Proteja o Microsoft 365 contra ataques locais

Muitos clientes conectam suas redes corporativas privadas ao Microsoft 365 para beneficiar seus usuários, dispositivos e aplicativos. Os agentes de ameaças podem comprometer essas redes privadas de muitas maneiras bem documentadas. O Microsoft 365 atua como uma espécie de sistema nervoso para organizações que investiram na modernização de seu ambiente para a nuvem. É fundamental proteger o Microsoft 365 contra o comprometimento da infraestrutura local.

Este artigo mostra como configurar seus sistemas para ajudar a proteger seu ambiente de nuvem do Microsoft 365 contra comprometimento local:

• Definições de configuração do inquilino do Microsoft Entra.
• Como você pode conectar com segurança locatários do Microsoft Entra a sistemas locais.
• As compensações necessárias para operar os seus sistemas de forma a proteger os seus sistemas de nuvem contra comprometimento nas instalações locais.

A Microsoft recomenda vivamente que implemente as orientações neste artigo.

Fontes de ameaças em ambientes locais

Seu ambiente de nuvem Microsoft 365 se beneficia de uma ampla infraestrutura de monitoramento e segurança. O Microsoft 365 usa aprendizado de máquina e inteligência humana para analisar o tráfego mundial. Ele pode detetar ataques rapidamente e permitir que você reconfigure quase em tempo real.

As implantações híbridas podem conectar a infraestrutura local ao Microsoft 365. Nessas implantações, muitas organizações delegam confiança a componentes locais para autenticação crítica e decisões de gerenciamento de estado de objeto de diretório. Se os agentes de ameaças comprometerem o ambiente local, essas relações de confiança se tornarão oportunidades para que eles também comprometam seu ambiente Microsoft 365.

Os dois principais vetores de ameaça são relações de confiança de federação e sincronização de contas. Ambos os vetores podem conceder a um invasor acesso administrativo à sua nuvem.

• As relações de confiança federadas, como a autenticação SAML (Security Assertions Markup Language), são usadas para autenticar no Microsoft 365 por meio de sua infraestrutura de identidade local. Se um certificado de assinatura de token SAML for comprometido, a federação permitirá que qualquer pessoa que tenha esse certificado se faça passar por qualquer usuário em sua nuvem. Para atenuar esse vetor, recomendamos que você desabilite as relações de confiança de federação para autenticação no Microsoft 365 quando possível. Também recomendamos migrar outros aplicativos que usam infraestrutura de federação local para usar o Microsoft Entra para autenticação.
• Utilize a sincronização de conta para modificar utilizadores privilegiados, incluindo as suas credenciais, ou grupos que tenham privilégios administrativos no Microsoft 365. Para atenuar esse vetor, recomendamos que você garanta que os objetos sincronizados não tenham privilégios além de um usuário no Microsoft 365. Você pode controlar privilégios diretamente ou por meio da inclusão em funções ou grupos confiáveis. Certifique-se de que esses objetos não tenham atribuição direta ou aninhada em funções ou grupos de nuvem confiáveis.

Proteja o Microsoft 365 contra comprometimentos provenientes de infraestruturas locais

Para lidar com ameaças locais, recomendamos que você siga os quatro princípios que o diagrama a seguir ilustra.

1. Isole totalmente suas contas de administrador do Microsoft 365. Devem ser:

   • Contas nativas da nuvem.
   • Autenticado usando credenciais resistentes a phishing.
   • Protegido pelo acesso condicional do Microsoft Entra.
   • Acessado somente usando estações de trabalho de acesso privilegiado gerenciadas pela nuvem.

   Essas contas de administrador são contas de uso restrito. Nenhuma conta local deve ter privilégios administrativos no Microsoft 365.

   Para obter mais informações, consulte Sobre funções de administrador e funções para Microsoft 365 no Microsoft Entra ID.

2. Faça a gestão de dispositivos a partir do Microsoft 365. Use o Microsoft Entra join e o gerenciamento de dispositivos móveis (MDM) baseado em nuvem para eliminar dependências em sua infraestrutura de gerenciamento de dispositivos local. Essas dependências podem comprometer os controles de dispositivo e segurança.

