Proteger controladores de domínio contra ataques

Aplica-se a: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Lei Número Três: se um bandido tem acesso físico irrestrito ao seu computador, ele já não é mais seu computador. - Dez leis imutáveis da segurança (versão 2.0).

Os controladores de domínio fornecem o armazenamento físico para o banco de dados do AD DS (Active Directory Domain Services), além de fornecer os serviços e dados que permitem que as empresas gerenciem efetivamente seus servidores, estações de trabalho, usuários e aplicativos. Se o acesso privilegiado a um controlador de domínio for obtido por um usuário mal-intencionado, ele poderá modificar, corromper ou destruir o banco de dados do AD DS e, por extensão, todos os sistemas e contas gerenciados pelo Active Directory.

Como os controladores de domínio podem ler e gravar qualquer coisa do banco de dados do AD DS, o comprometimento de um controlador de domínio significa que sua floresta do Active Directory nunca mais pode ser considerada confiável, a menos que você possa se recuperar usando um bom backup conhecido e preencher as lacunas que permitiram o comprometimento.

Dependendo da preparação, das ferramentas e das habilidades do invasor, danos irreparáveis podem ser casados em questão de minutos ou horas, não dias ou semanas. O que importa não é por quanto tempo um invasor teve acesso privilegiado ao Active Directory, mas o quanto ele se planejou para aquele momento de acesso privilegiado. Comprometer um controlador de domínio pode fornecer o caminho mais direto para a destruição de servidores membros, de estações de trabalho e do Active Directory. Devido a essa ameaça, os controladores de domínio devem ser protegidos separadamente e com mais rigor do que a infraestrutura geral.

Segurança física para controladores de domínio

Esta seção fornece informações sobre como proteger fisicamente os controladores de domínio. Os controladores de domínio podem ser computadores físicos ou virtuais, em datacenters, filiais ou alocais remotos.

Controladores de Domínio do Datacenter

Controladores de Domínio Físico

Em datacenters, os controladores de domínio físicos devem ser instalados em racks seguros dedicados ou em compartimentos separados da população geral de servidores. Quando possível, os controladores de domínio devem ser configurados com chips TPM (Trusted Platform Module) e todos os volumes nos servidores do controlador de domínio devem ser protegidos por meio da Criptografia de Unidade de Disco BitLocker. O BitLocker adiciona uma pequena sobrecarga de desempenho em percentuais de dígito único, mas protege o diretório contra o comprometimento mesmo se os discos são removidos do servidor. Ele também pode ajudar a proteger sistemas contra ataques como rootkits, porque a modificação de arquivos de inicialização fará com que o servidor seja inicializado no modo de recuperação para que os binários originais possam ser carregados. Se um controlador de domínio estiver configurado para usar o RAID de software, o SCSI anexado em série, o armazenamento SAN/NAS ou os volumes dinâmicos, o BitLocker não poderá ser implementado. Ou seja, o armazenamento anexado localmente (com ou sem o RAID de hardware) deve ser usado em controladores de domínio sempre que possível.

Controladores de Domínio Virtual

Se você implementar controladores de domínio virtual, deverá garantir que os controladores de domínio também sejam executados em hosts físicos separados e não em outras máquinas virtuais do ambiente. Mesmo que você use uma plataforma de virtualização de terceiros, considere a implantação de controladores de domínio virtual no Hyper-V do Windows Server, que fornece uma superfície de ataque mínima e pode ser gerenciada com os controladores de domínio que hospeda em vez de ser gerenciada com o restante dos hosts de virtualização. Se você implementar o SCVMM (System Center Virtual Machine Manager) para gerenciamento da sua infraestrutura de virtualização, poderá delegar a administração para os hosts físicos em que residem as máquinas virtuais do controlador de domínio e os próprios controladores de domínio para administradores autorizados. Você também deve considerar a separação do armazenamento de controladores de domínio virtual a fim de impedir que os administradores de armazenamento acessem os arquivos da máquina virtual.

Observação

Se você pretende co-localizar controladores de domínio virtualizados com outras máquinas virtuais menos sensíveis nos mesmos servidores de virtualização física (hosts), considere implementar uma solução que imponha a separação baseada em função de tarefas, como VMs Blindadas no Hyper-V. Essa tecnologia fornece proteção abrangente contra administradores de malha mal-intencionados ou inexperientes (incluindo virtualização, rede, armazenamento e administradores de backups). Ele aproveita a raiz física de confiança com atestado remoto e provisionamento seguro de VM e garante efetivamente o nível de segurança que está em par com um servidor físico dedicado.

