As ferramentas de relatório nativas do Active Directory estão obstruindo sua segurança? Descubra.

As violações de segurança dos ambientes do Microsoft Windows, causadas por ataques internos ou externos, geralmente envolvem o uso indevido do Active Directory (AD). Vasculhar a rede é muito mais fácil e rápido uma vez que você roubou as chaves do reino. Por isso identificar os sinais de abuso e adulteração de contas privilegiadas é tão importante. Infelizmente, as ferramentas de relatório do AD nativas possuem várias limitações importantes que fazem com que seja difícil encontrar esses sinais.

3 limitações importantes das ferramentas de relatório nativas

Auditoria: As configurações de GPO (Group Policy Object) mudaram? Os registros nativos não conseguem fazer auditoria dessas configurações e não conseguem rastrear valores de antes e depois de alterações nas configurações de GPO. Além disso, os registros nativos não fornecem informações detalhadas e objetivas quando ocorre uma alteração no NTFS de uma pasta, arquivo ou compartilhamento.

Permissões: As ferramentas nativas oferecem apenas capacidades limitadas para delegar permissões granulares. Por exemplo, delegar a transferência de uma unidade organizacional (OU) A para uma B requer que o usuário tenha a capacidade de excluir objetos do usuário da OU A de origem. O Windows também não permite associações temporárias em grupos privilegiados.

As ferramentas nativas também não são capazes de delegar acesso à exibição de partes específicas do AD ou a tipos de objetos específicos com base nas visualizações de negócios ou restrições geográficas. Além disso, elas não oferecem suporte a colocar processos em lista branca e lista negra, que pode ajudar a evitar que até mesmo grupos elevados, como administradores de domínio, realizem operações delicadas.

Autocorreção: Resolver possíveis problemas não deveria ser uma tarefa complexa e demorada. Mas, infelizmente, o AD não pode autocorrigir ações não autorizadas nativamente. Por exemplo, quando um usuário não autorizado tenta adicionar uma conta a um grupo privilegiado, a conta deveria ser removida do grupo automaticamente. Mas seria necessário ter ferramentas de terceiros para bloquear o usuário não autorizado.

Do mesmo modo, o AD não oferece recursos nativos para limpar automaticamente os usuários ou computadores inativos. Caso quisesse localizar e desativar automaticamente as contas que não foram acessadas nos últimos 90 dias, transferi-las para um contêiner de usuários desativados ou excluí-las após três dias caso ninguém reivindique a conta, você precisaria de ferramentas de terceiros.

Para saber mais sobre os sinais reveladores de abuso em contas privilegiadas, confira o nosso white paper Os 10 principais indicadores de adulteração de contas de administrador do Active Directory.

Faça o download do white paper

Anonymous