3. Certifique-se de que nenhuma conta local tenha privilégios elevados para o Microsoft 365. Algumas contas acessam aplicativos locais que exigem autenticação NTLM, LDAP (Lightweight Directory Access Protocol) ou Kerberos. Essas contas devem estar na infraestrutura de identidade local da organização. Certifique-se de não incluir essas contas, juntamente com contas de serviço, em funções ou grupos privilegiados na nuvem. Certifique-se de que as alterações nessas contas não possam afetar a integridade do seu ambiente de nuvem. O software local privilegiado não deve ser capaz de afetar contas ou funções privilegiadas do Microsoft 365.

4. Use a autenticação na nuvem do Microsoft Entra para eliminar dependências em suas credenciais locais. Use sempre métodos de autenticação resistentes a phishing, como Windows Hello for Business, Platform Credential for macOS, Passkeys (FIDO2), chaves de acesso do Microsoft Authenticator ou autenticação baseada em certificado.

Recomendações de segurança específicas

As seções a seguir fornecem orientações sobre como implementar os princípios deste artigo.

Isolar identidades privilegiadas

No Microsoft Entra ID, os usuários que têm funções privilegiadas, como administradores, são a raiz da confiança para criar e gerenciar o restante do ambiente. Implemente as seguintes práticas para minimizar os efeitos de um compromisso.

• Use contas somente na nuvem para funções privilegiadas do Microsoft Entra ID e do Microsoft 365.
• Implante dispositivos de acesso privilegiado para acesso privilegiado para gerenciar o Microsoft 365 e o Microsoft Entra ID. Consulte Funções e perfis do dispositivo.
• Implemente Microsoft Entra Privileged Identity Management (PIM) para acesso just-in-time a todas as contas de utilizadores com funções privilegiadas. Exigir autenticação resistente a phishing para ativar funções.
• Forneça funções administrativas que permitam o menor privilégio necessário para executar as tarefas necessárias. Consulte Funções menos privilegiadas por tarefa no Microsoft Entra ID.
• Para habilitar uma experiência avançada de atribuição de função que inclua delegação e várias funções ao mesmo tempo, considere usar grupos de segurança do Microsoft Entra ou Grupos do Microsoft 365. Coletivamente, chamamos esses grupos de nuvem .
• Habilite o controle de acesso baseado em função. Consulte Atribuir funções do Microsoft Entra. Use unidades administrativas no Microsoft Entra ID a fim de restringir o âmbito das funções a uma parte da organização.
• Implante contas de acesso de emergência em vez de cofres de senhas locais para armazenar credenciais. Consulte Gerir contas de acesso de emergência no Microsoft Entra ID.

Para obter mais informações, consulte Segurança de acesso privilegiado e Práticas seguras de acesso para administradores no Microsoft Entra ID.

Usar autenticação na nuvem

As credenciais são um vetor de ataque primário. Implemente as seguintes práticas para tornar as credenciais mais seguras:

• Implante a autenticação sem senha. Reduza ao máximo o uso de senhas implantando credenciais sem senha. Você pode gerenciar e validar essas credenciais nativamente na nuvem. Para obter mais informações, consulte Introdução à implantação de autenticação sem senha resistente a phishing no Microsoft Entra ID. Escolha entre estes métodos de autenticação:

  • Windows Hello for Business
  • Credencial da plataforma para macOS
  • aplicativo Microsoft Authenticator
  • Chaves de acesso FIDO2)
  • Autenticação baseada em certificado Microsoft Entra

• Implante a autenticação multifator. Para obter mais informações, consulte Planejar uma implantação de autenticação multifator do Microsoft Entra. Provisione várias credenciais fortes usando a autenticação multifator do Microsoft Entra. Dessa forma, o acesso aos recursos de nuvem requer uma credencial gerenciada pelo Microsoft Entra ID, além de uma senha local. Para obter mais informações, consulte Criar resiliência com gerenciamento de credenciais e Criar uma estratégia de gerenciamento de controle de acesso resiliente usando o Microsoft Entra ID.

• Modernize o SSO a partir de dispositivos. Utilize os modernos recursos de logon único (SSO) do Windows 11, macOS, Linux e dispositivos móveis.

• Considerações. O gerenciamento de senhas de conta híbrida requer componentes híbridos, como agentes de proteção por senha e agentes de write-back de senha. Se os invasores comprometerem sua infraestrutura local, eles poderão controlar as máquinas nas quais esses agentes residem. Esta vulnerabilidade não compromete a sua infraestrutura na nuvem. O uso de contas de nuvem para funções privilegiadas não protege esses componentes híbridos contra comprometimento local.

