Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Lei #3: Se um agente mal-intencionado tem acesso físico irrestrito ao seu computador, ele não é mais o seu computador. - dez Leis Imutáveis de Segurança (Versão 2.0).
Os controladores de domínio fornecem o armazenamento físico para o banco de dados dos Serviços de Domínio Ative Directory (AD DS), além de fornecer os serviços e dados que permitem que as empresas gerenciem efetivamente seus servidores, estações de trabalho, usuários e aplicativos. Se o acesso privilegiado a um controlador de domínio for obtido, um usuário mal-intencionado poderá modificar, corromper ou destruir o banco de dados do AD DS e, por extensão, todos os sistemas e contas gerenciados pelo Ative Directory.
Como os controladores de domínio podem ler e gravar em qualquer coisa no banco de dados do AD DS, o comprometimento de um controlador de domínio significa que sua floresta do Ative Directory nunca mais poderá ser considerada confiável, a menos que você possa recuperá-la usando um backup em boas condições e fechar as lacunas que permitiram o comprometimento.
Dependendo da preparação, ferramentas e habilidade de um atacante, danos irreparáveis podem ser concluídos em minutos ou horas, não dias ou semanas. O que importa não é por quanto tempo um invasor tem acesso privilegiado ao Ative Directory, mas quão preparado ele está no momento do acesso privilegiado. Comprometer um controlador de domínio pode fornecer o caminho mais direto para a destruição de servidores membros, estações de trabalho e Active Directory. Devido a essa ameaça, os controladores de domínio devem ser protegidos separadamente e de forma mais rigorosa do que a infraestrutura geral.
Segurança física para controladores de domínio
Esta seção fornece informações sobre como proteger fisicamente os controladores de domínio. Os controladores de domínio podem ser máquinas físicas ou virtuais, em datacenters, filiais ou locais remotos.
Controladores de domínio de datacenter
Controladores de domínio físico
Em datacenters, os controladores de domínio físico devem ser instalados em racks ou gaiolas seguras dedicadas separadas da população geral de servidores. Sempre que possível, os controladores de domínio devem ser configurados com chips TPM (Trusted Platform Module) e todos os volumes nos servidores do controlador de domínio devem ser protegidos por meio da Criptografia de Unidade de Disco BitLocker. O BitLocker adiciona uma pequena quantidade de sobrecarga de desempenho, mas protege o diretório contra comprometimento, mesmo que os discos sejam removidos do servidor. O BitLocker também pode ajudar a proteger os sistemas contra ataques como rootkits porque a modificação dos arquivos de inicialização faz com que o servidor inicialize no modo de recuperação para que os binários originais possam ser carregados. Se um controlador de domínio estiver configurado para usar RAID de software, SCSI com conexão serial, armazenamento SAN/NAS ou volumes dinâmicos, o BitLocker não poderá ser implementado, portanto, o armazenamento conectado localmente (com ou sem RAID de hardware) deverá ser usado em controladores de domínio sempre que possível.
Controladores de domínio virtual
Se você implementar controladores de domínio virtual, deverá garantir que os controladores de domínio também sejam executados em hosts físicos separados de outras máquinas virtuais no ambiente. Mesmo se você usar uma plataforma de virtualização que não seja da Microsoft, considere implantar controladores de domínio virtual em Hyper-V no Windows Server. Essa configuração fornece uma superfície de ataque mínima e pode ser gerenciada com os controladores de domínio que hospeda, em vez de ser gerenciada com o restante dos hosts de virtualização. Se você implementar o System Center Virtual Machine Manager (SCVMM) para o gerenciamento de sua infraestrutura de virtualização, poderá delegar a administração dos hosts físicos nos quais as máquinas virtuais do controlador de domínio residem, e os próprios controladores de domínio, a administradores autorizados. Você também deve considerar a separação do armazenamento de controladores de domínio virtual para impedir que os administradores de armazenamento acessem os arquivos da máquina virtual.
Note
Se você pretende colocalizar controladores de domínio virtualizados com outras máquinas virtuais menos confidenciais nos mesmos servidores de virtualização física (hosts), considere implementar uma solução que imponha a separação de tarefas baseada em função, como VMs blindadas no Hyper-V. Essa tecnologia oferece proteção abrangente contra administradores de malha mal-intencionados ou desinformados (incluindo administradores de virtualização, rede, armazenamento e backup). Ele usa raiz física de confiança com atestado remoto e provisionamento seguro de VM e garante efetivamente um nível de segurança igual ao de um servidor físico dedicado.
