Conforme o tempo vai passando, e os domínios estão sempre modernizando, com novas estações, usuários e aplicativos inseridos no domínio. Mas com a atualização dos domínios, outras partes da Infraestrutura vão sendo esquecidas, acabando dando brechas para os ataques. Os invasores aproveitam destas lacunas para se inserirem no domínio e conseguirem senhas e privilégios de usuários importantes no seu Active Directory através de keylogger instalados na estação. É é por causa da demanda cada vez maior, que temos que ter noções de como os invasores atacam o AD e saber quais são as melhores práticas recomendadas pela Microsoft.
Algumas das partes da infraestrutura que acabam sendo “esquecidas” com o passar do tempo e acabam dando brechas para ataques são:
- S.O e aplicativos obsoletos. (Ou seja, sistemas em que os fornecedores não dão mais suporte aos mesmos, acabando não surgindo novos upgrades para corrigir falhas)
- Antivírus. (Não fazer a atualização dos antivírus nas estações e nos servidores, dando mais vulnerabilidade ao seu ambiente)
- Dispositivos de funcionários pessoais ligado em rede. (O uso compromete o seu domínio, uma vez que não sabemos quais programas estão instalados nestes dispositivos)
- Utilização de ambientes mistos. (É o uso de sistemas Microsoft e não Microsoft em seu ambiente, uma vez que acabando dando mais atenção à um e esquecendo do outro)
Apesar destas falhas não estarem diretas ligadas ao Active Directory, elas são porta de entrada para o comprometimento do Active Directory, uma vez que os invasores aproveitam dessas falhas para se proliferar na estação e depois obter senhas de usuários importantes no AD como usuários: Administradores do domínio, Administradores de empresa e administradores de esquema.
Usuários estes em que podem comprometer todo seu domínio com alterações inadequadas. Outros usuários bastante vistos pelo invasores são os usuários VIPs. Este usuários são aqueles que tem acessos importantes como a documentação da empresa e a dados sigilosos que podem consequentemente levar a senha dos usuários administradores do Active Directory. Algumas das práticas recomendadas para proteger seu AD são:
- Monitorar Logs referentes ao Active Directory.
- Fazer a desativação do usuário administrador local nas estações. (Caso precise utilizar o administrador local, podemos habilitá-lo no modo de segurança, por uma GPO em que ative o mesmo temporariamente ou utilizar grupo restritos para este fim).
- Não acessar estações não confiáveis com usuários que sejam administradores de empresa, domínio, etc
- Usar o mínimo privilégio possível aos usuários do AD (Ou seja, o usuário só deve ter permissão ao que ele irá fazer. Não dando nenhuma permissão a mais.)
- Reduzir os usuários dos Grupos Administradores do domínio, empresa, etc do seu AD.
- Fazer a delegação de poderes administrativos. (Delegar poderes em relação a tarefa específica. Usuários em que trabalham necessitando instalar impressoras em rede, atribua ao grupo Operadores de impressão e não um grupo mais elevado).
- Atribuir auditorias importantes (Logon, alterações no AD, pastas..)
Há outras importantes recomendações para o seu AD, em que serão postadas mais para frente neste blog.