  A política de expiração de senha padrão no Microsoft Entra define a senha da conta de contas locais sincronizadas como Nunca expirar. Você pode atenuar essa configuração com as configurações de senha do Ative Directory local. Se sua instância do Ative Directory estiver comprometida e a sincronização estiver desativada, defina a opção CloudPasswordPolicyForPasswordSyncedUsersEnabled para forçar alterações de senha ou se afastar de senhas para autenticação de senha resistente a phishing.

Provisionar o acesso do usuário a partir da nuvem

O provisionamento refere-se à criação de contas de usuário e grupos em aplicativos ou provedores de identidade.

Recomendamos os seguintes métodos de provisionamento:

• Provisionamento de aplicativos de RH na nuvem para o Microsoft Entra ID. Esse provisionamento permite que um compromisso local seja isolado. Esse isolamento não interrompe seu ciclo de marceneiro-mover-leaver de seus aplicativos de RH na nuvem para o Microsoft Entra ID.

• Aplicações na nuvem. Sempre que possível, implemente o provisionamento de aplicações no Microsoft Entra ID em vez de soluções de provisionamento locais. Esse método protege alguns de seus aplicativos de software como serviço (SaaS) contra perfis de invasores mal-intencionados em violações locais.

• Identidades externas. Use de colaboração B2B de ID Externo do Microsoft Entra para reduzir a dependência de contas locais para colaboração externa com parceiros, clientes e fornecedores. Avalie cuidadosamente qualquer federação direta com outros provedores de identidade. Recomendamos limitar as contas de hóspedes B2B das seguintes maneiras:

  • Limite o acesso de convidado a grupos de navegação e outras propriedades no diretório. Use as configurações de colaboração externa para restringir a capacidade dos hóspedes de ler grupos dos quais eles não são membros.
  • Bloqueie o acesso ao portal do Azure. Você pode fazer raras exceções necessárias. Crie uma política de de Acesso Condicional que inclua todos os convidados e utilizadores externos. Em seguida, implemente uma política para bloquear o acesso.

• Florestas desconectadas. Use o provisionamento de nuvem do Microsoft Entra para se conectar a florestas desconectadas. Essa abordagem elimina a necessidade de estabelecer conectividade entre florestas ou relações de confiança, o que pode ampliar o efeito de uma violação local. Para obter mais informações, consulte O que é o Microsoft Entra Connect Cloud Sync.

• Considerações. Quando usado para provisionar contas híbridas, o sistema Microsoft Entra ID-from-cloud-HR depende da sincronização local para concluir o fluxo de dados do Ative Directory para o Microsoft Entra ID. Se a sincronização for interrompida, os novos registros de funcionários não estarão disponíveis no Microsoft Entra ID.

Use grupos de nuvem para colaboração e acesso

Os grupos na nuvem permitem-lhe dissociar a colaboração e o acesso da sua infraestrutura local.

• Colaboração. Use o Microsoft 365 Groups e o Microsoft Teams para colaboração moderna. Desativar listas de distribuição no local e atualizar listas de distribuição para Microsoft 365 Groups no Outlook.
• Acesso. Use grupos de segurança do Microsoft Entra ou Grupos do Microsoft 365 para autorizar o acesso a aplicativos no Microsoft Entra ID. Para controlar o acesso a aplicativos locais, considere grupos de provisionamento para o Ative Directory usando o Microsoft Entra Cloud Sync.
• Licenciamento. Use o licenciamento baseado em grupo para provisionar serviços da Microsoft usando grupos somente na nuvem. Esse método separa o controle da associação ao grupo da infraestrutura local.

Considere os proprietários de grupos usados para acesso como identidades privilegiadas para evitar a apropriação de membros num comprometimento local. As aquisições incluem a manipulação direta de associação de grupo no local ou a manipulação de atributos no local que podem afetar as associações de grupos dinâmicos do Microsoft 365.

Gerir dispositivos a partir da nuvem

Gerencie dispositivos com segurança com os recursos do Microsoft Entra.

Implantar o Microsoft Entra ingressou em estações de trabalho Windows 11 com políticas de gerenciamento de dispositivos móveis. Habilite Windows Autopilot para uma experiência de provisionamento totalmente automatizada. Consulte Planeie a sua implementação de ingresso do Microsoft Entra.

• Use estações de trabalho Windows 11 com as atualizações mais recentes implantadas.

  • Descontinuar máquinas que executam o Windows 10 e versões anteriores.
  • Não implante computadores que tenham sistemas operacionais de servidor como estações de trabalho.

