Essential Eight restringe privilégios administrativos
Este artigo detalha métodos para alcançar o modelo de maturidade de oito anos essencial do Centro Australiano de Segurança Cibernética (ACSC) para restringir privilégios administrativos usando o plataforma de identidade da Microsoft. As diretrizes do modelo de maturidade do ACSC para restringir privilégios administrativos são encontradas no modelo de maturidade do ACSC Essential Eight.
Por que perseguir as Oito Essenciais do ACSC que restringem as diretrizes de privilégios administrativos?
O Centro Australiano de Segurança Cibernética (ACSC) lidera os esforços do governo australiano para melhorar a segurança cibernética. O ACSC recomenda que todas as organizações australianas implementem as estratégias de mitigação essential eight das Estratégias do ACSC para mitigar incidentes de segurança cibernética como uma linha de base. A linha de base, conhecida como Essential Eight, são medidas fundamentais de segurança cibernética que tornam muito mais difícil para os adversários comprometer sistemas. Os Níveis de Maturidade dos Oito Essenciais permitem que as organizações avaliem a adequação de suas medidas de segurança cibernética contra ameaças comuns no cenário de TIC interconectado de hoje.
O objetivo de um ator mal-intencionado é obter acesso a credenciais privilegiadas, especialmente credenciais com acesso ao plano de controle empresarial. O acesso ao plano de controle fornece acesso generalizado e controle sobre ativos de alto valor em um ambiente de TIC empresarial. Exemplos de acesso ao plano de controle incluem o Administrador Global e privilégios equivalentes em Microsoft Entra ID e acesso privilegiado à infraestrutura de virtualização corporativa.
Restringir o Acesso Privilegiado usando uma abordagem de várias camadas aumenta a dificuldade de um adversário realizar atividades mal-intencionadas. Restringir privilégios administrativos é um controle altamente eficaz incluído nas Estratégias da ACSC para mitigar incidentes de segurança cibernética.
Esta tabela descreve os controles ISM relacionados a Restringir privilégios administrativos.
| Controle ISM mar 2024 | Nível de maturidade | Control | Medir |
|---|---|---|---|
| ISM-0445 | 1, 2, 3 | Usuários privilegiados recebem uma conta privilegiada dedicada a ser usada apenas para tarefas que exigem acesso privilegiado. | Os administradores devem usar contas separadas para tarefas privilegiadas e trabalho de produtividade. Contas com privilégios de alto nível em Microsoft Entra ID, Azure e Microsoft 365 devem ser contas somente na nuvem, não contas sincronizadas de um domínio Active Directory local. |
| ISM-1175 | 1, 2, 3 | Contas privilegiadas (excluindo aquelas explicitamente autorizadas a acessar serviços online) são impedidas de acessar a Internet, email e serviços Web. | Bloqueie o uso de ferramentas de produtividade como Office 365 email removendo licenças do Microsoft 365 de contas privilegiadas. Contas privilegiadas devem acessar portais de administrador de nuvem de um dispositivo de acesso privilegiado. O controle da Internet e do email de dispositivos de acesso privilegiados pode ser realizado usando um firewall baseado em host, um proxy de nuvem ou configurando as configurações de proxy no dispositivo. |
| ISM-1507 | 1, 2, 3 | Solicitações de acesso privilegiado a sistemas, aplicativos e repositórios de dados são validadas quando solicitadas pela primeira vez. | Um processo de gerenciamento de direitos está em vigor para acesso privilegiado. Microsoft Entra Gerenciamento de Direitos pode ser usado para automatizar processos de gerenciamento de direitos. |
| ISM-1508 | 3 | O acesso privilegiado a sistemas, aplicativos e repositórios de dados é limitado apenas ao que é necessário para que usuários e serviços realizem suas funções. | O controle de acesso baseado em função é configurado para limitar o acesso a usuários autorizados. Microsoft Entra Privileged Identity Management (PIM) garante o acesso just-in-time, que está limitado ao tempo. |
| ISM-1509 | 2, 3 | Os eventos de acesso privilegiado são registrados centralmente. | Microsoft Entra logs de auditoria e logs de entrada são enviados para um LAW (Log Analytics Workspace) do Azure para análise. |
| ISM-1647 | 2, 3 | O acesso privilegiado a sistemas, aplicativos e repositórios de dados é desabilitado após 12 meses, a menos que seja revalidado. | Um processo de gerenciamento de direitos está em vigor para acesso privilegiado. Microsoft Entra Gerenciamento de Direitos pode ser usado para automatizar processos de gerenciamento de direitos. |
| ISM-1648 | 2, 3 | O acesso privilegiado a sistemas e aplicativos é desabilitado após 45 dias de inatividade. | Use o Microsoft API do Graph para avaliar lastSignInDateTime e identificar contas privilegiadas inativas. |
| ISM-1650 | 2, 3 | Eventos de gerenciamento de conta privilegiada e de gerenciamento de grupo são registrados centralmente. | Microsoft Entra logs de auditoria e logs de entrada são enviados para um LAW (Log Analytics Workspace) do Azure para análise. |
| ISM-1380 | 1, 2, 3 | Usuários privilegiados usam ambientes operacionais privilegiados e desprivilegiados separados. | O uso de diferentes estações de trabalho físicas é a abordagem mais segura para separar ambientes operacionais privilegiados e desprivilegiados para administradores do sistema. As organizações que não podem usar estações de trabalho físicas separadas para separar ambientes operacionais privilegiados e desprivilegiados devem adotar uma abordagem baseada em risco e implementar controles alternativos de acordo com uma estratégia de segurança detalhada. |
| ISM-1688 | 1, 2, 3 | Contas não desprivilegiadas não podem fazer logon em ambientes operacionais privilegiados. | As restrições de logon e o controle de acesso baseado em função são usados para impedir que contas desprivilegiadas entrem em ambientes operacionais privilegiados. |
