No meu dia a dia como consultor eu tenho a oportunidade de conhecer muita gente e conversar muito sobre os desafios que essas pessoas enfrentam para manter seus ambientes do Active Directory em funcionamento e é claro em segurança. Não é uma tarefa muito fácil e em muitos casos existem alguns pontos que talvez passem despercebidos do plano de gerenciamento do Active Directory. Por isso eu vou elencar aqui 10 perigos mais comuns para a segurança do seu ambiente do AD e é claro que a lista não está completa, existem muitos outros problemas e situações que podem ser uma brecha de segurança, mas tenho certeza que essa lista reflete os problemas mais comuns do dia a dia das empresas. Espero que não encontre nenhuma dessas situações no seu ambiente.

1. Next, Next Finish

Instalar um sistema e deixar ele padrão é um enorme risco. Ainda mais se tratando do AD. Lembra dos cursos da Microsoft ? O bom e velho Microsoft Official Curriculum (MOC) ? Bom, por mais incrível que pareça, as configurações básicas da instalação do AD é ainda muito utilizada. inclusive aquela senha maneira P@ssw0rd. O maior problema das configurações padrões é o sistema deve ser interoperável e manter a compatibilidade com sistemas legados e por isso muitas politicas de segurança não estão habilitadas. Fuja das configurações padrões.

2.  Controladores de domínio sem atualização

Aquela historio que se está funcionando não mexe é coisa do passado. Outra coisa que eu vejo muito no dia a dia é um medo incrível de reiniciar servidor do AD. Se existem as replicas e sua rede do AD está bem configurada não tem porque temer um reboot.

3.  Domain Admins

O grupo Domain Admin é um dos grupos com maior podem em um domínio do Active Directory. Se você administra o AD vc deve ter uma conta de administração e esta estar no grupo de “Administradores” e já está bom demais.  O grupo Domain Admin é por padrão, membro dos grupos de administradores locais em todos os servidores membros e estações de trabalho em seus respectivos domínios. O certo seria remover todos os membros do grupo, menos o administrador do domínio.

4. Mesma senha de Adminstrador Local

Essa é fácil de achar.  Contas locais permitem logar localmente e para fazer certas configurações ou o admin está usando uma conta com muitos privilégios atribuídos (Grupo Domin Admins) ou loga localmente com uma conta de administrador que é muito comum, da mesma forma que é muito comum ter a mesma senha em de admin em todas as estações. Ai se um atacante tem acesso a uma maquina ele inicia o que chamamos de movimentação lateral e então o risco de comprometer contas ou recursos sensíveis é muito alto. Já fiz um vídeo sobre o LAPS, vale a pena conhecer e ajuda a mitigar esse problema.

5. Usar GPP (Group Policy Preferences) para gerenciar credenciais

A principio é tentador, mas o preço é alto. Os dados de configuração de GPP são armazenados em um arquivo XML no SYSVOL e todos os usuários autenticados no domínio têm acesso de leitura a esses arquivos. A senha armazenada nesse XML no campo  cpassword é a senha, porém a a senha criptografada com AES de 256-bit e codificada em base64.  Tudo o que o atacante tem que fazer é decodificar de Base64 e, em seguida, descriptografar usando a chave que está disponível no site do MSDN 

Como eu escrevi anteriormente, espero que nenhum desses itens seja parte do seu ambiente, mas se for, ainda dá tempo de mudar.

Obrigado, e até o próximo.
Daniel Donda