Daniel Petri | Gestor de formação sénior

Para as organizações que utilizam o Active Directory (AD), a segurança dos controladores de domínio (DCs) é uma parte essencial da segurança do AD. Os DCs são componentes críticos da infra-estrutura de TI. Estes servidores contêm dados sensíveis e relacionados com a segurança, incluindo informações de contas de utilizador, credenciais de autenticação e objectos de Política de Grupo (GPOs). Naturalmente, a segurança dos DCs é uma parte importante da segurança do AD e de toda a estratégia de segurança cibernética da sua organização.

O que faz de um servidor um controlador de domínio?

Para criar um servidor Windows como DC, instala a função Serviços de Domínio do Active Directory (AD DS) no servidor. Em seguida, promove o servidor a partir do Gestor de servidor.

Quando promove o servidor, muitas das suas definições originais são alteradas. Por exemplo, apenas os membros do grupo Administradores no AD têm permissão para iniciar sessão no CD localmente ou através do Protocolo de Ambiente de Trabalho Remoto (RDP).

Ao contrário de um servidor Windows não-DC, um DC não utiliza utilizadores e grupos locais. Em vez disso, o DC utiliza apenas utilizadores e grupos baseados no AD. No entanto, por predefinição, os membros do grupo Admins. do Domínio no AD também são membros do grupo Administradores. Por conseguinte, qualquer conta que seja membro do grupo Admins do Domínio tem o direito de iniciar sessão localmente e através de RDP em qualquer DC da organização. 

Por motivos de segurança, a Microsoft não recomenda a instalação da função AD DS e da função Remote Desktop Service (RDS), ou servidor de terminal, no mesmo servidor.

Quem pode aceder aos controladores de domínio?

Pode conceder direitos de início de sessão de DC a utilizadores ou grupos modificando o GPO de Controladores de Domínio predefinido no AD ou criando e aplicando um GPO à unidade organizacional (OU) Controladores de Domínio. No entanto, deve restringir estes direitos apenas aos utilizadores ou grupos que deles necessitem.

Evite conceder direitos de início de sessão a contas de utilizador padrão. Embora possam existir situações em que utilizadores não administradores necessitem de iniciar sessão num DC, essas permissões podem aumentar o risco de acesso não autorizado e potenciais violações de segurança.

Todos os DCs são membros da UO Controladores de Domínio por predefinição. Por conseguinte, as alterações aos GPOs que ligam a essa UO afectam todos os DCs da UO. A concessão de direitos de uma conta de utilizador padrão à UO pode essencialmente permitir que esse utilizador aceda a todos os DCs na organização - o que não é uma boa ideia do ponto de vista da segurança.

As organizações de maior dimensão criam frequentemente funções dedicadas para utilizadores que necessitam de efectuar manutenção ou actualizações a aplicações executadas em DCs. Em organizações mais pequenas ou sucursais onde as funções dedicadas não estão disponíveis, a tentação de permitir o acesso de utilizadores não administradores aos DCs pode ser maior. Resista a ela!

O perigo da má configuração do CD

À medida que o número de DCs aumenta e os membros das equipas de TI e de segurança mudam ao longo do tempo, o risco de configurações incorrectas e vulnerabilidades de segurança também aumenta. Nalguns casos, este aumento da configuração pode passar despercebido ou ser ignorado, deixando os DCs vulneráveis a violações de segurança.

Por conseguinte, é importante implementar controlos de segurança adequados. Limite o acesso ao CD aos utilizadores que dele necessitam para desempenhar as suas funções. Ao fazê-lo, pode ajudar a reduzir o risco de acesso não autorizado e potenciais violações de segurança e reforçar a segurança e a integridade dos sistemas e dados de TI da sua organização.

Ameaças à segurança do controlador de domínio

Há um termo para o que acontece quando um atacante obtém acesso a qualquer DC na sua organização: fim de jogo.

Ao comprometer um DC, os atacantes podem obter acesso às informações confidenciais desse DC. Podem também obter acesso a outros sistemas e dados da sua organização. Os agentes de ameaças com acesso ao DC podem potencialmente:

  • Roubar informações sensíveis, como credenciais de utilizador, permitindo-lhes aceder a outros sistemas e dados dentro da organização e efectuar movimentos laterais.
  • Criar novas contas de utilizador com privilégios administrativos, dando-lhes maior controlo sobre os sistemas e dados de TI da organização.
  • Aumentar os privilégios, permitindo-lhes contornar os controlos de segurança e obter acesso a dados sensíveis.
  • Espalhar malware ou vírus para outros sistemas dentro da organização.
  • Interromper as operações eliminando ou modificando dados críticos, desligando sistemas ou criando ataques de negação de serviço (DoS).

Como melhorar a segurança do controlador de domínio

Para remediar e reduzir o risco potencial para a segurança do CD, execute as seguintes acções:

  1. Verifique se os objectos do Nível 0, como o grupo Admins do Domínio no AD, contêm apenas objectos de utilizador relevantes e necessários.
  2. Determine que GPOs estão ligados à UO Controladores de Domínio no AD.
  3. Para cada GPO ligado:
    • Abra Configuração do computador > Definições do Windows > Definições de segurança > Políticas locais > Atribuição de direitos de utilizador.
    • Aceda à secção GPO.
    • Confirme que apenas o grupo Administradores (Admins. do Domínio) tem o direito Permitir início de sessão através dos Serviços de Ambiente de Trabalho Remoto.
    • Confirme que apenas o grupo Administradores (Admins do domínio) tem o direito Permitir início de sessão localmente.

Avaliar continuamente a segurança do controlador de domínio

Para além dos passos anteriores, certifique-se de que monitoriza atentamente os seus registos de eventos para ver se existem logons falhados e bem sucedidos em todos os seus DCs. Mas não pare por aí.

"Pode utilizar ferramentas comunitárias gratuitas como Purple Knight e Forest Druid para avaliar continuamente a postura de segurança do AD. Saiba mais sobre a segurança do AD e as práticas recomendadas, como o privilégio mínimo e a Confiança Zero, nas outras publicações sobre noções básicas de segurança do AD."

Saiba mais sobre a segurança do controlador de domínio e a segurança do AD