Localizações das sucursais
Controladores de domínio físico em filiais
Em locais onde vários servidores residem, mas não estão fisicamente protegidos na medida em que os servidores de datacenter estão protegidos, os controladores de domínio físico devem ser configurados com chips TPM e Criptografia de Unidade de Disco BitLocker para todos os volumes de servidor. Se um controlador de domínio não puder ser armazenado em uma sala trancada em filiais, considere implantar Read-Only Controladores de Domínio (RODCs) nesses locais.
Controladores de domínio virtual em filiais
Sempre que possível, você deve executar controladores de domínio virtuais em filiais em hosts físicos separados das outras máquinas virtuais no site. Em filiais onde os controladores de domínio virtual não podem ser executados em hosts físicos separados do restante da população de servidores virtuais, você deve implementar chips TPM e Criptografia de Unidade de Disco BitLocker em hosts nos quais os controladores de domínio virtual são executados, no mínimo, e em todos os hosts, se possível. Dependendo do tamanho da filial e da segurança dos hosts físicos, você deve considerar a implantação de RODCs em filiais.
Locais remotos com espaço e segurança limitados
Se sua infraestrutura incluir locais onde apenas um único servidor físico pode ser instalado, um servidor capaz de executar cargas de trabalho de virtualização deverá ser instalado e a Criptografia de Unidade de Disco BitLocker deverá ser configurada para proteger todos os volumes no servidor. Uma máquina virtual no servidor deve ser executada como um RODC e outros servidores devem ser executados como máquinas virtuais separadas no host. Informações sobre o planejamento da implantação de RODCs são fornecidas no Guia de Planejamento e Implantação do Controlador de DomínioRead-Only. Para obter mais informações sobre como implantar e proteger controladores de domínio virtualizados, consulte Executando controladores de domínio no Hyper-V. Para obter orientações mais detalhadas sobre como proteger a segurança do Hyper-V, delegar o gerenciamento de máquinas virtuais e proteger máquinas virtuais, consulte o Guia de SegurançaHyper-V.
Sistemas operacionais do controlador de domínio
Você deve executar todos os controladores de domínio na versão mais recente do Windows Server suportada pela sua organização. As organizações devem priorizar a desativação de sistemas operacionais herdados na população de controladores de domínio. Priorizar a manutenção dos controladores de domínio atualizados e eliminar os controladores de domínio herdados permite que você aproveite as novas funcionalidades e segurança. Essa funcionalidade pode não estar disponível em domínios ou florestas com controladores de domínio executando sistemas operacionais herdados.
Note
Como para qualquer configuração sensível à segurança e de finalidade única, recomendamos que você implante o sistema operacional usando a opção de instalação Server Core . Ele oferece vários benefícios, como minimizar a superfície de ataque, melhorar o desempenho e reduzir a probabilidade de erro humano. Recomendamos que todas as operações e gerenciamento sejam realizados remotamente, a partir de endpoints dedicados e altamente seguros, como estações de trabalho de acesso privilegiado (PAW) ou hosts administrativos seguros.
Configuração segura de controladores de domínio
Você pode usar ferramentas para criar uma linha de base de configuração de segurança inicial para controladores de domínio a serem aplicados com GPOs. Essas ferramentas são descritas em Administrar configurações de diretiva de segurança e Visão geral da Configuração de Estado Desejado.
Restrições do PDR
Os Objetos de Diretiva de Grupo vinculados a todas as UOs do controlador de domínio em uma floresta devem ser configurados para permitir conexões RDP somente de usuários e sistemas autorizados, como servidores de salto. O controlo pode ser conseguido através de uma combinação de definições de direitos de utilizador e da configuração da Firewall do Windows com Segurança Avançada. Esses controles podem ser implementados com GPOs para que a diretiva seja aplicada de forma consistente. Se a diretiva for ignorada, a próxima atualização da Diretiva de Grupo retornará o sistema à sua configuração adequada.