Locais dos Branches

Controladores de Domínio Físico nos branches

Nos locais em que vários servidores residem, mas que não são tão protegidos fisicamente quanto os servidores de datacenter, os controladores de domínio físicos devem ser configurados com chips TPM e Criptografia de Unidade do BitLocker para todos os volumes do servidor. Se um controlador de domínio não puder ser armazenado em uma sala trancada nas unidades dos branches, considere implantar os RODCs (Controladores de Domínio Somente Leitura) nesses locais.

Controladores de Domínio Virtual nos branches

Sempre que possível, você deve executar controladores de domínio virtual em branches de hosts físicos separados do que as outras máquinas virtuais no site. Nos branches em que os controladores de domínio virtual não podem ser executados em hosts físicos separados do restante da população de servidores virtuais, você deve implementar chips TPM e Criptografia de Unidade do BitLocker em hosts nos quais os controladores de domínio virtuais são executados no mínimo e todos os hosts, se possível. Dependendo do tamanho da filial e da segurança dos hosts físicos, você deve considerar a implantação de RODCs em locais de filial.

Locais Remotos com Espaço Limitado e Segurança

Se a sua infraestrutura incluir locais em que apenas um servidor físico pode ser instalado, um servidor capaz de executar cargas de trabalho de virtualização deverá ser instalado e a Criptografia de Unidade do BitLocker deverá ser configurada para proteger todos os volumes do servidor. Uma máquina virtual do servidor deve ser executada como um RODC, com outros servidores em execução como máquinas virtuais separadas no host. Informações sobre o planejamento para implantação de RODCs são fornecidas no Guia de Planejamento e Implantação do Controlador de Domínio Somente Leitura. Para obter mais informações sobre como implantar e proteger controladores de domínio virtualizados, confira Como Executar Controladores de Domínio no Hyper-V. Para obter diretrizes mais detalhadas a fim de proteger a segurança do Hyper-V, delegar o gerenciamento de máquinas virtuais e protegê-las, confira o Acelerador de Solução do Guia de Segurança do Hyper-V no site da Microsoft.

Sistemas operacionais do controlador de domínio

Você deve executar todos os controladores de domínio na versão mais recente do Windows Server com suporte na sua organização. As organizações devem priorizar o encerramento de sistemas operacionais herdados na população do controlador de domínio. Manter os controladores de domínio atuais e eliminar controladores de domínio herdados permite que você aproveite a nova funcionalidade e a segurança. Essa funcionalidade pode não estar disponível em domínios ou florestas com controladores de domínio que executam o sistema operacional herdado.

Observação

Quanto a qualquer configuração de uso único e sensível à segurança, recomendamos que você implante o sistema operacional na opção de instalação Núcleo do Servidor. Ele oferece vários benefícios, como minimizar a superfície de ataque, melhorar o desempenho e reduzir a probabilidade de erro humano. É recomendável que todas as operações e gerenciamento sejam executadas remotamente, de pontos de extremidade altamente seguros dedicados, como PAW (estações de trabalho de acesso privilegiado) ou Hosts administrativos seguros.

Configuração segura dos controladores de domínio

As ferramentas podem ser usadas para criar uma linha de base de configuração de segurança inicial para controladores de domínio que posteriormente podem ser impostas por GPOs. Essas ferramentas são descritas na seção Administrar configurações de política de segurança da documentação de sistemas operacionais da Microsoft ou da Configuração do Estado Desejado (DSC) para Windows.

Restrições de RDP

Os Objetos de Política de Grupo que são vinculados a todas as OUs de controladores de domínio em uma floresta devem ser configurados para permitir conexões RDP somente em usuários e sistemas autorizados (por exemplo, jump servers). O Controle pode ser obtido por meio de uma combinação de configurações de direitos de usuário e da configuração do WFAS implementado com GPOs, para que a política seja aplicada de maneira consistente. Se a política for ignorada, a próxima atualização da Política de Grupo retornará o sistema à configuração apropriada.

Gerenciamento de Patch e Configuração para Controladores de Domínio

Embora isso possa parecer contraintuitivo, você deve considerar a aplicação de patch de controladores de domínio e de outros componentes críticos da infraestrutura separadamente da infraestrutura geral do Windows. Se você usar um software de gerenciamento de configuração corporativa para todos os computadores da infraestrutura, o comprometimento do software de gerenciamento de sistemas poderá ser usado para comprometer ou destruir todos os componentes da infraestrutura gerenciados pelo software. Separando o gerenciamento de patch e de sistemas para controladores de domínio da população geral, você pode reduzir a quantidade de programas de software instalados nos controladores de domínio, além de controlar mais rigidamente o gerenciamento deles.

