Introdução às Avaliações Sob Demanda de Segurança do Active Directory
A avaliação de Segurança do Active Directory foi desenvolvida para fornecer orientações práticas específicas para reduzir os riscos de segurança para o Active Directory e a sua organização. Essa solução também fornece o status do seu progresso em relação ao roteiro recomendado pela Microsoft para Proteger o Acesso a Privilégios (SPA), do qual o Active Directory é um componente crítico.
A Avaliação de segurança do Active Directory se concentra em vários pilares importantes, incluindo:
- Revisão de processos operacionais
- Revisão da associação de contas/grupos privilegiados, bem como a limpeza regular da conta
- Revisão das relações de confiança de florestas e domínios
- Revisão da configuração do sistema operacional, do patch de segurança e dos níveis de atualização
- Revisão da configuração do domínio e do controlador de domínio em comparação com a orientação recomendada pela Microsoft
- Revisão da principal delegação de permissão de objeto do Active Directory
Executando a Avaliação de Segurança do Active Directory
Pré-requisitos
Para aproveitar por completo as Avaliações sob Demanda disponíveis pelo Hub de Serviços, você deve:
- Ter vinculado uma Assinatura do Azure ativa ao Hub de Serviços e adicionado a Avaliação de Segurança do AD. Para obter mais informações, consulte: Introdução às Avaliações sob Demanda ou assista ao vídeo sobre como vincular.
- Uma conta de domínio (Usuário ou Conta de Serviço Gerenciado) com os seguintes direitos:
- Associação ao grupo de Administradores Corporativos OU
- Associação ao grupo de Administradores Internos para todos os domínios na floresta.
- Associação ao grupo Administradores Locais na máquina de Coleta de Dados.
- Acesso administrativo a todos os servidores DNS (Sistema de Nomes de Domínio) da Microsoft com os quais os controladores de domínio participam.
- Examine o documento de Pré-Requisitos da Avaliação de Segurança do AD. Esse documento explica a documentação técnica detalhada da Avaliação de Segurança do AD e a preparação do servidor necessária para executar essa avaliação. Ele também documenta os diferentes tipos de dados coletados pela avaliação.
Observação: em média, a configuração inicial do ambiente para executar uma Avaliação sob Demanda requer duas horas. Depois de executar uma avaliação, você pode consultar os dados no Azure Log Analytics. Isso fornecerá uma lista priorizada de recomendações, categorizadas em seis áreas de foco. Isso permite que você e sua equipe entendam rapidamente os níveis de risco, a integridade dos ambientes, implementem ações para reduzir o risco e melhorem a integridade geral do setor de TI.
Configurar a Avaliação de Segurança do AD
Observação: você só poderá configurar com êxito a avaliação depois de vincular sua Assinatura do Azure ao Services Hub e adicionar a Avaliação de Segurança do AD a partir de Integridade de TI –> Avaliações sob Demanda no Services Hub.
No computador de coleta de dados, crie a seguinte pasta:
C:\OMS\ADS(ou qualquer outra pasta excetoC:\ODA, que é reservada pelo sistema).Abra o Powershell regular (não o ISE) no modo Administrador e execute o cmdlet abaixo:
Add-ADSecurityAssessmentTask -WorkingDirectory <workingdirectorypath> command,WorkingDirectoryé o caminho para um diretório existente usado para armazenar os arquivos criados ao coletar e analisar os dados dos ambientes.Workspace Id– fornece ID para o espaço de trabalho do Log Analytics que será usado para armazenar os dados carregados.Forneça as credenciais da conta de usuário necessárias que atendam aos requisitos mencionados neste artigo anteriormente.
A coleta de dados é acionada pela tarefa agendada denominada ADSecurityAssessment dentro de uma hora após a execução do script anterior e, em seguida, a cada 7 dias. A tarefa pode ser modificada para execução em uma data/hora diferente ou até mesmo forçada para execução imediata na Biblioteca do Agendador de Tarefas -> Microsoft -> Operations Management Suite > AOI*** > Avaliações > ADSecurityAssessment.
Durante a coleta e a análise, os dados são armazenados temporariamente na pasta Diretório de Trabalho que foi configurada durante a instalação.
Depois de algumas horas, os resultados da sua avaliação estarão disponíveis no seu Painel do Hub de Serviços e no Log Analytics. Você pode navegar para ver os resultados acessando Services Hub > Integridade > Avaliações e, em seguida, clicando em Visualizar todas as recomendações na avaliação ativa.
Se deseja que um Engenheiro Credenciado pela Microsoft examine os problemas sobre o seu Ambiente AD juntamente com você, entre em contato com o seu Representante da Microsoft e pergunte-lhe sobre a Entrega Remota ou Coordenada Pelo Engenheiro de Clientes No Local.
| contrato | Engenheiro Remoto | Engenheiro no Local |
|---|---|---|
| Premier | Folha de Dados Remota do ADS | Folha de Dados Local do ADS |
| Unificado | Folha de Dados Remota do ADS | Folha de Dados Local do ADS |
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de