| ISM-1689 | 1, 2, 3 | Contas privilegiadas (excluindo contas de administrador local) não podem fazer logon em ambientes operacionais desprivilegiados. | As restrições de logon e o controle de acesso baseado em função são usados para impedir que contas privilegiadas entrem em ambientes operacionais desprivilegiados. |
| ISM-1883 | 1, 2, 3 | Contas privilegiadas explicitamente autorizadas a acessar serviços online são estritamente limitadas apenas ao que é necessário para que usuários e serviços realizem suas funções. | O controle de acesso baseado em função é configurado para limitar o acesso a usuários autorizados. Microsoft Entra Privileged Identity Management (PIM) garante o acesso just-in-time, que está vinculado ao tempo. |
| ISM-1898 | 2, 3 | Estações de trabalho Administração seguras são usadas no desempenho das atividades administrativas. | Os dispositivos privileged Access Workstation são gerenciados usando Microsoft Intune e protegidos usando uma combinação de controles Defender para Ponto de Extremidade, Windows Hello para Empresas e Microsoft Entra ID. |
Restringir privilégios administrativos: requisitos essenciais de oito
O acesso privilegiado permite que os administradores alterem a configuração dos principais aplicativos e infraestrutura, como serviços de identidade, sistemas de negócios, dispositivos de rede, estações de trabalho do usuário e contas de usuário. O acesso privilegiado ou as credenciais geralmente são conhecidas como as "chaves do reino", pois fornecem aos portadores controle sobre muitos ativos diferentes dentro de uma rede.
As categorias de controles a seguir são necessárias para alcançar o nível 3 de maturidade de oito essenciais para restringir privilégios administrativos.
- Governança de identidade: a governança de identidade é o processo de validação dos requisitos de acesso do usuário e a remoção do acesso que não é mais necessário.
- Privilégio mínimo: o privilégio mínimo é uma abordagem para o controle de acesso que limita o acesso a sistemas, aplicativos e repositórios de dados apenas ao que é necessário para que usuários e serviços realizem suas funções.
- Restrições de conta: as restrições de conta reduzem a exposição de credenciais privilegiadas a ambientes desprivilegiados.
- Dispositivos administrativos: os dispositivos administrativos são ambientes operacionais seguros usados para executar atividades administrativas.
- Registro em log e monitoramento: o registro em log e o monitoramento de atividades privilegiadas permitem a detecção de sinais de comprometimento.
Governança de identidade
O Identity Governance ajuda as organizações a obter um equilíbrio entre a produtividade e a segurança. O gerenciamento do ciclo de vida da identidade é a base para a Governança de Identidade e a governança efetiva em escala requer uma infraestrutura de gerenciamento de ciclo de vida de identidade moderna.
Gerenciamento de direitos (ML1)
O Essential Eight Matury Level 1 exige que as solicitações de acesso privilegiado a sistemas, aplicativos e repositórios de dados sejam validadas quando solicitadas pela primeira vez. A validação de solicitações de acesso privilegiado faz parte do processo de gerenciamento de direitos. O gerenciamento de direitos é o processo de administração do acesso do usuário a privilégios para garantir que apenas usuários autorizados tenham acesso a um conjunto de recursos. As principais etapas no processo de gerenciamento de direitos incluem solicitações de acesso, revisões de acesso, provisionamento de acesso e expiração de acesso.
Microsoft Entra Gerenciamento de Direitos automatiza o processo de gerenciamento de acesso a recursos no Azure. Os usuários podem ter acesso delegado usando pacotes de acesso, que são pacotes de recursos. Um pacote do Access em Microsoft Entra Gerenciamento de Direitos pode incluir grupos de segurança, grupos do Microsoft 365 e Teams, Microsoft Entra aplicativos empresariais e sites do SharePoint Online. Os pacotes de acesso incluem uma ou mais políticas. Uma política define as regras ou os guardrails para atribuição de acesso ao pacote. As políticas podem ser usadas para garantir que apenas usuários apropriados possam solicitar acesso, que os aprovadores para solicitações de acesso sejam atribuídos e que o acesso aos recursos seja limitado por tempo e expire se não for renovado.
Para obter informações detalhadas sobre o gerenciamento de direitos, consulte Microsoft Entra Gerenciamento de Direitos.
Gerenciar usuários inativos (ML2)
O Essential Eight Matury Level 2 exige que o acesso privilegiado a sistemas e aplicativos seja desabilitado automaticamente após 45 dias de inatividade. Contas inativas são contas de usuário ou sistema que não são mais necessárias pela sua organização. As contas inativas geralmente podem ser identificadas por meio de logs de entrada, indicando que elas não foram usadas para entrar por um longo período de tempo. É possível usar o último carimbo de data/hora de entrada para detectar contas inativas.
A última entrada fornece insights potenciais sobre a necessidade contínua de acesso de um usuário aos recursos. Ele pode ajudar a determinar se a associação de grupo ou o acesso ao aplicativo ainda são necessários ou podem ser removidos. Para o gerenciamento de usuário convidado, você pode entender se uma conta de convidado ainda está ativa dentro do locatário ou deve ser limpa.
Você detecta contas inativas avaliando a propriedade lastSignInDateTime exposta pelo tipo de recurso signInActivity do microsoft API do Graph. A propriedade lastSignInDateTime mostra a última vez que um usuário fez uma entrada interativa bem-sucedida para Microsoft Entra ID. Usando essa propriedade, você pode implementar uma solução para os seguintes cenários:
Última data e hora de entrada para todos os usuários: nesse cenário, você precisa gerar um relatório da última data de entrada de todos os usuários. Você pode solicitar uma lista de todos os usuários e o últimoSignInDateTime para cada usuário respectivo em https://graph.microsoft.com/v1.0/users?$select=displayName,signInActivity.
