Proteger o Microsoft 365 contra ataques locais

Muitos clientes conectam suas redes corporativas privadas ao Microsoft 365 para beneficiar seus usuários, dispositivos e aplicativos. Os atores de ameaça podem comprometer essas redes privadas de várias maneiras bem documentadas. O Microsoft 365 atua como uma espécie de sistema nervoso para organizações que investiram na modernização de seu ambiente para a nuvem. É essencial proteger o Microsoft 365 contra o comprometimento da infraestrutura local.

Este artigo mostra como configurar seus sistemas para ajudar a proteger seu ambiente de nuvem do Microsoft 365 contra comprometimento local:

• Definições de configuração de locatário do Microsoft Entra.
• Como você pode conectar locatários do Microsoft Entra com segurança a sistemas locais.
• As compensações necessárias para operar seus sistemas de modo a proteger os sistemas de nuvem contra o comprometimento local.

A Microsoft recomenda fortemente que você implemente as diretrizes neste artigo.

Fontes de ameaças em ambientes locais

Seu ambiente de nuvem do Microsoft 365 se beneficia de uma ampla infraestrutura de monitoramento e segurança. O Microsoft 365 usa o aprendizado de máquina e a inteligência humana para analisar o tráfego mundial. Ele pode detectar ataques rapidamente e permitir que você reconfigure quase em tempo real.

As implantações híbridas podem conectar a infraestrutura local ao Microsoft 365. Nessas implantações, muitas organizações delegam confiança a componentes locais para as decisões de autenticação crítica e gerenciamento de estado do objeto do directory. Se os atores de ameaça comprometerem o ambiente local, essas relações de confiança se tornarão oportunidades para que eles também comprometam seu ambiente do Microsoft 365.

Os dois vetores de ameaça principais são relações de confiança de federação e sincronização de conta. Ambos os vetores podem conceder a um invasor acesso administrativo à sua nuvem.

• As relações de confiança federadas, como a autenticação SAML (Security Assertions Markup Language), são usadas para autenticar Microsoft 365 por meio de sua infraestrutura de identidade local. Se um certificado de autenticação de tokens SAML for comprometido, a federação permitirá que qualquer pessoa que tenha esse certificado represente qualquer usuário em sua nuvem. Para atenuar esse vetor, recomendamos desabilitar as relações de confiança de federação para autenticação no Microsoft 365, quando possível. Também recomendamos migrar outros aplicativos que usam a infraestrutura de federação local para usar o Microsoft Entra para autenticação.
• Use a sincronização de contas para modificar usuários privilegiados, incluindo suas credenciais, ou grupos que têm privilégios administrativos no Microsoft 365. Para atenuar esse vetor, recomendamos garantir que os objetos sincronizados não tenham privilégios além de um usuário no Microsoft 365. Você pode controlar privilégios diretamente ou por meio da inclusão em funções ou grupos confiáveis. Verifique se esses objetos não têm nenhuma atribuição direta ou aninhada em grupos ou funções de nuvem confiáveis.

Proteja o Microsoft 365 contra comprometimentos de servidores locais.

Para lidar com ameaças locais, recomendamos que você siga os quatro princípios que o diagrama a seguir ilustra.

1. Isole completamente suas contas de administrador do Microsoft 365. Elas devem ser:

   • Contas nativas para a nuvem.
   • Autenticado por usar credenciais resistentes a phishing .
   • Protegido pelo acesso condicional do Microsoft Entra.
   • Acessado somente usando estações de trabalho de acesso privilegiado gerenciadas por nuvem.

   Essas contas de administrador são contas de uso restrito. Nenhuma conta local deve ter privilégios administrativos no Microsoft 365.

   Para obter mais informações, confira Sobre funções de administrador e Funções para o Microsoft 365 no Microsoft Entra ID.

2. Gerenciar dispositivos do Microsoft 365. Use o Microsoft Entra Join e o MDM (gerenciamento de dispositivo móvel) baseado em nuvem para eliminar dependências em sua infraestrutura de gerenciamento de dispositivo local. Essas dependências podem comprometer o dispositivo e os controles de segurança.

3. Certifique-se de que nenhuma conta local tenha privilégios elevados para Microsoft 365. Algumas contas acessam aplicativos locais que exigem NTLM, LDAP (Lightweight Directory Access Protocol) ou autenticação Kerberos. Essas contas devem estar na infraestrutura de identidade local da organização. Verifique se você não inclui essas contas, juntamente com contas de serviço, em funções ou grupos de nuvem com privilégios. Verifique se as alterações nessas contas não podem afetar a integridade do seu ambiente de nuvem. O software local privilegiado não deve ser capaz de afetar funções ou contas privilegiadas do Microsoft 365.