• Use Microsoft Intune como autoridade para todas as cargas de trabalho de gerenciamento de dispositivos, incluindo Windows, macOS, iOS, Android e Linux.

  • Implante a Extensão de SSO Empresarial iOS.
  • Desenvolva a Extensão SSO do macOS Enterprise ou a Chave do Enclave Seguro da Plataforma SSO .

• Implante dispositivos de acesso privilegiado. Para obter mais informações, consulte Funções e perfis de dispositivo.

Cargas de trabalho, aplicativos e recursos

Esta seção fornece recomendações para proteger contra ataques locais a cargas de trabalho, aplicativos e recursos.

• Sistemas de logon único (SSO) locais. Substituir qualquer infraestrutura de gerenciamento de acesso à Web e federação local. Configure aplicativos para usar o Microsoft Entra ID. Se você estiver usando o AD FS para federação, consulte Compreender os estágios de migração da autenticação de aplicativos do AD FS para o Microsoft Entra ID.
• SaaS e aplicativos de linha de negócios (LOB) que suportam protocolos de autenticação modernos. Use logon único no Microsoft Entra ID. Configure aplicações para usarem o Microsoft Entra ID na autenticação, reduzindo o risco em caso de um comprometimento local.
• Aplicativos legados. Você pode habilitar a autenticação, a autorização e o acesso remoto a aplicativos herdados que não oferecem suporte à autenticação moderna usando Microsoft Entra Private Access. Como primeiro passo, habilite o acesso moderno às redes internas usando o Microsoft Entra Private Access Quick Access. Esta etapa fornece uma maneira rápida e fácil de substituir sua configuração única de VPN usando os recursos seguros do Acesso Condicional. Em seguida, configure o acesso por aplicativo a qualquer aplicativo baseado em TCP ou UDP.
• Acesso condicional. Defina políticas de Acesso Condicional para SaaS, LOB e aplicativos herdados para impor controles de segurança, como MFA resistente a phishing e conformidade de dispositivos. Para obter mais informações, leia Planeamento de um Acesso Condicional do Microsoft Entra.
• Ciclo de vida do Access. Controle o ciclo de vida de acesso a aplicativos e recursos usando a Governança de ID do Microsoft Entra para implementar o acesso com privilégios mínimos. Dar aos utilizadores acesso a informações e recursos apenas se tiverem uma necessidade genuína de desempenharem as suas tarefas. Integre SaaS, LOB e aplicativos herdados com o Microsoft Entra ID Governance. O Microsoft Entra ID Entitlement Management automatiza fluxos de trabalho de solicitação de acesso, atribuições de acesso, revisões e expiração.
• Servidores de aplicativos e carga de trabalho. Você pode migrar aplicativos ou recursos que exigem servidores para a infraestrutura como serviço (IaaS) do Azure. Use Serviços de Domínio Microsoft Entra para dissociar confiança e dependência em instâncias locais do Ative Directory. Para conseguir essa dissociação, verifique se as redes virtuais usadas para os Serviços de Domínio Microsoft Entra não têm uma conexão com redes corporativas. Use a hierarquização de credenciais. Os servidores de aplicativos são normalmente considerados ativos de nível 1. Para obter mais informações, consulte Modelo de acesso corporativo.

Políticas de Acesso Condicional

Use o Acesso Condicional do Microsoft Entra para interpretar sinais e usá-los para tomar decisões de autenticação. Para obter mais informações, consulte o plano de implantação do Acesso Condicional.

• Use o Acesso Condicional para bloquear protocolos de autenticação herdados sempre que possível. Além disso, desative os protocolos de autenticação herdados no nível do aplicativo usando uma configuração específica do aplicativo. Veja Bloquear autenticação herdada e Protocolos de autenticação herdada. Encontre detalhes específicos para Exchange Online e SharePoint Online.
• Implemente as configurações recomendadas de identidade e acesso ao dispositivo. Consulte Políticas comuns de identidade e acesso a dispositivos do Zero Trust.
• Se estiver a utilizar uma versão do Microsoft Entra ID que não inclua o Acesso Condicional, utilize Predefinições de Segurança no Microsoft Entra ID. Para obter mais informações sobre o licenciamento de recursos do Microsoft Entra, consulte o guia de preços do Microsoft Entra.

Monitor

Depois de configurar seu ambiente para proteger seu Microsoft 365 contra comprometimentos locais, monitore proativamente o ambiente. Para obter mais informações, consulte O que é o monitoramento do Microsoft Entra.

