A segurança da informação moderna assenta numa defesa em camadas. Cada camada suporta as outras e apresenta obstáculos adicionais aos agentes de ameaças. Da gestão de patches às firewalls de perímetro, cada camada torna mais difícil para os atacantes comprometerem a sua rede. A autenticação multifator (MFA) é uma dessas camadas. A MFA tem muitos sabores, mas todos envolvem uma combinação de:
- Algo que possui, como um smartphone ou um hard token
- Algo que sabe, como uma palavra-passe
- Algo que o utilizador é, como uma impressão digital ou outros dados biométricos
Dada a prevalência de phishing, palavras-passe fracas e credenciais roubadas que são compradas e vendidas online, a implementação da MFA para o Active Directory pode proporcionar uma defesa adicional contra ataques.
Leitura relacionada: O que é a segurança do Active Directory?
Como funciona a MFA para o Active Directory?
A MFA eleva as protecções contra ataques baseados na identidade. Para o Active Directory, que se encontra no centro da sua infraestrutura de identidade, a MFA fornece um nível de garantia de que são os utilizadores legítimos que iniciam sessão e acedem aos seus recursos de TI.
Proteger o ambiente do Active Directory no local com MFA é um desafio. O Active Directory fornece suporte nativo para a MFA apenas através da autenticação por cartão inteligente - não deve ser confundido com a MFA para os Serviços de Federação do Active Directory (AD FS), que fornece um segundo fator de autenticação para aplicações integradas no AD FS.
Na ausência de suporte direto de MFA para o Active Directory, as organizações podem integrar soluções de MFA, como o Windows Hello for Business ou o Cisco Duo, nos pontos finais do PC ou do servidor administrativo (ou seja, salto). Isso pode fortalecer o acesso a esses pontos de acesso típicos do Active Directory para logons interativos ou RDP. Outras ferramentas estão disponíveis para analisar as solicitações de autenticação do Active Directory e impor a MFA conforme determinado pela política da organização.
Como pode implementar a MFA para o Active Directory em ambientes de identidade híbrida?
Devido à adoção da nuvem, muitas empresas precisam de uma abordagem MFA que abranja tanto o ambiente do Active Directory local quanto os provedores de serviços de identidade na nuvem, como o Entra ID. Para suportar este tipo de ambiente híbrido, as organizações podem utilizar o Microsoft Entra Connect (anteriormente Azure AD Connect) para sincronizar identidades entre o Active Directory e o inquilino Entra.
Na Entra ID, os padrões de segurança são fornecidos aos locatários da Entra, independentemente de terem licenças premium. No entanto, a versão gratuita do Entra ID não inclui a funcionalidade "acesso condicional", que permite configurar regras com acções para cenários de início de sessão específicos.
As políticas de acesso condicional oferecem uma abordagem mais granular ao controlo do acesso para condições especificadas por si, como solicitar a MFA a qualquer pessoa que aceda a um serviço quando não se encontra numa rede empresarial. Esta funcionalidade está incluída nos planos premium. Da mesma forma, todos os planos do Microsoft 365 permitem que as organizações implementem a MFA usando padrões de segurança. O Microsoft 365 para Empresas e outros planos têm recursos adicionais.
Tanto o Microsoft 365 como o Office 365 suportam a MFA através dos seguintes métodos:
- Uma mensagem de texto, enviada para o telemóvel do utilizador, que exige que este introduza um código de verificação
- Uma chamada de voz
- Autenticador Microsoft
Como o Microsoft 365, o Entra ID suporta várias formas de verificação:
- Autenticador Microsoft
- Authenticator Lite (no Outlook)
- Windows Hello para empresas
- Chaves de segurança FIDO2
- Tokens de hardware OATH
- Tokens de software OATH
- SMS
- Uma chamada de voz
Os aplicativos que se autenticam diretamente com o Entra ID e têm autenticação moderna, como o OpenID Connect, podem usar políticas de acesso condicional. No entanto, os aplicativos legados e locais que não se autenticam diretamente com o Entra ID precisam ser integrados usando o proxy do aplicativo Entra ID ou os serviços de política de rede (NPS).
