Administração

Administração é a prática de monitorar, manter e operar sistemas de Tecnologia da Informação (TI) para atender aos níveis de serviço que o negócio exige. A administração introduz alguns dos riscos de segurança de maior impacto porque a execução dessas tarefas requer acesso privilegiado a um conjunto muito amplo desses sistemas e aplicativos. Os atacantes sabem que obter acesso a uma conta com privilégios administrativos pode fazer com que tenham acesso à maioria ou a todos os dados que seriam alvo, tornando a segurança da administração uma das áreas de segurança mais críticas.

Como exemplo, a Microsoft faz investimentos significativos em proteção e treinamento de administradores para nossos sistemas de nuvem e sistemas de TI:

A principal estratégia recomendada pela Microsoft para privilégios administrativos é usar os controles disponíveis para reduzir o risco

Reduzir a exposição ao risco (escopo e tempo) – O princípio do menor privilégio é melhor realizado com controles modernos que fornecem privilégios sob demanda. Isso ajuda a limitar o risco, limitando a exposição a privilégios administrativos:

• Escopo – Just Enough Access (JEA) fornece apenas os privilégios necessários para a operação administrativa necessária (em vez de ter privilégios diretos e imediatos para muitos ou todos os sistemas ao mesmo tempo, o que quase nunca é necessário).

• Tempo – As abordagens Just in Time (JIT) proporcionaram o privilégio necessário à medida que são necessárias.

• Reduza os riscos restantes – Use uma combinação de controles preventivos e de deteção para reduzir riscos, como isolar contas de administrador dos riscos mais comuns phishing e navegação geral na Web, simplificar e otimizar seu fluxo de trabalho, aumentar a garantia de decisões de autenticação e identificar anomalias do comportamento normal da linha de base que podem ser bloqueadas ou investigadas.

A Microsoft capturou e documentou as práticas recomendadas para proteger contas administrativas e publicou roteiros priorizados para proteger o acesso privilegiado que podem ser usados como referências para priorizar atenuações para contas com acesso privilegiado.

• Roteiro de proteção do acesso privilegiado (SPA) para administradores do Ative Directory local

• Orientação para proteger administradores do Microsoft Entra ID

Minimize o número de administradores de impacto crítico

Conceda o menor número de contas a privilégios que podem ter um impacto crítico nos negócios

Cada conta de administrador representa a superfície de ataque potencial que um invasor pode atingir, portanto, minimizar o número de contas com esse privilégio ajuda a limitar o risco organizacional geral. A experiência ensinou-nos que a pertença a estes grupos privilegiados cresce naturalmente ao longo do tempo, à medida que as pessoas mudam de função se a adesão não for ativamente limitada e gerida.

Recomendamos uma abordagem que reduza esse risco de superfície de ataque e, ao mesmo tempo, garanta a continuidade dos negócios caso algo aconteça com um administrador:

• Atribuir pelo menos duas contas ao grupo privilegiado para continuidade de negócios

• Quando forem necessárias duas ou mais contas, apresentar uma justificação para cada membro, incluindo as duas originais

• Rever regularmente a filiação e a justificação para cada membro do grupo

Contas gerenciadas para administradores

Certifique-se de que todos os administradores de impacto crítico sejam gerenciados pelo diretório corporativo para seguir a aplicação da política organizacional.

Contas de consumidor, como contas da Microsoft como @Hotmail.com, @live.com, @outlook.com, não oferecem visibilidade e controle de segurança suficientes para garantir que as políticas da organização e quaisquer requisitos regulatórios estejam sendo seguidos. Como as implantações do Azure geralmente começam pequenas e informalmente antes de se tornarem locatários gerenciados pela empresa, algumas contas de consumidor permanecem como contas administrativas muito tempo depois, por exemplo, gerentes de projeto originais do Azure, criando pontos cegos e riscos potenciais.

Contas separadas para administradores

Certifique-se de que todos os administradores de impacto crítico tenham uma conta separada para tarefas administrativas (versus a conta que eles usam para email, navegação na Web e outras tarefas de produtividade).

Phishing e ataques a navegadores da Web representam os vetores de ataque mais comuns para comprometer contas, incluindo contas administrativas.

Crie uma conta administrativa separada para todos os usuários que têm uma função que requer privilégios críticos. Para essas contas administrativas, bloqueie ferramentas de produtividade como o email do Office 365 (remova a licença). Se possível, bloqueie a navegação arbitrária na Web (com controles de proxy e/ou aplicativo) enquanto permite exceções para navegar no portal do Azure e em outros sites necessários para tarefas administrativas.