Usuários por nome: neste cenário, você pesquisa um usuário específico por nome, o que permite avaliar o lastSignInDateTime:
Usuários por data: nesse cenário, você solicita uma lista de usuários com um lastSignInDateTime antes de uma data especificada:
- https://graph.microsoft.com/v1.0/users?$filter=signInActivity/lastSignInDateTime le 2019-06-01T00:00:00Z
Para obter informações detalhadas sobre como gerenciar usuários inativos, consulte Gerenciar contas de usuário inativas.
Privilégios mínimos
O privilégio mínimo exige que o acesso a sistemas e aplicativos seja limitado apenas ao que é necessário para que usuários e sistemas realizem suas funções. O privilégio mínimo pode ser implementado usando controles como RBAC (controle de acesso baseado em função), gerenciamento de acesso privilegiado e acesso just-in-time (JIT).
Contas separadas para administradores (ML1)
O Essential Eight Matury Level 1 exige que usuários privilegiados sejam atribuídos a uma conta privilegiada dedicada para serem usados apenas para tarefas que exigem acesso privilegiado. Contas com privilégios de alto nível em Microsoft Entra ID, Azure e Microsoft 365 devem ser contas somente na nuvem, não contas sincronizadas de um domínio Active Directory local. As contas administrativas devem bloquear o uso de ferramentas de produtividade, como Office 365 email (remover licença).
Para obter informações detalhadas sobre como gerenciar o acesso administrativo, consulte Proteção de acesso privilegiado para implantações híbridas e de nuvem.
Impor acesso condicional para administradores (ML1)
O Essential Eight Matury Level 1 exige que os usuários privilegiados usem ambientes operacionais privilegiados e desprivilegiados separados. O acesso privilegiado aos ambientes do Azure e do Microsoft 365 requer um padrão de segurança mais alto do que o padrão aplicado aos usuários regulares. O acesso privilegiado deve ser concedido com base em uma combinação de sinais e atributos de segurança para dar suporte a uma estratégia de Confiança Zero. O comprometimento de uma conta com acesso privilegiado ao Azure ou ao Microsoft 365 pode causar uma interrupção significativa nos processos comerciais. O Acesso Condicional pode reduzir o risco de comprometimento aplicando um determinado padrão de higiene de segurança antes de permitir o acesso às ferramentas de gerenciamento do Azure.
É recomendável implementar os seguintes controles para acesso administrativo às ferramentas de administração de linha de comando e portal do Azure:
- Exigir a autenticação multifator (MFA)
- Bloquear tentativas de acesso com um alto nível de risco de entrada da Proteção de Identidade da Microsoft
- Bloquear tentativas de acesso com um alto nível de risco de usuário da Proteção de Identidade da Microsoft
- Exigir acesso de um dispositivo ingressado Microsoft Entra, que atende aos requisitos de conformidade Intune para integridade do dispositivo, atualizar status e segurança do sistema status
Para obter informações detalhadas sobre a aplicação do Acesso Condicional para Administradores, confira os seguintes artigos:
Gerenciando contas de administrador local (ML2)
O Essential Eight Matury Level 2 requer credenciais para que contas de vidro, contas de administrador local e contas de serviço sejam longas, exclusivas, imprevisíveis e gerenciadas. Contas de administrador local ativas em estações de trabalho do Windows geralmente são usadas por invasores para percorrer lateralmente um ambiente windows. Por esse motivo, os seguintes controles são recomendados para contas de administrador local em sistemas ingressados no domínio:
Sistemas ingressados do Active Directory
A LAPS (Solução de Senha do Administrador Local) da Microsoft fornece uma solução para o problema de usar uma conta local comum com uma senha idêntica em cada computador. O LAPS resolve esse problema definindo uma senha aleatória rotativa diferente para a conta de administrador local em cada computador do domínio. As senhas são armazenadas no Active Directory e protegidas por Controle de Acesso Listas restritivas. A senha do administrador local só pode ser recuperada ou redefinida por usuários qualificados.
Para obter informações detalhadas sobre como gerenciar contas de administrador local em sistemas ingressados do Active Directory, confira os seguintes artigos:
- Examinar e baixar a solução de senha do administrador local
- Saiba como configurar o Microsoft LAPS
Microsoft Entra sistemas ingressados
Ao ingressar em um dispositivo Windows para Microsoft Entra ID usando uma junção Microsoft Entra, Microsoft Entra ID adiciona os seguintes princípios de segurança ao grupo de administradores locais no dispositivo:
- A função Microsoft Entra Administrador Global
- A função Azure AD administrador local do dispositivo ingressado
- O usuário que executa a junção Microsoft Entra
Você pode personalizar a associação do grupo de administradores local para atender aos seus requisitos comerciais. É recomendável limitar o acesso do administrador local a estações de trabalho e exigir a aprovação do PIM para o uso da função administrador local do dispositivo ingressado Azure AD.
No portal do Azure, você pode gerenciar a função administrador do dispositivo a partir das configurações do dispositivo.
- Entre no portal do Azure como administrador global.
- Navegue até Microsoft Entra ID > Configurações de dispositivos>.
- Selecione Gerenciar administradores locais adicionais em todos os Microsoft Entra dispositivos ingressados.
- Selecione Adicionar atribuições e escolha os outros administradores que você deseja adicionar e selecione Adicionar.
Para modificar a função administrador do dispositivo, configure administradores locais adicionais em todos os Microsoft Entra dispositivos ingressados.
