Sean Deuby | Tecnólogo principal

Deve actualizar a sua floresta AD existente para o Active Directory do Windows Server 2016 (também conhecido como AD 2016) ou deve deixá-la onde está? Apesar do foco e da atividade em torno da adoção de serviços em nuvem hoje, o fato é que o Active Directory continua a sustentar tudo isso. Além do domínio de longa data como fonte de identidade no local, a grande maioria das organizações de médio porte e corporativas em todo o mundo usa um modelo de identidade híbrido, originado pelo AD, para seus serviços em nuvem. Como resultado, esta é uma questão importante.

Uma das principais razões pelas quais os departamentos de TI não actualizaram o seu ambiente AD para o Windows Server 2016 a partir de sistemas operativos de suporte intermédios, como o Windows Server 2012 ou R2, é porque não consideram que exista uma "funcionalidade de herói" clara e convincente, como a Reciclagem do AD, que justifique a actualização. Se for um deles, deve analisar atentamente o Windows Server 2016.

Vamos utilizar cenários - exemplos empresariais e técnicos de ambientes e necessidades que também poderá ter - para analisar as principais melhorias de segurança do Active Directory e do SO do Windows Server desde o 2008 R2. Algum destes cenários corresponde à sua organização?

Se virtualizar os seus DCs

A virtualização tem sido difundida há muitos anos, mas a virtualização de DCs muitas vezes ficou atrás de outras cargas de trabalho por alguns bons motivos: integridade e segurança. Se virtualizou alguns ou todos os seus DCs, existem grandes melhorias de integridade e segurança no SO básico do Windows Server 2016 e no AD que deve aproveitar imediatamente.

Um problema com a virtualização de um aplicativo como o AD que mantém o controle de seu estado é que, se restaurado de um instantâneo de VM tirado anteriormente, o DC restaurado não percebe que está fora de sincronia com seus colegas DCs. Esta condição pode causar erros de divergência graves no seu domínio ou floresta. O Windows Server 2012 introduziu uma funcionalidade no AD e no Hyper-V, o VM-GenID, que essencialmente diz ao AD que foi restaurado a partir de um instantâneo e que deve tomar as medidas adequadas para se proteger.

Tendo sido alertado para o restauro do instantâneo, o CD descarta o seu conjunto de RID e repõe o ID de invocação (o número da versão da base de dados do AD) para evitar problemas de divergência. (No entanto, continua a não ser uma boa ideia restaurar regularmente os DCs a partir de instantâneos). O VMware, o Xen e outros fornecedores de virtualização também adoptaram este método, pelo que os seus DCs não têm necessariamente de estar no Hyper-V.

Se os seus DCs estão actualizados para o Windows Server 2012 ou 2012 R2 e ainda não virtualizou os seus DCs devido a preocupações de segurança relacionadas com os seus servidores anfitriões, o Windows Server 2016 tem uma funcionalidade importante para si. O mais recente sistema operativo resolve um problema de segurança fundamental com qualquer VM: qualquer pessoa com direitos de administrador para a máquina anfitriã pode simplesmente copiar os ficheiros da VM para fora do anfitrião e pirateá-los à vontade. Um DC é um alvo privilegiado para este ataque porque, como é óbvio, contém os IDs de utilizador e as palavras-passe de todos na empresa. A funcionalidade Shielded VMs protege as máquinas virtuais de administradores comprometidos ou maliciosos, tais como administradores de armazenamento, administradores de cópias de segurança, etc., encriptando o disco e o estado das máquinas virtuais para que apenas os administradores de VM ou de inquilinos possam aceder aos mesmos.

Apoiar os seus clientes num mundo híbrido

Uma organização não existe apenas nos seus servidores, como é óbvio. Os clientes com que os utilizadores interagem também são importantes. Tradicionalmente, as TI só tinham de se preocupar com os clientes Windows ligados ao domínio, mas actualmente os utilizadores empresariais têm uma grande variedade de escolha. Ao longo de várias versões, o AD adaptou-se para lidar com esta maior variedade.

Se a sua organização está a adoptar a "transformação digital" dos serviços na nuvem, em particular o Azure Active Directory com clientes Windows 10, existe um cenário em que precisa de analisar melhor o AD 2016. Em primeiro lugar, um pequeno histórico sobre o suporte a dispositivos no AD ajudará a entender o cenário.

Historicamente, o Active Directory tem suportado dispositivos Windows ligados ao domínio. A partir do Windows Server 2012 R2, o AD também permitiu que um utilizador efectuasse um registo (pode pensar nisso como uma associação ligeira) de um dispositivo móvel, como um smartphone. Esta capacidade de associação ao local de trabalho confere ao dispositivo uma presença no AD e associa-o a um utilizador. Esta associação confere ao dispositivo um grau de confiança superior ao de um dispositivo desconhecido, pelo que lhe pode ser concedido um início de sessão único e acesso a recursos de rede mais seguros.

O irmão mais novo e robusto do AD na nuvem, o Azure AD, também suporta estes dois tipos de dispositivos. Pode associá-los directamente ao serviço na nuvem utilizando a associação ao Azure AD para dispositivos Windows 10 e o registo no Intune para dispositivos iOS, Android e Mac OS. Esta arquitectura confusa torna-se ainda mais confusa num ambiente híbrido com clientes Windows 7 e 8 no local; o Azure AD pode ser informado sobre eles através de uma junção híbrida do Azure AD, que é necessária para aplicar políticas de acesso condicional com conhecimento do dispositivo.

