos comuns de segurança

Riscos comuns de segurança

Riscos comuns de segurança

Os riscos de segurança do Active Directory surgem basicamente da falta de insights e controle sobre três fatores-chave: quem entra em sua rede, o que podem fazer quando estão em sua rede e quais atividades estão sendo realizadas. Alguns desses riscos de segurança têm nomes específicos, como ameaças internas, spear-phishing, atendimento de segundo nível de privilégios e movimento lateral. No entanto, a melhor forma de lidar com os riscos de segurança do AD não é combatendo-os individualmente; essa abordagem dispersa serve apenas para aumentar os custos e deixar o sistema de TI mais complexo, o que acaba agravando o problema em vez de resolvê-lo.

Em vez disso, a melhor estratégia é limpar seu Active Directory e mantê-lo organizado, ganhando ampla visibilidade das atividades em seu ambiente de TI. As ferramentas nativas oferecem apenas uma pequena fração das funcionalidades que você precisa e exigem muito tempo e esforço para serem utilizadas. Portanto, é inteligente investir em soluções abrangentes que automatizam e simplificam os processos principais exigidos em uma segurança robusta do Active Directory.

Melhores práticas do Active Directory

O Active Directory já existe há muito tempo, e as melhores práticas estão prontamente disponíveis e reforçando, de maneira drástica e comprovada, a segurança e a conformidade do AD. A implementação das melhores práticas a seguir fará com que você siga em direção aos seus objetivos de minimizar os riscos de seus sistemas e dados de TI, e também do sucesso futuro de sua organização.

Avaliações regulares

Avaliações regulares

Avaliações regulares

Uma das melhores práticas de segurança do Active Directory mais importantes é analisar regularmente o estado de seu ambiente de TI e procurar proativamente por problemas de segurança e conformidade em potencial. Particularmente, você deve comparar periodicamente as configurações em seus endpoints do Windows, controladores de domínio e outros sistemas em relação a um bom estado conhecido, e remediar prontamente qualquer desvio involuntário ou alteração maliciosa.

Certifique-se também de analisar regularmente sua Política de grupo, que é usada para aplicar configurações padrão entre seus usuários e computadores. A Política de grupo pode ser usada para controlar uma ampla variedade de atividades; por exemplo, você pode proibir usuários de acessar o Painel de controle, de usar o prompt de comando ou de instalar softwares. Até mesmo uma única alteração imprópria a um objeto da Política de grupo (GPO), seja ela deliberada ou acidental, pode causar um grande estrago. Por exemplo, os usuários podem, de repente, conseguir inserir unidades USB e, portanto, liberar ransomwares ou outros malwares em seus sistemas. Dessa forma, você precisa se certificar de que seus GPOs funcionem conforme o esperado e deve identificar e reverter rapidamente qualquer alteração imprópria ou não autorizada.

Além disso, certifique-se de que seus sistemas operacionais do Windows Server e outros softwares estejam com patches atualizados e de que você esteja usando apenas versões com suporte total do fornecedor.

Minimizar permissões de usuários

Minimizar permissões de usuários

Minimizar permissões de usuários

Talvez a melhor prática mais fundamental da segurança de TI seja o princípio do menor privilégio. Dê a cada usuário exatamente o acesso de que ele precisa para trabalhar. Nem mais, nem menos. O AD permite que você reúna usuários com funções semelhantes (como administradores do Help Desk ou equipes de RH) em um grupo de segurança do AD e gerencie-os em conjunto. Os usuários podem ser (e geralmente são) membros de diversos grupos do AD, como grupos baseados em projetos.

A utilização dos grupos de segurança do AD não é uma mera conveniência para os administradores; ela aumenta a segurança reduzindo erros no provisionamento e no desprovisionamento, e minimizando a complexidade da estrutura de permissões. Assim, é mais fácil identificar com certeza os acessos de cada um. Saiba mais.

Investigar incidentes de segurança

Investigar incidentes de segurança

Investigar incidentes de segurança

Não importa quão bons sejam seus esforços de prevenção: você vai enfrentar incidentes de cibersegurança. Portanto, você deve estar preparado para investigá-los rapidamente e responder de forma adequada. Você deve ser capaz de determinar rapidamente o local de origem da violação, como ela se sucedeu e quais sistemas e dados exatamente foram envolvidos. Dessa maneira, você pode responsabilizar os indivíduos por suas ações e tomar medidas para evitar que incidentes semelhantes ocorram no futuro.

Gerenciar e monitorar permissões

O Active Directory já existe há muito tempo, e as melhores práticas estão prontamente disponíveis e reforçando, de maneira drástica e comprovada, a segurança e a conformidade do AD. A implementação das melhores práticas a seguir fará com que você siga em direção aos seus objetivos de minimizar os riscos de seus sistemas e dados de TI, e também do sucesso futuro de sua organização.