Para obter informações detalhadas sobre como gerenciar administradores locais em Microsoft Entra sistemas ingressados, confira os seguintes artigos:
- Saiba como gerenciar administradores locais em dispositivos ingressados Microsoft Entra
- Visão geral do Windows LAPS
Gerenciando contas de serviço (ML2)
Um desafio comum para desenvolvedores é o gerenciamento de segredos, credenciais, certificados e chaves usadas para proteger a comunicação entre os serviços. O Essential Eight Matury Level 2 requer credenciais para que as contas de serviço sejam longas, exclusivas, imprevisíveis e gerenciadas.
Sistemas ingressados do Active Directory
As contas de serviço gerenciadas por grupo (gMSAs) são contas de domínio para ajudar a proteger os serviços. GMSAs podem ser executados em um servidor ou em um farm de servidores, como sistemas por trás de um balanceamento de carga de rede ou servidor do IIS (Internet Information Services). Depois de configurar seus serviços para usar uma entidade gMSA, o gerenciamento de senhas da conta é tratado pelo sistema operacional Windows (sistema operacional).
GMSAs são uma solução de identidade com maior segurança que ajuda a reduzir a sobrecarga administrativa:
- Defina senhas fortes: 240 bytes, senhas geradas aleatoriamente: a complexidade e o comprimento das senhas gMSA minimiza a probabilidade de comprometimento por força bruta ou ataques de dicionário.
- Ciclo de senhas regularmente: o gerenciamento de senhas vai para o sistema operacional Windows, que altera a senha a cada 30 dias. Os administradores de serviço e domínio não precisam agendar alterações de senha ou gerenciar interrupções de serviço.
- Suporte à implantação em fazendas de servidores: implante gMSAs em vários servidores para dar suporte a soluções balanceadas de carga em que vários hosts executam o mesmo serviço.
- Suporte ao gerenciamento simplificado do SPN (nome da entidade de serviço) – configure um SPN com o PowerShell quando você criar uma conta.
Microsoft Entra sistemas ingressados
As identidades gerenciadas fornecem uma identidade gerenciada automaticamente em Microsoft Entra ID para os aplicativos usarem ao se conectar a recursos que dão suporte à autenticação Microsoft Entra. Os aplicativos podem usar identidades gerenciadas para obter tokens Microsoft Entra sem precisar gerenciar credenciais.
Há dois tipos de identidades gerenciadas:
- Atribuído ao sistema. Uma entidade de serviço é criada automaticamente em Microsoft Entra ID para a identidade do recurso. A entidade de serviço está vinculada ao ciclo de vida desse recurso do Azure. Quando o recurso do Azure é excluído, o Azure exclui automaticamente a entidade de serviço associada.
- Atribuído pelo usuário. Uma entidade de serviço é criada manualmente em Microsoft Entra ID para a identidade do recurso. A entidade de serviço é gerenciada separadamente dos recursos que a usam.
Acesso just-in-time a sistemas e aplicativos (ML3)
Evite atribuir acesso permanente permanente a quaisquer contas que sejam membros de funções altamente privilegiadas no Azure ou no Microsoft 365. Os invasores frequentemente visam contas com privilégios permanentes para manter a persistência em ambientes corporativos e causar danos generalizados aos sistemas. Privilégios temporários forçam os invasores a aguardar que um usuário eleve seus privilégios ou inicie a elevação de privilégios. Iniciar uma atividade de elevação de privilégio aumenta a chance de um invasor ser detectado e removido antes de poder causar danos.
Conceda privilégios somente conforme necessário usando os seguintes métodos:
- Acesso just-in-Time: configure Microsoft Entra Privileged Identity Management (PIM) para exigir um fluxo de trabalho de aprovação para obter privilégios para acesso a funções privilegiadas. No mínimo, a elevação deve ser necessária para as seguintes funções de Microsoft Entra privilegiadas: Administrador Global, Administrador de Autenticação Privilegiada, Administrador de Função Privilegiada, Administrador de Acesso Condicional e Administrador de Intune. No mínimo, a elevação deve ser necessária para as seguintes funções de RBAC privilegiadas do Azure: Proprietário e Colaborador.
- Contas de quebra de vidro: as contas de acesso de emergência são limitadas a cenários de emergência ou "quebra de vidro", em que contas administrativas normais não podem ser usadas. Por exemplo, todos os administradores que estão sendo bloqueados de um locatário Microsoft Entra. Verifique se você define uma senha forte e use apenas contas de acesso de emergência durante emergências. Crie contas somente na nuvem usando o domínio *.onmicrosoft.com para contas de acesso de emergência e configure o monitoramento para alertar sobre entradas.
Revisões de acesso (ML3)
O Essential Eight Matury Level 3 exige que o acesso privilegiado a sistemas e aplicativos seja limitado apenas ao que é necessário para que usuários e serviços realizem suas funções. A necessidade de acesso privilegiado aos recursos do Azure e às funções de Microsoft Entra muda ao longo do tempo. Para reduzir o risco associado a atribuições de função obsoletas, você deve revisar regularmente o acesso. Microsoft Entra revisões de acesso permitem que as organizações gerenciem com eficiência associações de grupo RBAC, acesso a aplicativos empresariais e atribuições de função Microsoft Entra. O acesso do usuário pode ser revisado regularmente para garantir que apenas as pessoas certas continuem tendo acesso.
Microsoft Entra revisões de acesso habilitam casos de uso, como:
- Identificando direitos de acesso excessivos
- Identificar quando um grupo é usado para uma nova finalidade
- À medida que as pessoas movem equipes ou saem da empresa, removendo o acesso desnecessário
- Habilitar o envolvimento proativo com os proprietários de recursos para garantir que eles examinem regularmente quem tem acesso aos seus recursos.