Está a pensar no Windows Hello para Empresas para fornecer uma autenticação segura para além das palavras-passe? De imediato, o Hello dá-lhe a capacidade de desbloquear o seu dispositivo Windows 10 utilizando uma biometria ou um PIN. O Hello para Empresas é uma estrutura MFA mais ampla que utiliza chaves assimétricas (armazenadas no módulo de segurança de um dispositivo) para autenticar o utilizador. Existe um cenário de MFA num ambiente híbrido Active Directory/Azure AD no local em que necessita do AD 2016 e do AD FS 2016. Falarei sobre os motivos para considerar a actualização para o AD FS 2016 numa futura publicação no blogue.

Melhor segurança

Independentemente das melhorias do AD, há vantagens de segurança que ganhará ao actualizar o seu sistema operativo Windows Server 2016 subjacente. Se por acaso ainda estiver a utilizar o 2008 R2, quando fizer a actualização, ganhará uma IU para a Reciclagem do AD que a torna muito mais fácil de utilizar. Pode também começar a colmatar uma falha de segurança de longa data: palavras-passe antigas e imutáveis nas suas contas de serviço: as contas de serviço geridas por grupos (gMSA) actualizam automaticamente a palavra-passe destas contas por si, mesmo que sejam utilizadas num cluster.

Se já estiver a utilizar o 2012 R2, o Windows Server 2016 tem algumas melhorias de segurança a considerar. O Windows Defender Credential Guard e o Remote Guard protegem as credenciais NTLM e Kerberos no AD de serem recolhidas por atacantes e utilizadas para ataques pass-the-hash. O Controlo de Aplicações do Windows Defender protege a integridade do SO de base, permitindo que apenas determinadas aplicações sejam executadas (também conhecido como lista branca) - uma excelente medida de segurança para um servidor que executa uma carga de trabalho dedicada, como o AD.

Gestão de Acesso Privilegiado para AD

Se você tiver uma diretiva para realmente bloquear suas contas administrativas do AD, o AD 2016 também apresenta o PAM ( Privileged Access Management ). Em conjunto com uma implantação MIM dedicada, o PAM é uma floresta especial, altamente segura e "vermelha" que você cria e que controla os grupos administrativos de uma floresta AD de destino.

O AD 2016 tem actualizações para grupos de segurança, denominados shadow principals, que permitem que os grupos de administradores na floresta de destino sejam "sombreados" para a floresta vermelha através de uma nova forma de confiança na floresta. Quando uma conta de administrador na floresta vermelha é adicionada a um grupo de administradores "sombreado" nessa floresta, ganha o mesmo SID que o grupo de administradores e, por conseguinte, os mesmos direitos. Com esta capacidade implementada, as contas administrativas são removidas da floresta de destino e só existem na floresta vermelha protegida.

O AD 2016 também tem actualizações para o protocolo Kerberos que permitem que a associação a grupos (armazenada no campo PAC do bilhete Kerberos) seja limitada no tempo. Quando combinados com os shadow principals e o fluxo de trabalho de pedido de acesso incorporado no MIM, os administradores podem pedir e receber direitos de administrador (através da associação a grupos) durante um período de tempo especificado. Quando o tempo expira, estes direitos são automaticamente revogados.

Razões para ficar onde está

Francamente, não há muitas razões para permanecer num AD de nível inferior.

Se tiver uma floresta de teste numa rede isolada, executada em DCs físicos, que não suporta dispositivos cliente, talvez possa adiar um pouco.

Talvez o orçamento seja um problema neste momento. A sua gestão precisa de ver o panorama geral: a maioria das empresas tem muito menos de cinquenta DCs. O custo do licenciamento, da actualização e da implementação de novas capacidades nestes servidores é trivial quando comparado com o custo de uma violação resultante da obtenção de credenciais de domínio de versões mais antigas do AD.

A compatibilidade do AD com aplicações muito antigas ou software cliente incorporado antigo que executa hardware muito dispendioso, como equipamento de fabrico computorizado, pode ser uma questão mais complicada. Mas o 2008 R2 não será viável por muito mais tempo: o fim do suporte (com o SP1 aplicado, note-se) ocorre a14 de Janeiro de 2020. Isso é apenas um ano e quatro meses de distância. O fim do suporte significa que a Microsoft deixará de fornecer actualizações de segurança, um serviço essencial no actual mundo de vulnerabilidades e correcções. As florestas 2012 e 2012 R2 têm mais tempo: 10 de outubro de 2023. (Observe que tanto o 2012 quanto o R2 têm a mesma data de fim de suporte).

Recomendações

As minhas recomendações são:

  • Se os seus DCs estiverem a executar o 2008 R2, independentemente dos cenários acima referidos, deve planear as suas actualizações e efectuar imediatamente testes de compatibilidade de aplicações.
  • Para os utilizadores de 2012 ou 2012 R2, a virtualização e as melhorias de segurança do SO de nível básico justificam uma actualização. Também vai querer trabalhar com as equipas de engenharia e segurança do servidor como parte interessada para impulsionar a implementação das melhorias de segurança de 2016 na imagem de compilação da plataforma normalizada. Os problemas de compatibilidade de aplicações devem ser menores.
  • A menos que se enquadre no cenário híbrido especial do Hello for Business, as melhorias na gestão de dispositivos não serão um forte impulsionador do AD 2016.

Se analisarmos com atenção a questão da actualização para o AD 2016 e da manutenção do sistema, para além da compatibilidade das aplicações, não existem motivos válidos para não actualizar. Provavelmente, a principal razão para não fazer a actualização é a complacência: está a funcionar bem como está. Mas as melhorias de segurança no sistema operativo de base e no AD irão aumentar significativamente a protecção da sua organização contra os atacantes. E isso significa que deve começar a planear as suas actualizações hoje mesmo.