Omri Rubinstien

Mesmo após mais de 20 anos de serviço, o Active Directory (AD) continua a ser um dos componentes mais críticos da infra-estrutura de TI de uma empresa típica. Para os utilizadores, a segurança do AD é fácil de considerar como garantida quando está a funcionar. No entanto, no caso de um ataque, a sua importância para as operações comerciais pode tornar-se dolorosamente clara.

Quando ocorrem ataques à segurança, cada segundo que passa antes de a ameaça ser contida e remediada e de os sistemas serem restaurados representa um golpe para a empresa. Quanto maior for o tempo de inactividade, maior será a perturbação das operações. A velocidade é importante, mas garantir que o AD é recuperado com êxito também é importante, tal como garantir que todos os agentes de ameaças foram expulsos e que não existem pontos de entrada para futuros ataques.

O primeiro passo para realizar essa tarefa na sequência de um ataque é estabelecer um ambiente de recuperação isolado (IRE). No entanto, tal como acontece com o resto do processo de recuperação, é necessário encontrar um equilíbrio entre velocidade e segurança. É aqui que as capacidades de aprovisionamento automatizado do SO começam a brilhar.

Leitura relacionada

Eliminar a dor do processo

Já lá vai o tempo em que as preocupações com as interrupções do AD se centravam em eventos como desastres naturais e problemas eléctricos no centro de dados. As organizações de hoje enfrentam vários cenários em que pode ser necessário recuperar uma floresta inteira. Pode ser que um agente de ameaças tenha feito alterações maliciosas no esquema do Active Directory. Talvez todos os controladores de domínio (DCs) tenham sido corrompidos ou danificados, tornando os serviços indisponíveis. Independentemente do motivo, a consequência desses eventos é o tempo de inatividade que pode se estender de horas a dias. Quanto mais longo for o tempo de inactividade, maiores serão os prejuízos para as operações comerciais.

Aqueles que já passaram pelo processo de recuperação sabem muito bem que este pode ser em grande parte manual e entediante. Os ambientes de grande dimensão podem demorar vários dias a recuperar a funcionalidade total sem a ajuda de ferramentas de terceiros. A automatização é sua amiga; recuperar o AD sem ela é como efectuar uma cirurgia reconstrutiva sem quaisquer ferramentas cirúrgicas.

Quer seja no rescaldo de um ciberataque ou ao lidar com um ataque em curso, uma organização que efectue a recuperação total da floresta AD terá de configurar um IRE e tratar do aprovisionamento do SO em máquinas virtuais. O IRE permite que as organizações iniciem o processo de recuperação num ambiente inacessível aos atacantes. Isto é fundamental: frequentemente, os atacantes permanecem em segredo num ambiente de produção durante semanas antes de atacarem. Se descobrirem que foram detectados, isso pode levá-los a tomar medidas que podem complicar a recuperação. Com efeito, os IREs permitem que a equipa de resposta a incidentes teste as alterações do AD sem receio de que as cópias de segurança sejam infectadas e, consequentemente, voltem a libertar malware no ambiente de produção.

Reproduzir um ambiente de produção pode ser uma tarefa demorada, e o provisionamento eficaz é uma obrigação. Na Semperis, desenvolvemos uma ferramenta autónoma baseada em UI e PowerShell para preparar máquinas virtuais para a recuperação total da floresta. Adicionámos esta ferramenta, que actualmente apenas suporta Hyper-V, à nossa solução Active Directory Forest Recovery (ADFR). Ela oferece vários recursos, incluindo:

  • Independência total da equipa AD
  • A capacidade de criar uma nova VM que pode ser utilizada para um novo DC (re-promovido), um ADFR MS secundário e um novo DP
  • Uma visualização dos metadados de backup, como uma lista de DCs incluídos no conjunto de backup e o estado de cada DC quando o backup ocorreu
  • Configuração de aprovisionamento, permitindo-lhe seleccionar um modelo por sistema operativo Windows e definir as predefinições de hardware e de rede a aplicar aos DCs na cópia de segurança
  • Permite-lhe editar definições (substituindo as definições predefinidas) para DC individuais antes de aprovisionar o SO de um computador
  • Instalação automática do agente ADFR

O Semperis ADFR oferece aos utilizadores a capacidade de restaurar o AD em qualquer hardware no local ou na nuvem. Também simplifica o processo de criação de uma cópia dos DCs de produção num laboratório virtual, reduzindo significativamente o tempo necessário para manter ambientes de desenvolvimento/teste, preparação, formação e suporte. Para reforçar a segurança, as capacidades forenses pós-recuperação do ADFRpermitem às organizações determinar se um ataque estava em curso quando foi efectuada uma cópia de segurança do ambiente e identificar quaisquer alterações efectuadas por agentes de ameaças durante uma janela de ataque definida.

Impedir que os atacantes mantenham a persistência é um dos aspectos mais importantes da recuperação do AD, e os IREs fornecem locais seguros e contidos para testar as alterações do AD sem correr o risco de comprometer ainda mais as organizações. Com o tempo a passar, haverá pressão para que o AD volte a estar online de forma rápida e segura e a eliminação de algum do tempo necessário para estabelecer um IRE com o aprovisionamento automatizado do SO ajudará nesses esforços.

Aqui está uma demonstração rápida para mostrar as próximas melhorias do ADFR OS Provisioning:

Tem perguntas ou comentários? Gostaríamos muito de o ouvir. Contacte-nos em customersuccess@semperis.com.