Dependendo do tipo de acesso que exige revisão, as revisões de acesso precisam ser criadas em diferentes áreas do portal do Azure. A tabela a seguir mostra as ferramentas específicas para criar revisões de acesso:
| Direitos de acesso dos usuários | Revisores podem ser | Revisão criada em | Experiência do revisor |
|---|---|---|---|
| Membros do grupo de segurança Membros do grupo do Office |
Revisores especificados Proprietários de grupo Auto-revisão |
Avaliações do acesso grupos Microsoft Entra |
Painel de acesso |
| Atribuído a um aplicativo conectado | Revisores especificados Auto-revisão |
Avaliações do acesso Microsoft Entra Aplicativos Empresariais (em versão prévia) |
Painel de acesso |
| Microsoft Entra função | Revisores especificados Auto-revisão |
Privileged Identity Management (PIM) | Portal do Azure |
| Função de recurso do Azure | Revisores especificados Auto-revisão |
Privileged Identity Management (PIM) | Portal do Azure |
| Acessar atribuições de pacote | Revisores especificados Membros do grupo Auto-revisão |
Gerenciamento de direitos | Painel de acesso |
Para obter informações detalhadas sobre Microsoft Entra revisões de acesso, confira os seguintes artigos:
- Saiba mais sobre Microsoft Entra revisões de acesso
- Saiba como gerenciar o acesso do usuário com Microsoft Entra revisões de acesso
Restrições de conta
A segurança da conta é um componente crítico para proteger o acesso privilegiado. A segurança de Confiança Zero de ponta a ponta requer estabelecer que a conta que está sendo usada na sessão está realmente sob o controle do proprietário humano e não um invasor que representa eles.
Restrições de logon (ML1)
Usuários, serviços ou contas de aplicativo com privilégios administrativos em domínios do AD (Windows Active Directory) representam um alto risco para a segurança da empresa. Essas contas geralmente são direcionadas por invasores porque fornecem acesso generalizado a servidores, bancos de dados e aplicativos. Quando os administradores fazem logon em sistemas com um perfil de segurança inferior, as credenciais privilegiadas são armazenadas na memória e podem ser extraídas usando ferramentas de roubo de credencial (por exemplo, Mimikatz).
O Essential Eight Matury Level 1 exige que contas privilegiadas (excluindo contas de administrador local) não possam fazer logon em ambientes operacionais desprivilegiados. O Modelo de Administração Em Camadas da Microsoft aplica restrições de logon a dispositivos ingressados no domínio para evitar a exposição de credenciais privilegiadas em dispositivos com um perfil de segurança mais baixo. Os administradores com acesso de administrador ao domínio do Active Directory são separados dos administradores com controle sobre estações de trabalho e aplicativos empresariais. As restrições de logon devem ser impostas para garantir que contas altamente privilegiadas não possam fazer logon em recursos menos seguros. Por exemplo:
- Os membros dos grupos de administradores corporativos e de domínio do Active Directory não podem fazer logon em servidores de aplicativos empresariais e estações de trabalho do usuário.
- Os membros da função Microsoft Entra Administradores Globais não podem fazer logon em Microsoft Entra estações de trabalho ingressadas.
As restrições de logon podem ser impostas com Política de Grupo atribuições de direitos de usuário ou políticas de Microsoft Intune. É recomendável configurar as seguintes políticas em servidores corporativos e estações de trabalho de usuário para impedir que contas privilegiadas exponham credenciais a um sistema menos confiável:
- Negar acesso a este computador por meio da rede
- Negar logon como um trabalho em lote
- Negar logon como um serviço
- Negar logon localmente
- Negar logon por meio dos Serviços de Terminal
Restringir o acesso à Internet, email e serviços Web (ML1)
O Essential Eight Matury Level 1 exige que contas privilegiadas (excluindo contas que estão explicitamente autorizadas a acessar serviços online) sejam impedidas de acessar a Internet, o email e os serviços Web. As contas administrativas devem bloquear o uso de ferramentas de produtividade, como Office 365 email (remover licença). Contas administrativas devem acessar portais de administrador de nuvem de um dispositivo de acesso privilegiado. Dispositivos de acesso privilegiados devem negar todos os sites e usar uma lista de permissões para habilitar o acesso a portais de administrador de nuvem. O controle da Internet e do email de dispositivos de acesso privilegiados pode ser realizado usando um firewall baseado em host, um proxy de nuvem ou configurando as configurações de proxy no dispositivo.
Microsoft Entra dispositivos ingressados
Crie um Microsoft Intune Perfil de Configuração para configurar o proxy de rede em dispositivos usados para administração privilegiada. Os dispositivos privileged Access usados para administrar serviços de nuvem do Azure e do Microsoft 365 devem usar as isenções de proxy da tabela a seguir.