Sem acesso permanente / Privilégios Just in Time

Evite fornecer acesso permanente "permanente" a contas de impacto crítico

Os privilégios permanentes aumentam o risco comercial, aumentando o tempo que um invasor pode usar a conta para causar danos. Os privilégios temporários forçam os atacantes que atacam uma conta a trabalhar dentro dos períodos limitados em que o administrador já está usando a conta ou a iniciar a elevação de privilégios (o que aumenta sua chance de serem detetados e removidos do ambiente).

Conceda privilégios necessários somente conforme necessário usando um destes métodos:

• Just in Time - Permita que o Microsoft Entra Privileged Identity Management (PIM) ou uma solução de terceiros exija seguir um fluxo de trabalho de aprovação para obter privilégios para contas de impacto crítico

• Quebrar vidro – Para contas raramente usadas, siga um processo de acesso de emergência para obter acesso às contas. Isso é preferido para privilégios que têm pouca necessidade de uso operacional regular, como membros de contas de administrador global.

Contas de acesso de emergência ou 'Quebrar vidro'

Certifique-se de que dispõe de um mecanismo para obter acesso administrativo em caso de emergência

Embora sejam raras, por vezes surgem circunstâncias extremas em que todos os meios normais de acesso administrativo não estão disponíveis.

Recomendamos seguir as instruções em Gerenciando contas administrativas de acesso de emergência no Microsoft Entra ID e garantir que as operações de segurança monitorem essas contas cuidadosamente.

Segurança da estação de trabalho Admin

Garanta que os administradores de impacto crítico usem uma estação de trabalho com proteções e monitoramento de segurança elevados

Vetores de ataque que usam navegação e e-mail, como phishing, são baratos e comuns. Isolar os administradores de impacto crítico desses riscos reduzirá significativamente o risco de um incidente grave em que uma dessas contas for comprometida e usada para prejudicar materialmente sua empresa ou missão.

Escolha o nível de segurança da estação de trabalho de administração com base nas opções disponíveis em https://aka.ms/securedworkstation

• Dispositivo de produtividade altamente seguro (estação de trabalho de segurança aprimorada ou estação de trabalho especializada)
  Você pode iniciar essa jornada de segurança para administradores de impacto crítico, fornecendo-lhes uma estação de trabalho de segurança mais alta que ainda permite tarefas gerais de navegação e produtividade. Usar isso como uma etapa provisória ajuda a facilitar a transição para estações de trabalho totalmente isoladas, tanto para os administradores de impacto crítico quanto para a equipe de TI que dá suporte a esses usuários e suas estações de trabalho.

• Estação de trabalho de acesso privilegiado (estação de trabalho especializada ou estação de trabalho segura)
  Essas configurações representam o estado de segurança ideal para administradores de impacto crítico, pois restringem fortemente o acesso a vetores de ataque a phishing, navegador e aplicativos de produtividade. Essas estações de trabalho não permitem navegação geral na Internet, permitem apenas o acesso do navegador ao portal do Azure e a outros sites administrativos.

Dependências administrativas de impacto crítico – Conta/Estação de trabalho

Escolha cuidadosamente as dependências de segurança locais para contas de impacto crítico e suas estações de trabalho

Para conter o risco de um incidente grave no local se tornar um grande comprometimento dos ativos de nuvem, você deve eliminar ou minimizar os meios de controle que os recursos locais têm para contas de impacto crítico na nuvem. Por exemplo, os invasores que comprometem o Ative Directory local podem acessar e comprometer ativos baseados em nuvem que dependem dessas contas, como recursos no Azure, Amazon Web Services (AWS), ServiceNow e assim por diante. Os invasores também podem usar estações de trabalho unidas a esses domínios locais para obter acesso a contas e serviços gerenciados a partir deles.

Escolha o nível de isolamento dos meios de controle locais, também conhecidos como dependências de segurança para contas de impacto crítico

• Contas de usuário – Escolha onde hospedar as contas de impacto crítico

  • Contas nativas do Microsoft Entra -*Criar contas nativas do Microsoft Entra que não estão sincronizadas com o Ative Directory local

  • Sincronizar a partir do Ative Directory local (Não recomendado)- Aproveite as contas existentes hospedadas no Ative Directory local.

• Estações de trabalho – Escolha como você gerenciará e protegerá as estações de trabalho usadas por contas de administrador críticas:

  • Gerenciamento de nuvem nativo & Segurança (recomendado) - Junte estações de trabalho ao Microsoft Entra ID & Gerencie-as/corrija-as com o Intune ou outros serviços de nuvem. Proteja e monitore com o Windows Microsoft Defender ATP ou outro serviço de nuvem não gerenciado por contas locais.