Gerenciar permissões de usuários e de grupos

Gerenciar permissões de usuários e de grupos

Gerenciar permissões de usuários e de grupos

Como dito anteriormente, o princípio do menor privilégio é a melhor prática mais básica da segurança de TI. Se você tivesse de atribuir manualmente todas as permissões de usuários individualmente a cada recurso (e manter essas permissões atualizadas conforme os usuários vêm e vão e trocam de função dentro da organização), você estaria sobrecarregado em pouco tempo, e sua organização correria um alto risco de violações de dados e de falhas de conformidade.

A capacidade de criar grupos de segurança do AD e de gerenciar permissões em conjunto para usuários semelhantes reduz essa carga. Os usuários podem ser (e geralmente são) membros de diversos grupos do AD, como grupos baseados em projetos. Por exemplo, um novo gerente de vendas poderá receber acesso a todos os recursos certos se eles forem adicionados tanto aos grupo de segurança de Vendas quanto ao grupo de segurança de Gerentes de vendas. De forma semelhante, caso haja uma nova pasta ou um novo compartilhamento de arquivo que toda a equipe de vendas precisa acessar, basta apenas conceder acesso ao grupo de Vendas em vez de concedê-lo às contas de usuários individuais uma a uma. Por outro lado, se um usuário passar de uma função de Vendas para uma posição diferente dentro da organização, será possível remover rapidamente o acesso de todos os recursos de Vendas apenas removendo esse usuário do grupo de Vendas em vez de analisar cada recurso e determinar quais acessos ainda são legítimos.

Controlar permissões de administrador

Controlar permissões de administrador

Controlar permissões de administrador

A utilização dos grupos de segurança do AD não é uma mera conveniência para os administradores; ela aumenta a segurança reduzindo erros no provisionamento e no desprovisionamento, e minimizando a complexidade da estrutura de permissões. Assim, é mais fácil identificar com certeza os acessos de cada um.

Uma dúvida em particular são os grupos de segurança do Active Directory que concedem privilégios de nível administrativo, como os extremamente eficientes grupos de Administradores de empresa, Administradores de domínio e Administradores de esquema, assim como contas locais de administradores criadas durante a instalação do Windows e que possuem controle total dos arquivos, diretórios, serviços e outros recursos do computador local. As organizações precisam ter um controle rígido sobre os integrantes desses grupos de acessos privilegiados, além de estarem atentas a quaisquer alterações em seus membros, que podem indicar um ataque ou um agente malicioso infiltrado tentando aumentar seus privilégios para obter acesso a sistemas ou dados adicionais.

Permissões de contas de serviço

Permissões de contas de serviço

Permissões de contas de serviço

Contas de serviço são contas de usuários especiais que aplicações e serviços utilizam para registrar e realizar ações em seu ambiente de TI. Infelizmente, as contas de serviço com frequência têm mais permissões do que o necessário, aumentando os riscos à sua segurança. As razões comuns para o excesso de provisionamento incluem aceitar passivamente os requisitos especificados pelo fornecedor da aplicação, não conseguir trabalhar adequadamente em meio aos desafios operacionais, e simplesmente clonar um serviço existente em vez de se dedicar para criar um novo com o conjunto apropriado de permissões.

A melhor prática, é claro, é garantir que todas as contas de serviço estejam em conformidade com o princípio do menor privilégio. Você também deve tomar precauções especiais sempre que uma conta de serviço precisar de privilégios administrativos. Você nunca deve fazer com que uma conta de serviço seja membra de um grupo administrativo padrão, como o grupo local de Administradores ou de Administradores de domínio. Algumas opções melhores são executar o serviço na conta LocalSystem, ou criar um grupo personalizado para conta de serviço e negar explicitamente o acesso a outras contas para esse grupo. Além disso, sempre que possível, é prudente configurar contas de serviço para que elas possam fazer login somente durante um período específico do dia.

Onde posso obter ajuda sobre o meu ambiente do AD?

Onde posso obter ajuda sobre o meu ambiente do AD?

A Quest é o fornecedor ideal de soluções do Active Directory. Podemos ajudá-lo a gerenciar, a proteger, a migrar e a gerar relatórios sobre seu ambiente do AD para impulsionar seus negócios. Aqui é onde você pode saber mais:

Recursos

Nine Best Practices to Improve Active Directory Security and Cyber Resilience
livro eletrônico
Nine Best Practices to Improve Active Directory Security and Cyber Resilience
Nine Best Practices to Improve Active Directory Security and Cyber Resilience
This ebook explores the anatomy of an AD insider threat and details the best defense strategies against it.
Leia o livro eletrônico
How to implement NIST, ESAE and Red Forest Cybersecurity Principles in Active Directory
Leia o White Paper
How to implement NIST, ESAE and Red Forest Cybersecurity Principles in Active Directory
How to implement NIST, ESAE and Red Forest Cybersecurity Principles in Active Directory
Smart companies are adopting NIST Cybersecurity and Microsoft’s ESAE (“Red Forest”) as models for protecting credentials, particularly those that reside in Active Directory. Download your complimentary copy of this white paper today to learn more.
Leia o White Paper
Enhancing Active Directory Security and Lateral Movement Security
livro eletrônico
Enhancing Active Directory Security and Lateral Movement Security
Enhancing Active Directory Security and Lateral Movement Security
Limit lateral movement by attackers inside your network with these best practices and Quest solutions.
Leia o livro eletrônico
Randy Franklin Smith white paper: Securing Active Directory by Using the NIST Cybersecurity Framework
Leia o White Paper
Randy Franklin Smith white paper: Securing Active Directory by Using the NIST Cybersecurity Framework
Randy Franklin Smith white paper: Securing Active Directory by Using the NIST Cybersecurity Framework
NIST cybersecurity framework enables organizations to create a secure environment. Learn how to apply this framework to your AD and Microsoft environment.
Leia o White Paper