Gerenciamento de patches e configurações para controladores de domínio
Embora possa parecer contraintuitivo, você deve considerar a aplicação de patches em controladores de domínio e outros componentes de infraestrutura crítica separadamente da infraestrutura geral do Windows. Se você usar o software de gerenciamento de configuração empresarial para todos os computadores em sua infraestrutura, o comprometimento do software de gerenciamento de sistemas poderá ser usado para comprometer ou destruir todos os componentes de infraestrutura gerenciados por esse software. Ao separar o gerenciamento de patches e sistemas para controladores de domínio da população em geral, você pode reduzir a quantidade de software instalado nos controladores de domínio, além de controlar rigorosamente seu gerenciamento.
Bloquear o acesso à Internet para controladores de domínio
Uma das verificações realizadas como parte de uma Avaliação de Segurança do Ative Directory é o uso e a configuração de navegadores da Web em controladores de domínio. Nenhum navegador da Web deve ser usado em controladores de domínio. Uma análise de milhares de controladores de domínio revelou inúmeros casos em que usuários privilegiados usaram o Internet Explorer para navegar na intranet ou na internet da organização.
Navegar na Internet ou numa intranet infetada a partir de um dos computadores mais poderosos de uma infraestrutura Windows representa um risco extraordinário para a segurança de uma organização. Seja por meio de uma unidade por download ou por meio do download de "utilitários" infetados por malware, os invasores podem obter acesso a tudo o que precisam para comprometer completamente ou destruir o ambiente do Ative Directory.
Você deve restringir a inicialização de navegadores da Web em controladores de domínio usando controles técnicos e de política. O acesso geral à Internet de e para os controladores de domínio também deve ser rigorosamente controlado.
Incentivamos todas as organizações a mudar para uma abordagem baseada na nuvem para o gerenciamento de identidade e acesso e migrar do Ative Directory para o Microsoft Entra ID. O Microsoft Entra ID é uma solução completa de gerenciamento de identidade e acesso na nuvem para gerenciar diretórios, permitir o acesso a aplicativos locais e na nuvem e proteger identidades contra ameaças à segurança. O Microsoft Entra ID oferece um conjunto robusto e granular de controles de segurança para ajudar a proteger identidades, como autenticação multifator, políticas de Acesso Condicional, proteção de ID, governança de identidade e Gerenciamento Privilegiado de Identidades.
A maioria das organizações opera em um modelo de identidade híbrida durante a transição para a nuvem, onde algum elemento do Ative Directory local é sincronizado por meio do Microsoft Entra Connect. Embora esse modelo híbrido exista em qualquer organização, recomendamos a proteção baseada em nuvem dessas identidades locais por meio do Microsoft Defender for Identity. A configuração do sensor Defender for Identity em controladores de domínio e servidores AD FS permite uma conexão unidirecional segura com a nuvem por meio de um proxy e pontos de extremidade específicos. Para obter uma explicação completa de como configurar essa conexão proxy, consulte a documentação técnica do Defender for Identity. Essa configuração rigorosamente controlada garante que o risco de conectar esses servidores ao serviço de nuvem seja mitigado e que as organizações se beneficiem do aumento dos recursos de proteção oferecidos pelo Defender for Identity. Também recomendamos que você proteja esses servidores com deteção de ponto final alimentada por nuvem, como o Microsoft Defender for Servers.
Para organizações que têm requisitos regulatórios ou outros requisitos orientados por políticas para manter uma implementação local apenas do Ative Directory, recomendamos restringir totalmente o acesso à Internet de e para controladores de domínio.
Restrições de firewall de perímetro
Os firewalls de perímetro devem ser configurados para bloquear conexões de saída de controladores de domínio para a Internet. Embora os controladores de domínio precisem se comunicar entre os limites do site, você pode configurar firewalls de perímetro para permitir a comunicação entre sites seguindo as diretrizes fornecidas em Como configurar um firewall para domínios e relações de confiança do Ative Directory.
Impedindo a navegação na Web a partir de controladores de domínio
Você pode usar uma combinação de configuração do AppLocker, configuração de proxy de "buraco negro" e configuração do Firewall do Windows com Segurança Avançada para impedir que controladores de domínio acessem a Internet e para impedir o uso de navegadores da Web em controladores de domínio.