| Seção | Nome | Config |
|---|---|---|
| Noções básicas | Nome | PAW-Intune-Configuration-Proxy-Device-Restrictions |
| Noções básicas | Plataforma | Windows 10 e posterior |
| Noções básicas | Tipo de perfil | Restrições do dispositivo |
| Configuração | Usar o servidor proxy manual | Permitir |
| Configuração | Endereço | 127.0.0.2 |
| Configuração | Porta | 8080 |
| Configuração | Exceções de proxy | account.live.com;*.msft.net; *.msauth.net;*.msauthimages.net;*.msftauthimages.net;*.msftauth.net;*.azure.com;*.azure.net;*.azureedge.net;*.azurewebsites.net;*.microsoft.com; microsoft.com;*.windowsupdate.com;*.microsoftonline.com;*.microsoftonline.cn;*.microsoftonline-p.net;*.microsoftonline-p.com;*.windows.net;*.windows.com;*.windowsazure.com;*.windowsazure.cn;*.azure.cn;*.loganalytics.io;*.applicationinsights.io;*.vsassets.io;*.azure-automation.net;*.azure-api.net;*.azure-devices.net;*.visualstudio.com; portal.office.com; config.office.com;*.aspnetcdn.com;*.sharepointonline.com;*.msecnd.net;*.msocdn.com;*.webtrends.com;*.aka.ms;*.digicert.com;*.phonefactor.net;*.nuget.org;*.cloudapp.net;*.trafficmanager.net; login.live.com; clientconfig.passport.net;*.wns.windows.com;*.s-microsoft.com; www.msftconnecttest.com; graph.windows.net;*.manage.microsoft.com;*.aadcdn.microsoftonline-p.com;*.azureafd.net;*.azuredatalakestore.net;*.windows-int.net;*.msocdn.com;*.msecnd.net;*.onestore.ms;*.aspnetcdn.com;*.office.net;*.officeapps.live.com; aka.ms;*.powershellgallery.com;*.azure-apim.net; spoprod-a.akamaihd.net;*.hip.live.com |
Dispositivos Administrativos
Os administradores do sistema devem usar dispositivos separados para gerenciar ambientes operacionais privilegiados e desprivilegiados. As atividades administrativas devem seguir o princípio de origem limpo para todos os dispositivos envolvidos no processo de administração.
Ambientes operacionais privilegiados e desprivilegiados separados (ML1)
O Essential Eight Matury Level 1 exige que os usuários privilegiados usem ambientes operacionais privilegiados e desprivilegiados separados. Usar diferentes estações de trabalho físicas é a abordagem mais segura para separar ambientes operacionais privilegiados e desprivilegiados para administradores do sistema. Embora as garantias de segurança possam ser aprimoradas na sessão, elas sempre serão limitadas pela força da garantia no dispositivo de origem. Um invasor com controle de um dispositivo de acesso privilegiado pode representar usuários ou roubar credenciais de usuário para representação futura. Esse risco prejudica outras garantias na conta, intermediários como servidores de salto e nos próprios recursos.
As organizações que não podem usar estações de trabalho físicas separadas para separar ambientes operacionais privilegiados e desprivilegiados devem adotar uma abordagem baseada em risco e implementar controles alternativos de acordo com uma estratégia de segurança detalhada. A Microsoft recomenda mapear funções e ativos do usuário para um nível de confidencialidade para avaliar o nível de garantia necessário para proteger ambientes operacionais privilegiados.
Para obter informações detalhadas sobre níveis privilegiados de confidencialidade de acesso, consulte Níveis de segurança de acesso privilegiados
Seguro Administração Estações de Trabalho (ML3)
O Essential Eight Matury Level 3 exige que estações de trabalho secure Administração sejam usadas para executar atividades administrativas. As SAWs (estações de trabalho) Administração seguras são um controle eficaz contra a exposição de credenciais confidenciais em dispositivos menos seguros. Fazer logon ou executar serviços em um dispositivo menos seguro com uma conta privilegiada aumenta o risco de roubo de credenciais e ataques de escalonamento de privilégios. As credenciais privilegiadas só devem ser expostas a um teclado SAW e devem ser negadas de fazer logon em dispositivos menos seguros. Os SAWs fornecem uma plataforma segura para gerenciar serviços de nuvem locais, Azure, Microsoft 365 e terceiros. Os dispositivos SAW são gerenciados usando Microsoft Intune e protegidos usando uma combinação de controles Defender para Ponto de Extremidade, Windows Hello para Empresas e Microsoft Entra ID.
O diagrama a seguir ilustra a arquitetura de alto nível, incluindo os vários componentes de tecnologia que devem ser configurados para implementar a solução geral e a estrutura SAW:
Para obter informações detalhadas sobre estações de trabalho do Secure Administração, confira os seguintes artigos:
- Saiba mais sobre dispositivos de acesso privilegiados
- Saiba como implantar uma estação de trabalho protegida
- Examinar e baixar o Perfil da Estação de Trabalho Privilegiada
Proteger intermediários e servidores de salto (ML2)
A segurança dos serviços intermediários é um componente crítico para proteger o acesso privilegiado. Os intermediários são usados para facilitar a sessão ou a conexão do administrador com um sistema ou aplicativo remoto. Exemplos de intermediários incluem VPNs (redes virtuais privadas), servidores de salto, infraestrutura de área de trabalho virtual (incluindo Windows 365 e Área de Trabalho Virtual do Azure) e publicação de aplicativos por meio de proxies de acesso. Os invasores geralmente visam intermediários para escalar privilégios usando credenciais armazenadas neles, obter acesso remoto de rede a redes corporativas ou explorar a confiança no dispositivo de acesso privilegiado.
Tipos intermediários diferentes executam funções exclusivas para que cada um deles exija uma abordagem de segurança diferente. Os invasores são facilmente capazes de direcionar sistemas com uma superfície de ataque maior. A lista a seguir inclui opções disponíveis para intermediários de acesso privilegiado:
- Serviços de nuvem nativos, como PIM (Microsoft Entra Privileged Identity Management), Azure Bastion e proxy de aplicativo Microsoft Entra oferecem uma superfície de ataque limitada aos invasores. Embora sejam expostos à internet pública, os clientes (e invasores) não têm acesso à infraestrutura subjacente. A infraestrutura subjacente para serviços SaaS e PaaS é mantida e monitorada pelo provedor de nuvem. Essa superfície de ataque menor limita as opções disponíveis para invasores versus aplicativos e dispositivos locais clássicos que devem ser configurados, corrigidos e monitorados pelo pessoal de TI.
