Nota: O seguinte artigo irá ajudá-lo com: Essas ferramentas da Microsoft ajudam você a reduzir, remover ou bloquear o acesso de administrador para melhorar a segurança
Não é novidade que os privilégios extras nas contas de administrador as tornam um alvo para invasores e uma das razões pelas quais as ameaças internas são tão perigosas. Você quer que as pessoas que administram sua infraestrutura de TI tenham o poder de que precisam para administrar sua infraestrutura — mas você não quer que elas tenham mais acesso ou controle do que precisam.
Só porque um administrador precisa de acesso a uma configuração de sistema, banco de dados ou rede não significa que ele precise acessar todos eles; aplicar permissões de segurança com base em função à sua equipe de TI faz tanto sentido quanto não dar às recepcionistas acesso à árvore de compilação para seus aplicativos internos.
CONSULTE: Lista de verificação: Protegendo sistemas Windows 10 (TechRepublic Premium)
Embora ter acesso de administrador privilegiado seja conveniente, se houver um vazamento de dados, um administrador de banco de dados preferiria poder dizer que o conteúdo do banco de dados é criptografado para que eles não possam ver nada além de tentar provar que não copiaram dados aos quais eles não precisavam ter acesso em primeiro lugar.
Limitar quais contas têm acesso privilegiado também pode ajudar na produtividade. Como administrador, posso pensar que às 14h de uma tarde de sexta-feira é o momento perfeito para reiniciar sua área de trabalho virtual e migrá-lo para um novo servidor de terminal, mas isso não é tão útil se você estiver no meio de uma reunião de vendas. A remoção dos direitos de acesso do usuário final também reduz as chamadas ao suporte técnico – geralmente porque impede as pessoas de alterar as configurações que mais tarde causam problemas ou as impede de instalar utilitários não autorizados que fazem essas alterações em tentativas equivocadas de ‘ajustar’ o PC.
Também sabemos há algum tempo que o nível de acesso exigido pelas ferramentas de segurança e monitoramento também pode levar a problemas, porque a conveniência da implantação geralmente supera o processo mais lento de implantação com permissões limitadas. Isso deixa sistemas críticos como controladores de domínio e servidores de banco de dados com senhas fracas em contas de serviço com todos os direitos que um invasor precisaria para assumir uma rede inteira.
Mas o impacto do ataque SolarWinds significa que as organizações não podem se dar ao luxo de adiar a auditoria de quais contas têm privilégios de administrador e acesso, aplicando os princípios de privilégio mínimo e mudando para acesso de administrador auditado just-in-time, em vez de privilégios permanentes não monitorados em alta sistemas de valores.
Os invasores têm como alvo os administradores
Qualquer sistema que tenha contas com direitos de administrador é potencialmente vulnerável a invasores. Muitos ataques procuram configurações incorretas comuns no Active Directory ou sistemas que ainda usam autenticação herdada como NTLMv1 (onde as senhas são facilmente forçadas). Os ataques Solorigate usaram contas privilegiadas em controladores de domínio, contas de serviço gerenciadas por grupo e tíquetes Kerberos roubados ou falsificados, além de executar ferramentas legítimas do AD para examinar contas em sistemas remotos e domínios federados.
Passe algum tempo revisando todas as contas de serviço altamente privilegiadas que você tem com direitos de administrador de domínio, acesso ao sistema, direitos de administração global e o equivalente, e descubra quais delas realmente precisam de tanto acesso e quais podem ter permissões somente leitura. Você também precisa olhar para dispositivos intermediários — VPNs, desktops remotos e gateways de acesso, VDI, publicação de aplicativos que usa proxies de acesso e outras áreas onde o gerenciamento de identidade e acesso privilegiado é particularmente importante.
Você pode encontrar administradores do AD com o comando do PowerShell, mas para executar uma verificação mais completa do status de administrador, serviço e outras contas e grupos privilegiados em seu Active Directory e em controladores de domínio, use esses scripts do PowerShell ou uma ferramenta como ADRecon. Dessa forma, você pode identificar problemas como contas confidenciais com o sinalizador ‘a senha nunca expira’. A Microsoft publicou uma pasta de trabalho do Azure Monitor para coletar informações semelhantes para o Azure AD.