4. Use a autenticação de nuvem do Microsoft Entra para eliminar dependências em suas credenciais locais. Sempre use métodos de autenticação resistentes a phishing, como o Windows Hello para Empresas, Credencial de Plataforma para macOS, chaves de passagem (FIDO2), chaves de passagem do Microsoft Authenticator ou autenticação baseada em certificado.

Recomendações de segurança específicas

As seções a seguir fornecem diretrizes sobre como implementar os princípios neste artigo.

Isolar identidades privilegiadas

No Microsoft Entra ID, os usuários que têm funções privilegiadas, como administradores, são a raiz de confiança para criar e gerenciar o restante do ambiente. Implemente as práticas a seguir para minimizar os efeitos de um comprometimento.

• Use contas somente em nuvem para função com privilégios do Microsoft Entra ID e Microsoft 365.
• Implemente dispositivos com acesso privilegiado para acesso privilegiado para gerenciar o Microsoft 365 e o Microsoft Entra ID. Confira Funções e perfis do dispositivo.
• Implante o PIM (Privileged Identity Management) do Microsoft Entra para acesso just-in-time a todas as contas humanas que têm funções privilegiadas. Exigir autenticação resistente a phishing para ativar funções.
• Forneça funções administrativas que permitam o privilégio mínimo necessário para executar as tarefas necessárias. ConsulteFunções com privilégios mínimos por tarefa no Microsoft Entra ID.
• Para habilitar uma experiência de atribuição de função rica que inclui delegação e várias funções ao mesmo tempo, considere o uso de grupos de segurança do Microsoft Entra ou grupos de Microsoft 365. Coletivamente, chamamos esses grupos de nuvem .
• Habilite o controle de acesso baseado em função. Confira Atribuir funções do Microsoft Entra. Use unidades administrativas no Microsoft Entra ID para restringir o escopo das funções a uma parte da organização.
• Implante contas de acesso de emergência em vez de cofres de senha locais para armazenar credenciais. Consulte Gerenciar contas de acesso de emergência no Microsoft Entra ID.

Para obter mais informações, confira Proteção do acesso privilegiado e Práticas de acesso seguro para administradores no Microsoft Entra ID.

Use autenticação na nuvem

As credenciais são um vetor de ataque primário. Implemente as seguintes práticas para tornar as credenciais mais seguras:

• Crie autenticação sem senha. Reduza o uso de senhas tanto quanto possível implantando credenciais sem senha. Você pode gerenciar e validar essas credenciais nativamente na nuvem. Para obter mais informações, consulte Introdução à implantação de autenticação sem senha resistente a phishing no Microsoft Entra ID. Escolha um destes métodos de autenticação:

  • Windows Hello para Empresas
  • Credencial de Plataforma para macOS
  • Aplicativo Microsoft Authenticator
  • Chaves de acesso FIDO2)
  • Autenticação baseada em certificado do Microsoft Entra

• Usar a autenticação multifator. Para obter mais informações, consulte Planejar uma implantação de autenticação multifator do Microsoft Entra. Provisione várias credenciais fortes usando a autenticação multifator do Microsoft Entra. Dessa forma, o acesso aos recursos de nuvem exigem uma credencial gerenciada do Microsoft Entra ID além de uma senha local. Para obter mais informações, confira Criar resiliência com o gerenciamento de credencial e Criar uma estratégia resiliente de gerenciamento de controle de acesso usando o Microsoft Entra.

• Modernize o SSO a partir de dispositivos. Utilize os recursos modernos de SSO (Logon Único) do Windows 11, macOS, Linux e dispositivos móveis.

• Considerações. O gerenciamento de senha de conta híbrida requer componentes híbridos, como agentes de proteção de senha e agentes de write-back de senha. Se os invasores comprometerem sua infraestrutura local, eles poderão controlar os computadores nos quais esses agentes residem. Essa vulnerabilidade não compromete sua infraestrutura de nuvem. O uso de contas de nuvem para funções privilegiadas não protege esses componentes híbridos contra comprometimento local.

