Segurança da Informação: Contas privilegiadas

Você sabia que existe um estudo que diz que 71% dos usuários têm acesso inapropriado a recursos nas empresas?

Devido a isso resolvi escrever esse artigo, e trazer solução e visibilidade do que acontece dentro da sua rede em relação aos usuários.

Quero iniciar falando da CIA,  sigla que do inglês significa, “Confidentiality, integrity e availability”, em português.

  • Confidencialidade
  • Integridade
  • Disponibilidade

Essa tríade é ponto inicial e o alicerce usado como modelo para orientar políticas de segurança da informação dentro de uma organização. Tanto no planejamento, quanto na implementação.

De modo básico e resumido podemos entender que a confidencialidade tem como função limitar o acesso a informação a entidades legítimas e autorizadas. A integridade deve garantir que a informação  mantenha todas as características originais e que seja manipulada por entidades legítimas e por fim temos a disponibilidade que simplesmente deve garantir que a informação ou recurso sempre esteja disponível para uso.

Quando estamos planejando ou implementando politicas de segurança da informação temos então que definir como vamos trabalhar com a entidade que irá representar aquele que precisa de acesso.

Em ambientes corporativos temos a contas que representam entidades humanas e não-humanas, sejam elas de contas de usuários (usuário final ou conta privilegiada), contas de computadores e serviços.

 Usamos as contas para garantir o acesso confiável à informação por pessoas autorizadas, limitando o acesso baseado em permissões e assim garantir que a informação é confiável, precisa e que estará  disponível para o conjunto entidades autorizadas.

Contas no Active Directory

Contas de usuário final no Active Directory representam uma “única” entidade humana e é um objeto no Active Directory. Essa conta é usada para autenticação e autorização a recursos na rede. Basicamente um usuário do Active Directory usa uma senha que deve ser memorizada e nunca compartilhada.

Contas de serviços são extremamente importantes e necessárias. Elas são usadas para executar aplicações e outros recursos. Existem vários tipos de contas que podemos usar para serviço, como contas do tipo Built-in  “Network Service, Local Service, Local System” ou Managed Service Accounts ou uma Conta Virtual são recursos introduzidos no Windows Server 2008 R2 onde as senhas são gerenciadas automaticamente pelo sistema. Por outro lado e bem mais comum nos ambientes temos as  contas criadas para a função de ser uma conta de serviço, que nada mais é que uma conta comum e um grupo (geralmente um grupo com privilégio) e com opções de conta do tipo que não expiram e não deve mudar a senha.

Contas privilegiadas são as contas como a do Administrador (Local e do domínio), a conta SA (SysAdmin) do SQL, a conta Root (Linux), contas que executam aplicações (Serviços, tarefas agendadas)

Do ponto de vista de segurança existem muitas ações que devemos ter em relação a essas contas.

E algumas normas como a PCI DSS v3, NIST 800-66,HIPAA e ISO 17799/27001 contemplam seções especificas para gerenciamento de contas e suas senhas. E estão relacionadas a tarefas administrativas como criar e manter:

  • Complexidade de senha das contas de usuários;
  • Complexidade de senha das contas Privilegiadas;
  • Integração com métodos de autenticação fortes e seguros;
  • Quantidade máxima de logins;
  • Duração de bloqueio de conta;
  • Construção de contas privilegiadas;
  • Criptografia e cofre de senhas;
  • Aprovação de criação de contas;
  • Controle e gerenciamento de alteração de senhas de usuários;
  • Gerenciamento de contas inativas;
  • Log de atividades de usuários (Bloqueio de conta, alteração de senha, aninhamento de grupo);
  • Histórico de senhas.


Nativamente esse gerenciamento é complexo e consome tempo e energia. Pretendo nos próximos artigos trabalhar cada item descrito acima com soluções que permitem contornar esses desafios.