- VPNs (Redes Virtuais Privadas), Áreas de Trabalho Remotas e Servidores de Salto fornecem uma oportunidade significativa de invasor, pois esses serviços exigem patch, endurecimento e manutenção contínuos para manter uma postura de segurança resiliente. Embora um servidor de salto possa ter apenas algumas portas de rede expostas, os invasores só precisam de acesso a um serviço incompatível para executar um ataque.
- Serviços de PIM (Gerenciamento Privileged Identity Management de Acesso Privilegiado) e PIM (Gerenciamento de Acesso Privilegiado) são hospedados com frequência no local ou como uma VM em IaaS (Infraestrutura como Serviço) e normalmente estão disponíveis apenas para hosts de intranet. Embora não esteja diretamente exposta à Internet, uma única credencial comprometida pode permitir que os invasores acessem o serviço por meio de VPN ou outro meio de acesso remoto.
Para obter informações detalhadas sobre intermediários de acesso privilegiados, consulte Intermediários seguros.
Registro em log e monitoramento
Registrar eventos de acesso privilegiado (ML2)
O registro em log de entradas e atividades executadas por contas privilegiadas é essencial para detectar comportamento anormal em ambientes corporativos. Microsoft Entra logs de auditoria e logs de entrada fornecem informações valiosas sobre o acesso privilegiado a aplicativos e serviços.
Microsoft Entra logs de entrada fornecem informações sobre padrões de entrada, frequência de entrada e status de atividades de entrada. O relatório de atividade de entrada está disponível em todas as edições de Microsoft Entra ID. Organizações com uma licença P1 ou P2 Microsoft Entra ID podem acessar o relatório de atividade de entrada por meio do microsoft API do Graph.
Microsoft Entra logs de atividade incluem logs de auditoria para cada evento registrado no Microsoft Entra ID. Alterações em aplicativos, grupos, usuários e licenças são todas capturadas nos logs de auditoria Microsoft Entra. Por padrão, Microsoft Entra ID mantém logs de entrada e auditoria por no máximo sete dias. Microsoft Entra ID retém logs por no máximo 30 dias se uma licença P1 ou P2 Microsoft Entra ID estiver presente no locatário. Microsoft Entra logs de auditoria e logs de entrada devem ser encaminhados a um LAW (Log Analytics Workspace) do Azure para coleção centralizada e correlação.
Para obter informações detalhadas sobre o log centralizado, confira os seguintes artigos:
Monitoramento de logs de eventos para sinais de comprometimento (ML3)
O Essential Eight Matury Level 3 exige que os logs de eventos sejam monitorados em busca de sinais de comprometimento e acionados quando quaisquer sinais de compromisso são detectados. Monitorar atividades privilegiadas é importante para detectar o comprometimento do sistema precocemente e conter o escopo da atividade mal-intencionada.
Monitoramento de eventos de acesso privilegiado
Monitore todas as atividades de entrada da conta privilegiada usando os logs de entrada Microsoft Entra como fonte de dados. Monitore os seguintes eventos:
| O que monitorar | Nível de risco | Em que | Observações |
|---|---|---|---|
| Falha de entrada, limite de senha ruim | Alto | Microsoft Entra log de entrada | Defina um limite de linha de base e, em seguida, monitore e ajuste para atender aos seus comportamentos organizacionais e limitar a geração de alertas falsos. |
| Falha devido ao requisito de acesso condicional | Alto | Microsoft Entra log de entrada | Esse evento pode ser uma indicação de que um invasor está tentando entrar na conta. |
| Contas privilegiadas que não seguem a política de nomenclatura | Alto | Assinatura do Azure | Liste atribuições de função para assinaturas e alerte onde o nome de entrada não corresponde ao formato da sua organização. Um exemplo é o uso de ADM_ como um prefixo. |
| Interromper | Alto, médio | Microsoft Entra entradas | Esse evento pode ser uma indicação de que um invasor tem a senha da conta, mas não pode passar no desafio de autenticação multifator. |
| Contas privilegiadas que não seguem a política de nomenclatura | Alto | Microsoft Entra diretório | Liste atribuições de função para Microsoft Entra funções e alerte onde o UPN não corresponde ao formato da sua organização. Um exemplo é o uso de ADM_ como um prefixo. |
| Descobrir contas privilegiadas não registradas para autenticação multifator | Alto | API do Microsoft Graph | Audite e investigue para determinar se o evento é intencional ou um descuido. |
| Bloqueio de conta | Alto | Microsoft Entra log de entrada | Defina um limite de linha de base e, em seguida, monitore e ajuste para atender aos seus comportamentos organizacionais e limitar a geração de alertas falsos. |
| Conta desabilitada ou bloqueada para entradas | Baixo | Microsoft Entra log de entrada | Esse evento pode indicar que alguém está tentando obter acesso a uma conta depois de deixar a organização. Embora a conta esteja bloqueada, ainda é importante fazer log e alerta sobre essa atividade. |
| Alerta ou bloqueio de fraude de MFA | Alto | Microsoft Entra log de entrada/Azure Log Analytics | O usuário privilegiado indicou que não instigou o prompt de autenticação multifator, o que pode indicar que um invasor tem a senha da conta. |
| Alerta ou bloqueio de fraude de MFA | Alto | Microsoft Entra log de auditoria/Azure Log Analytics | O usuário privilegiado indicou que não instigou o prompt de autenticação multifator, o que pode indicar que um invasor tem a senha da conta. |
| Entradas de conta privilegiada fora dos controles esperados | Alto | Microsoft Entra log de entrada | Monitore e alerte em todas as entradas que você definiu como não aprovadas. |
