Maneiras de proteger o Active Directory

Manter um monitoramento ativo e compreender o AD é vital para proteger a empresa contra violações de dados
Emilia Bertolli
3 minuto de leitura
Ultima atualização 11 de Fevereiro de 2022

O Active Directory (AD) é o servidor de diretório da Microsoft, software que une servidores, estações de trabalho, componentes de rede e usuários.  Por isso, a maneira mais rápida de invadir uma rede é por intermédio do dele,  afinal, para acessar qualquer servidor é preciso pedir autorização ao AD. 

Mantê-lo em segurança é a chave para evitar ataques de movimento lateral e roubo de credenciais. Entretanto, seu gerenciamento ainda é um desafio para muitas empresas que muitas vezes negligencia seu monitoramento. 

Dicas de segurança 

O AD ainda é uma parte poderosa da maioria das redes corporativas, mesmo com a tendência de migração de serviços e aplicativos para a nuvem. Ele ainda é onipresente em implantações de rede local e também está se expandindo para a nuvem devido sua integração com o Microsoft Azure, Google Cloud, Amazon AWS e outras instâncias de nuvem pública.

Algumas práticas ajudam a manter a segurança e para uma implantação segura do AD: 

Privilégios 

O AD lida com  milhares de contas, mas apenas algumas são alvo de ataques: as com maior privilégio. Normalmente são contas de administrador, contas que não devem ser usadas para fazer logon regularmente. A conta de privilégios de administrador deve ser usada apenas para tarefas específicas e que exigem privilégios mais altos.

Em todas as contas, um modelo de “menos privilégios” é a melhor prática. Todas as contas de usuários devem vir apenas com os privilégios necessários para ele realizar seu trabalho. E toda vez que o usuário mudar de posição, ou até uma vez por ano, esses privilégios devem ser revistos. 

Executando o LAPS 

O Local Administrator Password Solution (LAPS) é uma ferramenta do AD que cria e gerencia senhas de cada estação de trabalho. O LAPS garante que essa senha seja exclusiva, limitando danos causados pelo comprometimento da estação.

Controladores de domínio 

São os servidores em que bancos de dados reais dos diretórios são armazenados. Um controlador comprometido pode abrir toda a rede para ataques. A Microsoft sugere que os controladores de domínio sejam acessíveis apenas por máquinas locais. Isso pode dificultar a solução de problemas, mas evita acessos indevidos.

Atualização de senhas 

Talvez o mais simples a ser feito, mas também o mais negligenciado. Então, é necessário ensinar os usuários a criar senhas simples para serem decoradas, mas complexas para serem quebradas. Usar frases secretas é uma prática recomendada.

Monitoramento constante 

É importante que a equipe de TI conheça a rede completamente e a monitore constantemente. Mas o que deve ser monitorado?

Os sistemas devem ser monitorados quanto ao seu estado de aplicação de patches e atualizações. Contas de usuários devem ser monitoradas em relação ao número de tentativas de logins. A rede deve ser monitorada em relação ao tráfego considerado incomum. Entender o que é normal e o que não é na rede, ajuda a evitar problemas. 

Como a Varonis pode ajudar?

O Varonis Active Directory reúne e armazena logs de eventos de segurança dos Controladores de Dominio (DC); analisa esses dados em contexto com as atividades dos usuários e mostra uma imagem do comportamento do usuário, considerando um comportamento normal e anormal. Em caso de atividades suspeitas, dispara um alerta para que as equipes de segurança possam agir e investigar o incidente. 

Ao analisar padrões de comportamento do usuário ao longo do tempo e comparar com padrões de comportamento conhecidos, o Varonis Active Directory consegue detectar roubo de credenciais, detectando um comportamento anormal de acesso – por exemplo, várias tentativas de fazer login com nomes de usuários e senhas inválidos no mesmo dispositivo – permitindo seu bloqueio proativamente. 

A Varonis também varre continuamente os Serviços de Diretórios para analisar se um possível invasor está utilizado uma conta de usuário para explorar os dados da empresa em vários dispositivos. Mesmo que os invasores tiverem acesso à rede, a Varonis consegue detectar as tentativas de elevar o acesso – também conhecido como escalonamento de privilégios. Para isso, categoriza usuários e grupos em quatro níveis: privilegiado, serviço, executivo e usuário; e monitora qualquer tentativa de alteração feita fora do controle de alterações, o que pode evidenciar uma escalada de privilégios em um ataque cibernético. 

Mas, supondo que o invasor tenha chegado mais longe sem ser detectado, a solução permite detectar movimentos laterais pela rede. Identificando e monitorando os dados sensíveis, a Varonis consegue identificar onde estão esses dados e categoriza cada conta do AD para tomar decisões baseadas na atividade atual do usuário. Sempre que há um novo acesso ao servidor, ele gera um novo evento de login, que pode ser analisado e, caso seja detectada alguma anormalidade, a área de segurança é alertada. 

A compreensão do Active Directory é vital para proteger a empresa contra violações de dados, e o monitoramento ativo do AD pode ser a diferença entre uma tentativa e o roubo de dados. Fale com um dos nossos especialistas e solicite um teste gratuito dos nossos serviços. 

O que devo fazer agora?

Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:

1

Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.

2

Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.

3

Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.

Experimente Varonis gratuitamente.

Obtenha um relatório detalhado de risco de dados com base nos dados da sua empresa.
Implanta em minutos.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

vpn,-phishing,-ataque-ao-azure-e-as-ameaças-modernas-ao-trabalho-remoto
VPN, phishing, ataque ao Azure e as ameaças modernas ao trabalho remoto
Vulnerabilidade de dia zero
novos-ataques-ao-active-directory-exploram-vulnerabilidade-do-kerberos
Novos Ataques ao Active Directory exploram vulnerabilidade do Kerberos
Invasores estão utilizando privilégio de contas, tickets de acesso e roubo de senhas para acessar ambientes corporativos  Depois de uma série de ataques massivos ao Active Directory (AD), da Microsoft, engenheiros de sistemas da Varonis, empresa pioneira em segurança e análise de dados, descobriram que hackers estão agora explorando uma das formas de autenticação mais utilizadas em acessos do tipo SSO (Single Sign-On), o Kerberos. O novo protocolo de autenticação é…
explicação-da-autenticação-kerberos
Explicação da autenticação Kerberos
Segundo a mitologia, Kerberos (talvez você o conheça como Cérbero) é um enorme cão de três cabeças, com rabo de cobra e mau humor que guarda os Portões de entrada do Submundo.
este-sid-está-disponível? o-varonis-threat-labs-descobre-ataque-de-injeção-de-sid-sintético
Este SID está disponível? O Varonis Threat Labs descobre ataque de injeção de SID sintético
Uma técnica em que agentes de ameaças com privilégios elevados existentes podem injetar SIDs sintéticos em um ACL, criando backdoors e permissões ocultas.