  A política de expiração de senha padrão no Microsoft Entra define a senha das contas locais sincronizadas como Nunca Expirar. Você pode atenuar essa configuração com as configurações de senha do Active Directory local. Se sua instância do Active Directory estiver comprometida e a sincronização estiver desabilitada, defina a opção CloudPasswordPolicyForPasswordSyncedUsersEnabled para forçar alterações de senha ou troque o uso de senhas pela autenticação de senha resistente a phishing.

Provisionar o acesso do usuário na nuvem

O provisionamento refere-se à criação de contas de usuário e grupos em aplicativos ou provedores de identidade.

Recomendamos os seguintes métodos de provisionamento:

• Provisione de aplicativos de RH na nuvem para o Microsoft Entra ID. Esse provisionamento permite que um compromisso local seja isolado. Esse isolamento não interrompe o ciclo joiner-mover-leaver de seus aplicativos de RH na nuvem para Microsoft Entra ID.

• Aplicativos de nuvem. Sempre que possível, implante o provisionamento de aplicativos no Microsoft Entra ID em vez de soluções de provisionamento nas instalações locais. Esse método protege alguns de seus aplicativos SaaS (software como serviço) contra perfis de invasor mal-intencionados em violações locais.

• Identidades externas. Use a Colaboração B2B da ID externa do Microsoft Entra para reduzir a dependência de contas locais por colaboração externa com parceiros, clientes e fornecedores. Avalie cuidadosamente qualquer federação direta com outros provedores de identidade. É recomendável limitar as contas de convidado B2B das seguintes maneiras:

  • Limite o acesso de convidado a grupos de navegação e outras propriedades no diretório. Use as configurações de colaboração externa para restringir a capacidade dos convidados de ler grupos dos quais eles não são membros.
  • Bloqueie o acesso ao portal do Azure. Você pode fazer exceções raras necessárias. Crie uma política de Acesso Condicional que inclua todos os convidados e usuários externos. Em seguida, implemente uma política para bloquear o acesso.

• Florestas desconectadas. Use o provisionamento de nuvem do Microsoft Entra para se conectar a florestas desconectadas. Esse método elimina a necessidade de estabelecer confiança ou conectividade entre florestas, o que pode ampliar o efeito de uma violação local. Para obter mais informações, consulte O que é o Microsoft Entra Connect Cloud Sync.

• Considerações. Quando usado para provisionar contas híbridas, o sistema Azure-AD-from-Cloud-HR depende da sincronização local para concluir o fluxo de dados do Active Directory para o Microsoft Entra ID. Se a sincronização for interrompida, os novos registros de funcionários não estarão disponíveis no Microsoft Entra ID.

Usar grupos de nuvem para colaboração e acesso

Os grupos de nuvem permitem dissociar sua colaboração e acesso de sua infraestrutura local.

• Colaboração. Use grupos de Microsoft 365 e Microsoft Teams para colaboração moderna. Descomissione listas de distribuição locais e faça upgrade de listas de distribuição para Grupos do Microsoft 365 no Outlook.
• Acesso. Use grupos de segurança do Microsoft Entra ou grupos de Microsoft 365 para autorizar o acesso a aplicativos no Microsoft Entra. Para controlar o acesso a aplicativos locais, considere provisionar grupos para o Active Directory usando a Sincronização de Nuvem do Microsoft Entra.
• Licenciamento. Use o licenciamento baseado em grupo para provisionar os serviços da Microsoft usando grupos somente na nuvem. Esse método separa o controle de associação de grupo da infraestrutura local.

Considere os proprietários dos grupos usados para acesso como identidades privilegiadas, para evitar o roubo de associações em caso de comprometimento local. As aquisições incluem manipulação direta de membros de grupo no local ou manipulação de atributos no local que podem afetar membros de grupos dinâmicos do Microsoft 365.

Gerenciar dispositivos de nuvem

Gerencie dispositivos com segurança com recursos do Microsoft Entra.

Implante estações de trabalho do Windows 11 ingressadas no Microsoft Entra com políticas de gerenciamento de dispositivo móvel. Ative Windows Autopilot para uma experiência de provisionamento totalmente automatizada. Confira Planejar sua implementação de ingresso no Microsoft Entra.

• Use estações de trabalho do Windows 11 com as atualizações mais recentes implantadas.

  • Descontinuar máquinas que executam o Windows 10 e versões anteriores.
  • Não implante computadores que tenham sistemas operacionais de servidor como estações de trabalho.

