Dez ações para proteger o Active Directory

O Active Directory (AD) é um dos alvos mais valiosos para os invasores. Eles sabem que, uma vez que entram, têm um passe direto para o resto da rede. O AD é um componente fundamental, pois através dele são fornecidos os serviços necessários para que os administradores gerenciem permissões e controlem o acesso aos recursos da rede, necessários para o efetivo funcionamento das organizações.

E é aí que reside o maior desafio. Por um lado, é vital que os usuários tenham fácil acesso ao AD para realizar seu trabalho diário; por outro, é o que pode dificultar a proteção a qualquer momento. De acordo com estimativas da Microsoft, mais de 95 milhões de contas AD são atacadas todos os dias, e esse número está crescendo.

Mas proteger efetivamente o AD não é uma missão impossível. Por meio de táticas e ferramentas dedicadas, os gerentes de segurança corporativa podem elevar o nível de proteção e evitar ataques aos quais o AD e a rede estão expostos todos os dias.

Aqui estão dez ações que você pode tomar para melhorar a proteção do AD em sua organização.

1. Impedir e detectar a enumeração de sessões e serviços administrativos, delegados e privilegiados na rede. Uma vez que consegue se infiltrar na rede, um invasor identifica recursos valiosos e os acessa realizando atividades aparentemente normais e cotidianas que dificilmente são detectadas. Identificar e impedir enumerações de objetos privilegiados, administração delegada, contas de serviço e controladores de domínio pode alertá-lo sobre sua presença no início do ataque. Usando contas e credenciais de domínio enganosas, os invasores podem ser parados e redirecionados para iscas.
2. Identifique e corrija exposições de contas privilegiadas. Os invasores sabem que os usuários armazenam suas credenciais em suas estações de trabalho e procuram obtê-las para obter acesso à rede. As empresas podem evitar isso identificando exposições de contas privilegiadas, corrigindo configurações incorretas e removendo credenciais salvas, pastas compartilhadas e outras vulnerabilidades.
3. Detectar e proteger contra ataques “Golden Ticket” e “Silver Ticket”. Os ataques Pass-the-Ticket (PTT) são uma técnica que os cibercriminosos usam para se mover lateralmente pela rede e aumentar seus privilégios. “Golden Ticket” e “Silver Ticket” são os tipos mais severos de ataques do tipo PTT usados ​​para comprometer domínios. Para interrompê-los, é necessário detectar contas de serviço de tíquete de concessão de tíquete Kerberos (TGT) e computação vulnerável, bem como identificar e alertar sobre configurações incorretas que podem desencadear esses ataques.
4. Proteja-se contra ataques Keberoasting, DCSync e DCShadow. Um ataque “Kerberoasting” permite acesso privilegiado, enquanto os ataques DCSync e DCShadow permitem a persistência dentro do domínio da empresa. Para evitá-los, é necessário realizar uma avaliação contínua do AD para realizar uma análise em tempo real e alertar sobre erros de configuração. Também é uma boa ideia ter uma solução que possa impedir que invasores descubram contas para atacar e reduzir sua capacidade de realizar essas incursões.
5. Evite extrair credenciais de partes de domínios. Os invasores visam senhas de texto simples ou reversíveis que são armazenadas em scripts ou arquivos de política localizados em compartilhamentos de domínio, como Sysvol ou Netlogon. Recomenda-se o uso de soluções que ajudam a detectar essas senhas e corrigir as exposições antes que os invasores as comprometam, bem como a implementação de GPOs Sysvol falsos no AD, o que ajuda a direcionar os invasores para longe dos recursos de produção.
6. Identifique contas com SID privilegiado. Usando a técnica de injeção do Windows Security Identifier (SID), os adversários podem usar o atributo “histórico” do SID para mover-se lateralmente dentro do AD e escalar seus privilégios. Para evitar isso, é necessário detectar uma das contas com valores SID privilegiados no atributo histórico e nos relatórios SID.
7. Detecte a perigosa delegação de direitos de acesso em objetos críticos. A delegação é um recurso do AD que permite que um usuário ou conta represente outra conta. Os invasores podem aproveitá-lo para obter acesso a diferentes áreas da rede. O monitoramento contínuo das vulnerabilidades do AD e a exposição da delegação podem ajudar a identificar e corrigir essas vulnerabilidades antes que sejam exploradas por adversários.
8. Identifique contas privilegiadas com delegação habilitada. Contas privilegiadas configuradas com delegação ilimitada podem levar a ataques Kerberoasting e Silver Ticket. Assim, as empresas podem detectar e reportar contas privilegiadas que tenham a função de delegação habilitada. Os gerentes de segurança podem achar útil ter uma lista completa de usuários privilegiados, administradores delegados e contas de serviço para inventariar possíveis vulnerabilidades.
9. Identifique usuários não privilegiados na ACL do AdminSDHolder. Para se mover lateralmente, os invasores podem adicionar contas ao objeto AdminSDHolder que é usado para proteger usuários e grupos privilegiados. Por sua vez, possui uma Lista de Controle de Acesso (ACL) que controla as permissões dos diretores de segurança que são membros de grupos AD privilegiados. Quando os adversários adicionam contas, eles obtêm o mesmo acesso privilegiado que outras contas protegidas. As organizações podem usar ferramentas que podem detectar e alertar sobre a presença de contas incomuns na ACL AdminiSDHolder.
10. Identifique as alterações recentes na política de domínio ou na política do controlador de domínio. As organizações usam políticas de grupo no AD para gerenciar configurações operacionais definindo parâmetros de segurança para esse ambiente. Com eles, os administradores instalam software, definem a segurança e definem permissões de arquivo e registro. Os invasores, no entanto, podem modificar essas políticas para obter persistência de domínio na rede. Estar ciente das alterações nas políticas de grupo padrão pode ajudar a detectar rapidamente esses invasores, mitigando os riscos de segurança e impedindo o acesso privilegiado ao AD.

Os invasores reconhecem que a natureza exclusiva do AD o torna altamente valioso e difícil de proteger, e explorá-lo é uma prioridade para eles. A boa notícia é que os gerentes de segurança corporativa podem proteger seus serviços de diretório quando entendem os riscos aos quais estão expostos e sabem imediatamente quando esses recursos estão sob ataque.

Ao aplicar as recomendações e táticas acima, as empresas também podem identificar vulnerabilidades com eficiência, detectar atividades maliciosas antecipadamente e corrigir incidentes de segurança antes que os usuários possam aumentar seus privilégios e transformar um ataque de pequena escala em uma grande violação.

Sobre o autor: Juan Carlos Vázquez é Diretor Regional de Vendas para a América Latina da Attivo Networks, uma empresa SentinelOne. Juan Carlos tem mais de 25 anos de experiência no setor de proteção de dados e segurança da informação corporativa. Ele trabalhou anteriormente em empresas como Fidelis Cybersecurity, Arbor Networks (Netscout), McAfee e CA.