Procure aplicativos e contas de serviço no Grupo de Administradores de Domínio; os aplicativos que precisam de privilégios de administrador de domínio provavelmente estão usando autenticação herdada. Procure também aplicativos que tenham a mesma conta privilegiada em vários sistemas na rede; eles provavelmente usam as mesmas credenciais, portanto, um invasor que comprometa uma conta pode usá-la para se mover lateralmente pela rede. Verifique se os aplicativos com contas de administrador local realmente precisam de privilégios de administrador para serem executados e analise seus planos de longo prazo para atualizá-los ou substituí-los por aplicativos que usam métodos de autenticação modernos.
VEJO: Truques do menu Iniciar do Windows 10 (TechRepublic Premium)
Use a ferramenta Local Administrator Password Solution (LAPS) para gerenciar senhas de contas de administrador local para computadores ingressados no domínio. Eles geralmente terminam com a mesma senha de administrador em todos os dispositivos, porque isso é mais fácil para solução de problemas e suporte. O LAPS define uma senha aleatória diferente e alternada (que é armazenada no Active Directory e protegida por ACLs para limitar quem pode lê-la e redefini-la) para a conta de administrador local comum em todos os computadores do domínio.
Se você usa o Azure AD, crie revisões recorrentes de acesso ao Azure AD (isso requer uma assinatura P2) para verificar quem tem acesso de administrador, quantos deles são Administradores Globais ou têm funções de recursos do Azure, como Administrador de Acesso de Usuário e se algum convidado ou parceiro externo que receberam acesso de administrador temporário ainda o têm meses depois. A revisão pode ser delegada aos gerentes que devem tomar decisões de negócios, mas a equipe de TI desejará explicar por que isso é importante.
Verifique se você não tem contas locais com privilégios administrativos no Office 365 ou no Microsoft 365 e isole as contas de administrador do Microsoft 365. Se você tiver uma assinatura comercial do Microsoft 365, há ferramentas no Centro de administração do Microsoft 365 (ou você pode usar o PowerShell de gerenciamento do Exchange) para ajudar no gerenciamento de contas de privilégios para o Office 365.
A aplicação de MFA (idealmente com chaves de segurança ou biometria) para contas de administrador e funções de administrador é especialmente importante: se você tiver alguma assinatura comercial da Microsoft, ela inclui o Azure AD MFA sem custo adicional. Use políticas de acesso condicional para garantir que as contas de administrador não possam ser autenticadas em cenários de alto risco em que possam ser comprometidas.
O Microsoft Defender for Identity (anteriormente Azure Advanced Threat Protection) monitora identidades locais e a infraestrutura do AD, detectando movimento lateral e outros sinais de que invasores comprometeram credenciais. Ele já protege os controladores de domínio no local e em ambientes híbridos e agora pode cobrir os Serviços de Federação do Active Directory (ADFS). Isso permite que você veja logins com falha de logs do ADFS, bem como detalhes do Active Directory, como se os logins do mesmo usuário usaram MFA, facilitando a detecção de ataques de força bruta – se houver dezenas de logins com falha em várias contas e nenhum MFA quando o conta finalmente logar, é mais provável que seja um invasor bem-sucedido do que vários funcionários muito esquecidos.
Apenas privilégios suficientes
As partes mais importantes de sua infraestrutura precisam de proteções extras porque os privilégios de administrador dos quais você não pode se livrar serão direcionados. Identifique contas confidenciais e privilegiadas com o nível mais alto de acesso e implemente mais proteções em torno delas, como configurar o Azure AD Privileged Identity Management.
Just Enough Administration (JEA) — originalmente chamado Just In Time Just Enough Admin ou JITJEA — é um recurso do PowerShell para delegar a administração de qualquer coisa gerenciada pelo PowerShell para que possa ser feito por meio de contas virtuais ou de equipe temporárias. Isso limita os comandos que essas contas podem executar àqueles necessários para tarefas específicas, que ficam disponíveis apenas por um tempo predefinido após a aprovação da solicitação do administrador.
Para contas e privilégios de administrador particularmente sensíveis, você pode querer implementar estações de trabalho seguras onde o sistema operacional foi protegido. A implantação de uma estação de trabalho de acesso privilegiado é um processo bastante demorado que é mais simples com uma licença do Microsoft 365 E5, mas SKUs inferiores incluem muitas das ferramentas.