• Use o Microsoft Intune como a autoridade para todas as cargas de trabalho de gerenciamento de dispositivos, incluindo Windows, macOS, iOS, Android e Linux.

  • Implantar a Extensão de SSO Empresarial do iOS.
  • Implantar a extensão de SSO Enterprise do macOS ou Chave de enclave seguro de SSO da plataforma.

• Implante dispositivos do acesso privilegiado. Para obter mais informações, confira Funções e perfis de dispositivo.

Cargas de trabalho, aplicativos e recursos

Esta seção fornece recomendações para proteger contra ataques locais em cargas de trabalho, aplicativos e recursos.

• Sistemas de SSO (logon único) local. Descontinue qualquer infraestrutura de gerenciamento de acesso à Web e federação local. Configure aplicativos para usar o Microsoft Entra ID. Se você estiver usando o AD FS para federação, consulte Entender os estágios de migração da autenticação de aplicativo do AD FS para o Microsoft Entra ID.
• Aplicativos SaaS e de LOB (linha de negócios) que dão suporte a protocolos de autenticação modernos. Use o logon único no Microsoft Entra ID. Configure aplicativos para usar o ID do Microsoft Entra para autenticação e reduzir o risco em caso de comprometimento de segurança local.
• Aplicativos herdados. Você pode habilitar a autenticação, a autorização e o acesso remoto a aplicativos herdados que não dão suporte à autenticação moderna usando o Microsoft Entra Private Access. Como primeira etapa, habilite o acesso moderno às redes internas usando o Acesso Rápido do Microsoft Entra Private Access. Esta etapa fornece uma maneira rápida e fácil de substituir sua configuração de VPN única usando os recursos seguros do Acesso Condicional. Em seguida, configure o acesso por aplicativo para qualquer aplicativo baseado em TCP ou UDP.
• Acesso condicional. Defina políticas de Acesso Condicional para aplicativos SaaS, LOB e Herdados para impor controles de segurança, como MFA resistente a phishing e conformidade do dispositivo. Para obter mais informações, leia Planejar uma implantação de Acesso Condicional do Microsoft Entra.
• Ciclo de vida de acesso. Controle o ciclo de vida de acesso a aplicativos e recursos usando a Governança de ID do Microsoft Entra para implementar o acesso de privilégios mínimo. Dê aos usuários acesso a informações e recursos somente se eles tiverem uma necessidade genuína de executar suas tarefas. Integre aplicativos SaaS, LOB e herdados à Microsoft Entra ID Governance. O Gerenciamento de Direitos da ID do Microsoft Entra automatiza fluxos de trabalho de solicitação de acesso, atribuições de acesso, revisões e expiração.
• Servidores de aplicativo e carga de trabalho. Você pode migrar aplicativos ou recursos que exigem servidores para IaaS (infraestrutura como serviço) do Azure. Use os Microsoft Entra Domain Services para separar a confiança e a dependência em instâncias locais do Active Directory. Para obter essa separação, verifique se as redes virtuais usadas para o Serviços de Domínio do Microsoft Entra não têm uma conexão com redes corporativas. Use a camada de credencial. Os servidores de aplicativos normalmente são considerados ativos de camada 1. Para obter mais informações, confira Modelo de acesso Enterprise.

Políticas de acesso condicional

Use o acesso condicional do Microsoft Entra para interpretar sinais e usá-los para tomar decisões de autenticação. Para obter mais informações, consulte o Plano de implantação de acesso condicional.

• Use o acesso condicional para bloquear protocolos de autenticação herdados sempre que possível. Além disso, desabilite os protocolos de autenticação herdados no nível do aplicativo usando uma configuração específica do aplicativo. Confira Bloquear a autenticação herdada e Protocolos de autenticação herdada. Encontre detalhes específicos para do Exchange Online e do SharePoint Online.
• Implemente as configurações recomendadas de acesso de dispositivo e identidade. Confira Políticas de acesso de dispositivo e identidade de Confiança Zero comuns.
• Se você estiver usando uma versão do Microsoft Entra ID que não inclui acesso condicional, use Padrões de segurança do Microsoft Entra ID. Para obter mais informações sobre o licenciamento de recursos do Microsoft Entra, consulte o guia de preços do Microsoft Entra.

Monitor

Depois de configurar seu ambiente para proteger seu Microsoft 365 contra compromissos locais, monitore proativamente o ambiente. Para obter mais informações, confira O que é o monitoramento do Microsoft Entra.

Monitore os seguintes cenários principais, além de quaisquer cenários específicos para sua organização.