Vídeos

TEC TALK - Office 365 & Azure Active Directory Security | Quest
TEC TALK - Office 365 & Azure Active Directory Security | Quest

01:03:26

Vídeo
TEC TALK - Office 365 & Azure Active Directory Security | Quest

Learn how to prioritize Office 365 & Azure AD security for your remote workforce in this TEC Talk presented by Microsoft Certified Master, Sean Metcalf.

Assistir ao vídeo
TEC Talk: Hardening Privileged Access
TEC Talk: Hardening Privileged Access

01:06:36

Vídeo
TEC Talk: Hardening Privileged Access
Learn steps you can take to secure privileged Active Directory access.
Assistir ao vídeo
Current state of AD security
Current state of AD security

03:01

Vídeo
Current state of AD security
Join Sean Metcalf, Microsoft Certified Master, as he discusses what organizations are seeing and missing when it comes to Active Directory security.
Assistir ao vídeo
Recovering from an AD security breach or disaster
Recovering from an AD security breach or disaster

04:15

Vídeo
Recovering from an AD security breach or disaster
Join experts Sean Metcalf and Brian Desmond as they discuss the best practices for quickly dealing with and recovering from AD security breaches.
Assistir ao vídeo
Common AD security pitfalls
Common AD security pitfalls

03:21

Vídeo
Common AD security pitfalls
Join Sean Metcalf, Microsoft Certified Master, as he discusses the most common mistakes organizations make when it comes to Active Directory security.
Assistir ao vídeo
Is your AD environment safe from the dark side?
Is your AD environment safe from the dark side?

03:10

Vídeo
Is your AD environment safe from the dark side?
See how Quest Software and One Identity can protect your organization from Hank the Hacker and other forces poised to steal AD-controlled credentials and your valuable data.
Assistir ao vídeo
Prepare for destructive AD cyber-attacks
Prepare for destructive AD cyber-attacks

10:59

Vídeo
Prepare for destructive AD cyber-attacks
Learn how you can prepare for – and recover from – a destructive attack on your Active Directory.
Assistir ao vídeo
How to reduce AD security risks and insider threats
How to reduce AD security risks and insider threats

01:32

Vídeo
How to reduce AD security risks and insider threats

Hank the Hacker is back and he's ready to attack your Active Directory (AD) environment, whether on-premises or in the cloud. Worse yet, this time he brought friends. With Disgruntled Dan and Careless Craig, he has even more leverage to take control. That's why it's so important to get protected.

Read this informative e-book, Nine Best Practices for AD Security, and discover what you can do to protect your environment from insider threats. Explore:

  • Why attackers target AD and how the growing popularity of Office 365 increases the threat
  • What an AD security breach means to the organization
  • Why it is difficult to secure Active Directory using native auditing alone
  • How a typical insider threat unfolds and how to identify common insider threat indicators
  • How following nine critical security best practices will help you minimize the risk of the internal threats to the availability, confidentiality and integrity of your AD

Assistir ao vídeo

Blogs

What is multifactor authentication (MFA) and what are the benefits of using it?

What is multifactor authentication (MFA) and what are the benefits of using it?

What exactly is multifactor authentication (MFA)? Learn what it is, the different technologies available to implement it, and the pros and cons of each.

Strengthening Active Directory security: 3 best practices for implementing a Zero Trust model

Strengthening Active Directory security: 3 best practices for implementing a Zero Trust model

Learn how to implement a Zero Trust model in on-premises or hybrid Active Directory environments to dramatically strengthen Active Directory security.

What is Active Directory Domain Services and how do I protect domain controllers?

What is Active Directory Domain Services and how do I protect domain controllers?

What is Active Directory Domain Services? Is it different from Active Directory? We explain it all and share best practices to protect domain controllers.

Golden ticket attacks: How they work — and how to defend against them

Golden ticket attacks: How they work — and how to defend against them

Golden Ticket attacks have a playful name but are a serious threat to Active Directory environments. Learn how they work and how to defend against them.

Zero trust: What it is, why you need it, and how to get started

Zero trust: What it is, why you need it, and how to get started

Everyone’s talking about Zero Trust security. Learn what it is, the benefits and downsides, and steps your organization can take to get started.

10 Microsoft service account best practices

10 Microsoft service account best practices

Microsoft service accounts are a critical part of your Windows ecosystem. Learn what they are and 10 best practices for managing them efficiently.

Comece agora mesmo

Seu fornecedor principal para garantir a segurança do seu ambiente do Active Directory.