Especificar requisitos para proteger os Serviços de Domínio Ative Directory (AD DS)
A tabela a seguir fornece um resumo das recomendações fornecidas neste documento para proteger uma instalação do AD DS. Algumas boas práticas são de natureza estratégica e requerem projetos abrangentes de planeamento e implementação; outros são táticos e focados em componentes específicos do Ative Directory e infraestrutura relacionada.
As práticas são listadas em ordem aproximada de prioridade, ou seja, números mais baixos indicam prioridade maior. Quando aplicável, as melhores práticas são identificadas como de natureza preventiva ou de detetive. Todas essas recomendações devem ser exaustivamente testadas e modificadas conforme necessário para as características e requisitos da sua organização.
| Best Practice (Melhores Práticas) | Tático ou Estratégico | Preventivo ou Detetive |
|---|---|---|
| Aplicações de patches. | Tática | Prevenção |
| Corrija sistemas operacionais. | Tática | Prevenção |
| Implante e atualize prontamente o software antivírus e antimalware em todos os sistemas e monitore as tentativas de removê-lo ou desativá-lo. | Tática | Ambos |
| Monitore objetos confidenciais do Ative Directory para tentativas de modificação e o Windows para eventos que possam indicar tentativa de comprometimento. | Tática | Deteção |
| Proteja e monitore contas de usuários que têm acesso a dados confidenciais | Tática | Ambos |
| Impeça que contas poderosas sejam usadas em sistemas não autorizados. | Tática | Prevenção |
| Eliminar a pertença permanente a grupos altamente privilegiados. | Tática | Prevenção |
| Implemente controles para conceder associação temporária em grupos privilegiados quando necessário. | Tática | Prevenção |
| Implemente hosts administrativos seguros. | Tática | Prevenção |
| Use listas de permissões de aplicativos em controladores de domínio, hosts administrativos e outros sistemas confidenciais. | Tática | Prevenção |
| Identifique ativos críticos e priorize sua segurança e monitoramento. | Tática | Ambos |
| Implemente controles de acesso baseados em função de privilégios mínimos para administração do diretório, sua infraestrutura de suporte e sistemas associados ao domínio. | Estratégica | Prevenção |
| Isolar sistemas e aplicativos legados. | Tática | Prevenção |
| Descomissione sistemas e aplicativos legados. | Estratégica | Prevenção |
| Implemente programas de ciclo de vida de desenvolvimento seguro para aplicativos personalizados. | Estratégica | Prevenção |
| Implemente o gerenciamento de configuração, revise a conformidade regularmente e avalie as configurações com cada nova versão de hardware ou software. | Estratégica | Prevenção |
| Migre ativos críticos para florestas intactas com requisitos rigorosos de segurança e monitoramento. | Estratégica | Ambos |
| Simplifique a segurança para os utilizadores finais. | Estratégica | Prevenção |
| Use firewalls baseados em host para controlar e proteger as comunicações. | Tática | Prevenção |
| Dispositivos de patch. | Tática | Prevenção |
| Implemente o gerenciamento do ciclo de vida centrado nos negócios para ativos de TI. | Estratégica | N/A |
| Crie ou atualize planos de recuperação de incidentes. | Estratégica | N/A |
Reduzir a Superfície de Ataque do Active Directory
Esta seção se concentra em controles técnicos para reduzir a superfície de ataque de uma instalação do Ative Directory. Nesta secção estão incluídos os seguintes temas:
A seção Contas e grupos privilegiados no Ative Directory discute as contas e grupos com privilégios mais altos no Ative Directory e os mecanismos pelos quais as contas privilegiadas são protegidas. No Ative Directory, três grupos internos são os grupos de privilégios mais altos no diretório (Administradores de Empresa, Administradores de Domínio e Administradores), embora vários grupos e contas adicionais também devam ser protegidos.
A seção Implementando modelos administrativos de privilégios mínimos concentra-se em identificar o risco que o uso de contas altamente privilegiadas para a administração diária apresenta, além de fornecer recomendações para reduzir esse risco.
O privilégio excessivo não é encontrado apenas no Ative Directory em ambientes comprometidos. Quando uma organização desenvolveu o hábito de conceder mais privilégios do que o necessário, ele normalmente é encontrado em toda a infraestrutura:
No Ative Directory
Em servidores membros
Nas estações de trabalho
Em aplicações
Em repositórios de dados
A seção Implementando hosts administrativos seguros descreve hosts administrativos seguros, que são computadores configurados para dar suporte à administração do Ative Directory e de sistemas conectados. Esses hosts são dedicados à funcionalidade administrativa e não executam software, como aplicativos de email, navegadores da Web ou software de produtividade (como o Microsoft Office).
Nesta secção estão incluídos os seguintes:
Princípios para criar hosts administrativos seguros - Os princípios gerais a ter em mente são:
- Nunca administre um sistema confiável a partir de um host menos confiável.
- Não confie em um único fator de autenticação ao executar atividades privilegiadas.
- Não se esqueça da segurança física ao projetar e implementar hosts administrativos seguros.
Protegendo controladores de domínio contra ataques - Se um usuário mal-intencionado obtiver acesso privilegiado a um controlador de domínio, esse usuário poderá modificar, corromper e destruir o banco de dados do Ative Directory e, por extensão, todos os sistemas e contas gerenciados pelo Ative Directory.
Nesta secção estão incluídos os seguintes temas:
Segurança Física para Controladores de Domínio - Contém recomendações para fornecer segurança física para controladores de domínio em datacenters, filiais e locais remotos.
Sistemas Operacionais do Controlador de Domínio - Contém recomendações para proteger os sistemas operacionais do controlador de domínio.
Configuração segura de controladores de domínio - Ferramentas e definições de configuração nativas e disponíveis gratuitamente podem ser usadas para criar linhas de base de configuração de segurança para controladores de domínio que podem ser posteriormente impostas por GPOs (Objetos de Diretiva de Grupo).