• Atividade suspeita. Monitore todos os eventos de risco do Microsoft Entra em busca de atividades suspeitas. Confira Como Investigar o risco. O Microsoft Entra ID Protection integra-se nativamente com Microsoft Defender para Identidade. Defina locais nomeados da rede para evitar detecções com ruídos em sinais baseados no local. Confira Usar a condição de localização em uma política de Acesso condicional.

• Alertas da UEBA (Análise Comportamental de Entidade e Usuário). Use UEBA para obter insights sobre a detecção de anomalias. O Microsoft Defender para Aplicativos de Nuvem oferece o UEBA na nuvem. Confira Investigar usuários suspeitos. Você pode integrar a UEBA local do Microsoft Defender para Identidade. O Microsoft Defender para Aplicativos de Nuvem lê sinais do Microsoft Entra ID Protection. Veja Habilite a análise de comportamento de entidades para detectar ameaças avançadas.

• Atividade de contas de acesso de emergência. Monitore qualquer acesso que use contas de acesso de emergência. Consulte Gerenciar contas de acesso de emergência no Microsoft Entra ID. Crie alertas para investigações. Esse monitoramento deve incluir as seguintes ações:

  • Entradas
  • Gerenciamento de credenciais
  • Quaisquer atualizações em associações de grupo
  • Atribuições de aplicativos

• Atividade com função com privilégios. Configure e analise os alertas de segurança gerados pelo Privileged Identity Management (PIM) do Microsoft Entra. Monitore a atribuição direta de funções privilegiadas fora do PIM, gerando alertas sempre que um usuário é atribuído diretamente.

• Configurações de locatário do Microsoft Entra. Qualquer alteração nas configurações de todo o locatário deve gerar alertas no sistema. Inclua (mas não limite a) as seguintes alterações:

  • Domínios personalizados atualizados
  • O Microsoft Entra B2B muda para lista de permitidos e lista de bloqueados
  • Alterações do Microsoft Entra B2B para provedores de identidade permitidos, como provedores de identidade SAML, por meio da federação direta ou de entradas sociais
  • Acesso condicional ou alterações na política de risco

• Objetos de aplicativo e entidade de serviço

  • Novos aplicativos ou entidades de serviço que podem exigir políticas de acesso condicional
  • Credenciais adicionadas às entidades de serviço
  • Atividade de consentimento do aplicativo

• Funções personalizadas

  • Atualizações para as definições de função personalizadas
  • Funções personalizadas criadas recentemente

Para obter diretrizes abrangentes sobre este tópico, verifique guia de operações de segurança do Microsoft Entra.

Gerenciamento de Log

Defina um armazenamento de log e uma estratégia de retenção, design e implementação para facilitar um conjunto de ferramentas consistente. Por exemplo, considere sistemas de SIEM (gerenciamento de informações e eventos de segurança), como o Microsoft Sentinel, consultas comuns e planos de ação para investigação e forense.

• Logs do Microsoft Entra. Ingerir logs e sinais gerados seguindo consistentemente as práticas recomendadas para configurações como diagnóstico, retenção de log e ingestão de SIEM.

• O Microsoft Entra ID fornece integração do Azure Monitor para logs de várias identidades. Para obter mais informações, confira Logs de atividades do Microsoft Entra no Azure Monitor e Investigar usuários arriscados com o Copilot.

• Logs de segurança do sistema operacional de infraestrutura híbrida. Arquive e monitore atentamente todos os logs do sistema operacional da infraestrutura de identidade híbrida como um sistema de camada 0, devido às implicações da área de superfície. Inclui os seguintes elementos:

  • Conectores de rede privada para Microsoft Entra Private Access e Microsoft Entra Application Proxy.
  • Agentes de write-back de senha.
  • Máquinas do Portal de Proteção de Senha.
  • NPSs (servidores de política de rede) que têm a extensão RADIUS da autenticação multifator do Microsoft Entra.
  • Microsoft Entra Connect.
  • Você deve implantar o Microsoft Entra Connect Health para monitorar a sincronização de identidades.

Para obter diretrizes abrangentes sobre este tópico, verifique roteiros de resposta a incidentes e Investigar usuários em risco com o Copilot

Próximas etapas

• Incorporar resiliência no gerenciamento de identidade e acesso com o Microsoft Entra ID
• Proteger o acesso externo a recursos
• Integrar todos os aplicativos com o Microsoft Entra ID