Monitore os seguintes cenários-chave, além de quaisquer cenários específicos da sua organização.

• Atividade suspeita. Monitore todos os eventos de risco do Microsoft Entra em busca de atividades suspeitas. Consulte Como: Investigar o risco. O Microsoft Entra ID Protection integra-se nativamente com Microsoft Defender for Identity. Defina locais nomeados de rede para evitar deteções ruidosas em sinais baseados em localização. Consulte Usando a condição de local em uma política de Acesso Condicional.

• Alertas de Análise Comportamental de Usuários e Entidades (UEBA). Use a UEBA para obter informações sobre a deteção de anomalias. O Microsoft Defender for Cloud Apps fornece o UEBA na nuvem. Consulte Investigar usuários de risco. Você pode integrar o UEBA local a partir do Microsoft Defender for Identity. O Microsoft Defender for Cloud Apps lê sinais da Proteção de ID do Microsoft Entra. Consulte Habilite a análise do comportamento da entidade para detetar ameaças avançadas.

• Atividade de contas de acesso de emergência. Monitore qualquer acesso que use contas de acesso de emergência. Consulte Gerir contas de acesso de emergência no Microsoft Entra ID. Crie alertas para investigações. Este acompanhamento deve incluir as seguintes ações:

  • Inícios de sessão
  • Gestão de credenciais
  • Quaisquer atualizações sobre associações de grupo
  • Atribuições de candidatura

• Atividade de função privilegiada. Configure e analise alertas de segurança gerados pelo Microsoft Entra Privileged Identity Management (PIM). Monitore a atribuição direta de funções privilegiadas fora do PIM gerando alertas sempre que um usuário for atribuído diretamente.

• Configurações do ambiente do Microsoft Entra. Qualquer alteração nas configurações de todo o locatário deve gerar alertas no sistema. Inclua (mas não se limite a) as seguintes alterações:

  • Domínios personalizados atualizados
  • Alterações do Microsoft Entra B2B para listas de permissões e listas de bloqueio
  • O Microsoft Entra B2B muda para provedores de identidade permitidos, como provedores de identidade SAML, por meio de federação direta ou entradas sociais
  • Acesso condicional ou alterações na política de risco

• Objetos de aplicação e de principal de serviço

  • Novos aplicativos ou entidades de serviço que podem exigir políticas de Acesso Condicional
  • Credenciais adicionadas às entidades de serviço
  • Atividade de consentimento do aplicativo

• Funções personalizadas

  • Atualizações para as definições de função personalizadas
  • Funções personalizadas recém-criadas

Para obter orientações abrangentes sobre este tópico, consulte guia de operações de segurança do Microsoft Entra.

Gestão de registos

Defina uma estratégia, design e implementação de armazenamento e retenção de logs para facilitar um conjunto de ferramentas consistente. Por exemplo, considere sistemas de gerenciamento de eventos e informações de segurança (SIEM), como o Microsoft Sentinel, consultas comuns e manuais de investigação e perícia.

• Logs do Microsoft Entra. Ingerir logs e sinais gerados seguindo consistentemente as práticas recomendadas para configurações como diagnóstico, retenção de logs e ingestão de SIEM.

• O Microsoft Entra ID fornece integração do Azure Monitor para vários logs de identidade. Para obter mais informações, consulte logs de atividade do Microsoft Entra no Azure Monitor e Investigar usuários arriscados com o Copilot.

• Logs de segurança do sistema operacional de infraestrutura híbrida. Arquive e monitore cuidadosamente todos os logs do sistema operacional da infraestrutura de identidade híbrida como um sistema de nível 0 devido às implicações da área de superfície. Inclua os seguintes elementos:

  • Conectores de rede privada para Microsoft Entra Private Access e Microsoft Entra Application Proxy.
  • Agentes de retrogravação de palavra-passe.
  • Máquinas de proteção de senha do portal.
  • Servidores de políticas de rede (NPSs) que têm a extensão RADIUS de autenticação multifator do Microsoft Entra.
  • Microsoft Entra Connect.
  • Você deve implantar o Microsoft Entra Connect Health para monitorar a sincronização de identidade.

Para obter orientações abrangentes sobre este tópico, consulte Manuais de resposta a incidentes e Investigar utilizadores de risco com o Copilot

Próximos passos

• Crie resiliência no gerenciamento de identidade e acesso usando o Microsoft Entra ID
• Acesso externo seguro aos recursos
• Integre todas as suas aplicações com o Microsoft Entra ID