Bloquear o Acesso à Internet para Controladores de Domínio

Uma das verificações executadas como parte de uma Avaliação de Segurança do Active Directory é o uso e a configuração do Internet Explorer em controladores de domínio. Nenhum navegador da Web deve ser usado em controladores de domínio. Uma análise de milhares de controladores de domínio revelou vários casos em que usuários privilegiados usavam o Internet Explorer para navegar pela intranet da organização ou na Internet.

Conforme descrito anteriormente na seção "Configuração incorreta" do Avenues to Compromise, navegar na Internet ou pela intranet infectada de um dos computadores mais poderosos da infraestrutura do Windows usando uma conta altamente privilegiada representa um risco extraordinário para a segurança da organização em questão. Seja por meio de uma unidade por download ou pelo download de "utilitários" infectados por malware, os invasores podem obter acesso a tudo o que precisam para comprometer ou destruir completamente o ambiente do Active Directory.

Embora o Windows Server e as versões atuais do Internet Explorer ofereçam muitas proteções contra downloads mal-intencionados, na maioria dos casos em que controladores de domínio e contas privilegiadas foram usados para navegar na Internet, os controladores de domínio estavam executando o Windows Server 2003 ou as proteções oferecidas por sistemas operacionais e navegadores mais recentes foram intencionalmente desabilitadas.

A inicialização de navegadores da Web em controladores de domínio deve ser restrita por controles técnicos e de política. Além disso, o acesso geral à Internet de/para controladores de domínio também deve ser estritamente controlado.

A Microsoft incentiva todas as organizações a migrarem para uma abordagem baseada em nuvem que permita o gerenciamento de identidade e acesso e a migração do Active Directory para o Microsoft Entra ID. O Microsoft Entra ID é uma solução completa de gerenciamento de acesso e identidade de nuvem para gerenciar diretórios, habilitar o acesso a aplicativos locais e de nuvem e proteger identidades contra ameaças à segurança. O Microsoft Entra ID também oferece um conjunto robusto e granular de controles de segurança para ajudar a proteger identidades, como autenticação multifator, políticas de Acesso Condicional, Proteção de Identidade, governança de identidade e Privileged Identity Management.

A maioria das organizações vai operar em um modelo de identidade híbrida durante a transição para a nuvem, em que algum elemento do Active Directory local delas será sincronizado usando o Microsoft Entra Connect. Embora esse modelo híbrido exista em qualquer organização, a Microsoft recomenda a proteção da nuvem dessas identidades locais usando o Microsoft Defender para Identidade. A configuração do sensor do Defender para Identidade em controladores de domínio e servidores AD FS permite uma conexão unidirecional altamente protegida com o serviço de nuvem por meio de um proxy e de pontos de extremidade específicos. Uma explicação completa sobre como configurar essa conexão de proxy pode ser encontrada na documentação técnica do Defender para Identidade. Essa configuração fortemente controlada garante que o risco de conectar esses servidores ao serviço de nuvem seja mitigado e as organizações se beneficiem do aumento dos recursos de proteção que o Defender para Identidade oferece. A Microsoft também recomenda que esses servidores sejam protegidos com a detecção de ponto de extremidade da nuvem, como o Microsoft Defender para Servidores.

Para as organizações que têm requisitos regulatórios ou outros requisitos orientados por políticas para manter uma implementação somente local do Active Directory, a Microsoft recomenda restringir totalmente o acesso à Internet de/para os Controladores de Domínio.

Restrições de Firewall do Perímetro

Os Firewalls do Perímetro devem estar configurados para bloquear conexões de saída dos Controladores de Domínio para a Internet. Embora os controladores de domínio precisem se comunicar entre os limites do site, os Firewalls de Perímetro podem ser configurados para permitir a comunicação entre sites seguindo as diretrizes fornecidas em Como configurar um firewall para domínios e relações de confiança do Active Directory.

Como impedir a navegação na Web por meio de Controladores de Domínio

Você pode usar uma combinação de configuração do AppLocker, configuração de proxy de "buraco negro" e configuração do WFAS para impedir que os controladores de domínio acessem a Internet e impedir o uso de navegadores da Web em controladores de domínio.