  • Gerenciar com sistemas existentes - Junte-se ao domínio existente do AD & aproveite o gerenciamento/segurança existente.

Autenticação sem senha ou multifator para administradores

Exija que todos os administradores de impacto crítico usem autenticação sem senha ou autenticação multifator (MFA).

Os métodos de ataque evoluíram a tal ponto que as palavras-passe por si só não podem proteger de forma fiável uma conta. Isso está bem documentado em uma sessão do Microsoft Ignite.

As contas administrativas e todas as contas críticas devem usar um dos seguintes métodos de autenticação. Esses recursos são listados em ordem de preferência por maior custo/dificuldade para atacar (opções mais fortes/preferidas) para menor custo/difícil de atacar:

• Sem senha (como o Windows Hello)
  https://aka.ms/HelloForBusiness

• Sem senha (aplicativo autenticador)
  </azure/active-directory/authentication/howto-authentication-phone-sign-in>

• Autenticação Multifator
  </azure/active-directory/authentication/howto-mfa-userstates>

Observe que o MFA baseado em mensagem de texto SMS se tornou muito barato para os invasores ignorarem, por isso recomendamos que você evite confiar nele. Essa opção ainda é mais forte do que as senhas sozinhas, mas é muito mais fraca do que outras opções de MFA

Impor acesso condicional para administradores - Zero Trust

A autenticação para todos os administradores e outras contas de impacto crítico deve incluir a medição e a imposição dos principais atributos de segurança para dar suporte a uma estratégia Zero Trust.

Os atacantes que comprometem as contas de administrador do Azure podem causar danos significativos. O Acesso Condicional pode reduzir significativamente esse risco aplicando a higiene de segurança antes de permitir o acesso ao gerenciamento do Azure.

Configure a política de Acesso Condicional para o gerenciamento do Azure que atenda ao apetite ao risco e às necessidades operacionais da sua organização.

• Exigir autenticação multifator e/ou conexão da rede de trabalho designada

• Exigir integridade do dispositivo com o Microsoft Defender ATP (Strong Assurance)

Evite permissões granulares e personalizadas

Evite permissões que façam referência específica a recursos ou usuários individuais

Permissões específicas criam complexidade e confusão desnecessárias, pois não carregam a intenção para novos recursos semelhantes. Isso se acumula em uma configuração legada complexa que é difícil de manter ou alterar sem medo de "quebrar algo" – impactando negativamente a segurança e a agilidade da solução.

Em vez de atribuir permissões específicas de recursos específicos, use

• Grupos de gerenciamento para permissões em toda a empresa

• Grupos de recursos para permissões dentro de assinaturas

Em vez de conceder permissões a usuários específicos, atribua acesso a grupos no Microsoft Entra ID. Se não houver um grupo apropriado, trabalhe com a equipe de identidade para criar um. Isso permite que você adicione e remova membros do grupo externamente ao Azure e garanta que as permissões sejam atuais, além de permitir que o grupo seja usado para outros fins, como listas de endereçamento.

Usar funções internas

Use funções internas para atribuir permissões sempre que possível.

A personalização leva a uma complexidade que aumenta a confusão e torna a automação mais complexa, desafiadora e frágil. Todos esses fatores afetam negativamente a segurança

Recomendamos que você avalie as funções internas projetadas para cobrir a maioria dos cenários normais. As funções personalizadas são um recurso poderoso e, às vezes, útil, mas devem ser reservadas para casos em que as funções incorporadas não funcionam.

Estabeleça o gerenciamento do ciclo de vida para contas de impacto crítico

Certifique-se de ter um processo para desativar ou excluir contas administrativas quando o pessoal administrativo deixar a organização (ou deixar cargos administrativos)

Consulte Gerenciar o acesso de usuários e convidados com avaliações de acesso para obter mais detalhes.

Simulação de ataque para contas de impacto crítico

Simule regularmente ataques contra usuários administrativos com técnicas de ataque atuais para educá-los e capacitá-los.

As pessoas são uma parte crítica da sua defesa, especialmente o seu pessoal com acesso a contas de impacto crítico. Garantir que esses usuários (e, idealmente, todos os usuários) tenham o conhecimento e as habilidades para evitar e resistir a ataques reduzirá o risco organizacional geral.

Pode utilizar as capacidades de Simulação de Ataques do Office 365 ou qualquer número de ofertas de terceiros.

Próximos passos

Para obter orientações de segurança adicionais da Microsoft, consulte a documentação de segurança da Microsoft.