| Fora dos horários normais de entrada | Alto | Microsoft Entra log de entrada | Monitore e alerte se as entradas ocorrerem fora dos horários esperados. É importante encontrar o padrão de trabalho normal para cada conta privilegiada e alertar se houver alterações não planejadas fora dos horários normais de trabalho. Entradas fora do horário normal de trabalho podem indicar comprometimento ou possíveis ameaças internas. |
| Risco de proteção de identidade | Alto | Logs da Proteção de Identidade | Esse evento indica que uma anormalidade foi detectada com a entrada da conta e deve ser alertada. |
| Alteração de senha | Alto | Microsoft Entra logs de auditoria | Alerta sobre quaisquer alterações de senha da conta de administrador, especialmente para administradores globais, administradores de usuário, administradores de assinatura e contas de acesso de emergência. Escreva uma consulta direcionada a todas as contas privilegiadas. |
| Alteração no protocolo de autenticação herdada | Alto | Microsoft Entra log de entrada | Muitos ataques usam autenticação herdada, portanto, se houver uma alteração no protocolo de auth para o usuário, pode ser uma indicação de um ataque. |
| Novo dispositivo ou local | Alto | Microsoft Entra log de entrada | A maior parte da atividade de administrador deve ser de dispositivos de acesso privilegiados, de um número limitado de locais. Por esse motivo, alerte sobre novos dispositivos ou locais. |
| A configuração de alerta de auditoria foi alterada | Alto | Microsoft Entra logs de auditoria | As alterações em um alerta principal devem ser alertadas se inesperadas. |
| Administradores autenticando-se em outros locatários Microsoft Entra | Médio | Microsoft Entra log de entrada | Quando escopo para Usuários Privilegiados, esse monitor detecta quando um administrador é autenticado com êxito em outro locatário Microsoft Entra com uma identidade no locatário da sua organização. Alerta se Resource TenantID não for igual à ID do Locatário Doméstico |
| Administração Estado do usuário alterado de Convidado para Membro | Médio | Microsoft Entra logs de auditoria | Monitore e alerte sobre a alteração do tipo de usuário de Convidado para Membro. Essa mudança era esperada? |
| Usuários convidados convidados para o locatário por convidados não aprovados | Médio | Microsoft Entra logs de auditoria | Monitore e alerte em atores não aprovados convidando usuários convidados. |
Monitoramento de eventos de gerenciamento de conta privilegiada
Investigue as alterações nas regras e privilégios de autenticação de contas privilegiadas, especialmente se a alteração fornecer maior privilégio ou a capacidade de executar tarefas em Microsoft Entra ID.
| O que monitorar | Nível de risco | Em que | Observações |
|---|---|---|---|
| Criação de conta privilegiada | Médio | Microsoft Entra logs de auditoria | Monitore a criação de quaisquer contas privilegiadas. Procure correlação que seja de um curto período de tempo entre a criação e a exclusão de contas. |
| Alterações nos métodos de autenticação | Alto | Microsoft Entra logs de auditoria | Essa alteração pode ser uma indicação de um invasor adicionando um método de auth à conta para que eles possam ter acesso contínuo. |
| Alerta sobre alterações em permissões de conta privilegiada | Alto | Microsoft Entra logs de auditoria | Esse alerta é especialmente para contas que estão sendo atribuídas funções que não são conhecidas ou estão fora de suas responsabilidades normais. |
| Contas privilegiadas não utilizados | Médio | Microsoft Entra revisões de acesso | Execute uma revisão mensal para contas de usuário com privilégios inativos. |
| Contas isentas do Acesso Condicional | Alto | Logs do Azure Monitor ou Revisões de Acesso | Qualquer conta isenta do Acesso Condicional provavelmente está ignorando os controles de segurança e é mais vulnerável a compromissos. Contas de quebra de vidro são isentas. Confira informações sobre como monitorar contas de quebra de vidro mais adiante neste artigo. |
| Adição de um Passe de Acesso Temporário a uma conta privilegiada | Alto | Microsoft Entra logs de auditoria | Monitore e alerte sobre um Passe de Acesso Temporário que está sendo criado para um usuário privilegiado. |
Para obter informações detalhadas sobre o monitoramento da atividade de conta privilegiada, consulte Operações de segurança para contas privilegiadas em Microsoft Entra ID.
Proteger os logs de eventos contra modificação e exclusão não autorizadas (ML3)
O Essential Eight Matury Level 3 exige que os logs de eventos sejam protegidos contra modificação e exclusão não autorizadas. Proteger os logs de eventos contra modificações e exclusões não autorizadas garante que os logs possam ser usados como uma fonte confiável de evidência se a organização sofrer um incidente de segurança. No Azure, os logs de eventos do acesso privilegiado a aplicativos e serviços devem ser armazenados centralmente em um workspace do Log Analytics.
O Azure Monitor é uma plataforma de dados somente acréscimo, mas inclui disposições para excluir dados para fins de conformidade. Os workspaces do Log Analytics que coletam logs de atividades privilegiadas devem ser protegidos com controles de acesso baseados em função e monitorados para modificar e excluir atividades.
Em segundo lugar, defina um bloqueio no workspace do Log Analytics para bloquear todas as atividades que podem excluir dados: limpeza, exclusão de tabela e alterações de retenção de dados no nível do workspace ou de tabela.
Para verificar totalmente os logs de eventos, configure exportações automatizadas de dados de log para uma solução de armazenamento imutável, como Armazenamento Imutável para Armazenamento de Blobs do Azure.
Para obter informações detalhadas sobre como proteger a integridade do log de eventos, consulte Segurança de Dados do Azure Monitor.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de