Em setembro de 2022, a Microsoft notificou os clientes de que estava a descontinuar o Servidor MFA do Azure. A partir de 30 de setembro de 2024, as implantações do Azure MFA Server não atenderão mais às solicitações de MFA. Para evitar falhas de autenticação, as organizações devem migrar os dados de autenticação dos usuários para o serviço Entra ID MFA baseado em nuvem usando o Utilitário de Migração fornecido pela Microsoft.
E quanto à autenticação adaptativa?
As protecções MFA estão a evoluir para proporcionar uma segurança mais granular e adequada. A autenticação adaptativa adopta a abordagem tradicional da MFA e acrescenta outra camada baseada na deteção de riscos.
Neste modelo, o utilizador é forçado a submeter-se a um nível mais elevado de autenticação com base em critérios dinâmicos. Por exemplo, um utilizador pode ter características específicas, como uma função, um tipo de dispositivo ou uma localização geográfica. Se esse utilizador tentar subitamente iniciar sessão a partir de um dispositivo ou país diferente, o risco associado a essa tentativa pode ser utilizado para justificar um pedido de MFA. Por outro lado, este modelo pode diminuir o atrito com o utilizador, reduzindo o número de vezes que os utilizadores precisam de se autenticar novamente quando operam de acordo com o seu comportamento normal.
O Entra ID Protection (anteriormente Azure Identity Protection) é um serviço que executa a autenticação adaptativa com base no risco do utilizador e do início de sessão. Se for detectado um risco, as acções de correção incluem forçar os utilizadores a redefinir as suas palavras-passe ou bloquear o acesso até que um administrador esteja envolvido. A autenticação adaptativa levanta outra barreira contra os agentes de ameaças que tentam penetrar no seu ambiente.
A MFA para o Active Directory é a melhor defesa?
A implementação da MFA para o Active Directory pode ajudar a reduzir a ameaça representada pelo roubo de credenciais. Ao iniciar a implantação da MFA, o lugar mais óbvio para começar são as contas com direitos de acesso privilegiados. Estas contas são as mais atractivas para os atacantes porque podem ser utilizadas para alargar a posição dos atacantes e persistir no seu ambiente sem serem detectadas.
Outras contas podem ter valor devido ao papel do funcionário na empresa. Por exemplo, a violação da identidade de um membro importante da equipa de engenharia de software ou do líder do departamento de recursos humanos pode oferecer aos atacantes a oportunidade de deitarem a mão a informações valiosas.
A implementação de capacidades de segurança como a MFA pode acrescentar uma barreira adicional entre os atacantes e o seu ambiente. Mas, por si só, a MFA não é uma defesa suficiente.
Reforçar a segurança do Active Directory
A verdadeira proteção das identidades no seu ambiente requer uma abordagem abrangente. Para fortalecer o Active Directory:
- Identificar e corrigir vulnerabilidades.
- Identificar e corrigir potenciais erros de configuração.
- Monitorizar o Active Directory (e serviços como o Okta ou o Entra ID, em ambientes híbridos) para detetar actividades suspeitas.
- Se possível, automatize a correção ou reversão de alterações de risco.
- Testar e manter uma cópia de segurança do Active Directory e dos recursos críticos de identidade, separada das cópias de segurança do sistema operativo ou dos dados.
- Inclua um plano de recuperação específico do Active Directory como parte da sua estratégia de recuperação de desastres.
Ferramentas adicionais, incluindo endpoint, MFA e soluções baseadas em logs ou eventos, podem ser adições valiosas à sua estratégia de deteção e resposta a ameaças à identidade (ITDR). Uma defesa em camadas que se concentra na segurança do Active Directory e de outros sistemas e serviços essenciais é a melhor maneira de fortalecer a resiliência operacional da sua organização.