Ir para conteúdo

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

xanburzum

Dicas - Boas práticas para proteger o Active Directory

Recommended Posts

Boas práticas para proteger o Active Directory

 

os domínios vão se modernizando, com novas estações, usuários e aplicativos inseridos. Mas com a atualização dos domínios, outras partes da infraestrutura vão sendo esquecidas e acabam dando brechas para ataques. Os invasores aproveitam destas lacunas para se inserirem no domínio e conseguirem senhas e privilégios de usuários importantes no seu Active Directory através de keylogger instalados na estação.

E é por causa da demanda cada vez maior, que temos que ter noção de como os invasores atacam o AD e saber quais são as melhores práticas recomendadas pela Microsoft.

Algumas das partes da infraestrutura que acabam sendo “esquecidas” com o passar do tempo e acabam dando brechas para ataques, são:

S.O e aplicativos obsoletos: sistemas em que os fornecedores não dão mais suporte aos mesmos, acabando não surgindo novos upgrades para corrigir falhas;
Antivírus: não fazer a atualização dos antivírus nas estações e nos servidores, dando mais vulnerabilidade ao seu ambiente;
Dispositivos de funcionários pessoais ligados em rede: o uso compromete o seu domínio, uma vez que não sabemos quais programas estão instalados nestes dispositivos;
Utilização de ambientes mistos: é o uso de sistemas Microsoft e não Microsoft em seu ambiente, uma vez que acabam dando mais atenção à um e esquecendo do outro.

Apesar destas falhas não estarem diretamente ligadas ao Active Directory, elas são porta de entrada para o comprometimento do mesmo, uma vez que o invasor se aproveita dessas falhas para se proliferar na estação e depois obter senhas de usuários importantes no AD, tais como: Administradores do domínio, Administradores de empresa e Administradores de esquema.

Usuários estes em que podem comprometer todo seu domínio com alterações inadequadas. Outros usuários bastante vistos pelo invasores são os usuários VIPs. Estes usuários são aqueles que tem acessos importantes como a documentação da empresa e a dados sigilosos que podem consequentemente levar a senha dos usuários administradores do Active Directory.
Algumas das práticas recomendadas para proteger seu AD são:

Monitorar Logs referentes ao Active Directory;
Fazer a desativação do usuário administrador local nas estações. (Caso precise utilizar o administrador local, podemos habilitá-lo no modo de segurança por uma GPO em que ative o mesmo temporariamente ou utilizar grupos restritos para este fim);
Não acessar estações não confiáveis com usuários que sejam administradores de empresa, domínio, etc;
Usar o mínimo privilégio possível aos usuários do AD (Ou seja, o usuário só deve ter permissão ao que ele irá fazer. Não dando nenhuma permissão a mais);
Reduzir os usuários dos Grupos Administradores do domínio, empresa, etc do seu AD;
Fazer a delegação de poderes administrativos. (Delegar poderes em relação a tarefa específica. Por exemplo: usuários que trabalham necessitando instalar impressoras em rede, atribua ao grupo Operadores de impressão e não um grupo mais elevado);
Atribuir auditorias importantes (Logon, alterações no AD, pastas..).

13781726_157337974689733_132872115158446

Compartilhar este post


Link para o post
Compartilhar em outros sites

  • Conteúdo Similar

    • Por Daniel Grimophy
      Bom dia amigos

       
      Meu técnico de T.I da minha empresa. esta com problemas sérios de saúde, mas a esposa dele tem um arquivo com todas as senhas dos clientes dele.Gostaria de saber como criar um novo usuário para ter permissão as pastas compartilhadas dos vários departamentos da empresa (Acredito que o banco de dados é SQL, não tenho certeza). Se precisar de mais informações para responder minha dúvida, por favor, solicite aqui.
       
      Anexos com fotos e prints do sistema (este fórum esta com problema no anexo de fotos)
      https://drive.google.com/open?id=0B1Sp937phJHJYkRNUW5uaERUUUE
      https://drive.google.com/open?id=0B1Sp937phJHJNF91T2o0cVpLQzQ
      https://drive.google.com/open?id=0B1Sp937phJHJbVpXU0FaWTVHRjQ
      https://drive.google.com/open?id=0B1Sp937phJHJajd1MUU5Zk9WZ0U

       
      Abs
    • Por aaraoprimo
      Galera tenho um sistema de chamados e gostaria que os usuários conseguissem abrir o chamado através do próprio email, aguém ja fez algo parecido. Enviar um email para um determinado email que salvaria a descrição desse email em um banco mysql por exemplo. Atualmente uso o email active directory
    • Por jussan001
      Fala galera,

      gostaria de saber qual melhor cenário ou qual a melhor forma pra implementar um Windows server AD em uma rede com matriz e lojas espalhadas por São Paulo.

      alguém que já teve essa experiência puder contar como foi a implantação e como é o gerenciamento.
    • Por VMG
      Boa tarde, pessoal.
      Estou desenvolvendo uma intranet no Ubuntu 15.04, por enquanto é uma página simples contendo tutorias. Porém será necessário que o usuário faça o login para acessar a intranet. E eu não sei como fazer isso. Na empresa tem uma máquina com windows Server 2008 R2
      e nele contem o AD, lá tem todas as informações dos funcionários. o ideal seria quando o funcionário entrasse com o login e senha na página da intranet, ele iria verificar lá com o AD se o usuário e senha existem e ai sim entrava na página da intranet logado.
      Alguém sabe como posso fazer isso? Realmente preciso de ajudar quanto a isso.
      Desde já agradeço.
       
       
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.