Por que os grupos de segurança são essenciais?
Os grupos de segurança no Active Directory (AD) reúnem usuários, computadores e outros grupos para que os administradores possam gerenciá-los simultaneamente. As permissões de acesso a vários recursos no domínio podem ser atribuídas por meio de grupos de segurança. Elas também são utilizadas para atribuir direitos de usuário por meio de configurações da Política de Grupo. Isso torna-os suscetíveis a ataques de invasores que buscam comprometer informações fundamentais da sua empresa. Aqui estão cinco melhores práticas para grupos de segurança do Active Directory para ajudar a garantir um ambiente do AD seguro.
As cinco principais melhores práticas para grupos de segurança do AD
Utilizar aninhamento de grupos
O processo de tornar um grupo do AD membro de outro é chamado de aninhamento. A estratégia de aninhamento de grupo de AGDLP e AGUDLP da Microsoft designa grupos globais como grupos de contas contendo contas de usuário e grupos locais de domínio como grupos de recursos para atribuir permissões a recursos. Grupos universais podem ser utilizados para conceder permissões entre domínios em ambientes de vários domínios. Essa estratégia estabelece controle de acesso baseado na função e simplifica o gerenciamento de acesso, pois os usuários e suas permissões são tratados separadamente.
AGDLP – Contas, grupos globais, grupos locais de domínio, permissões AGUDLP – Contas, grupos globais, grupos universais, grupos locais de domínio, permissõesSeguir convenções de nomenclatura
Usar convenções de nomenclatura padrão em um domínio é fundamental para a administração da rede. Os nomes dos seus grupos de segurança devem deixar clara a finalidade de cada grupo e permissões associadas. Por exemplo, pegue o nome LD-Marketing-R. Este nome preciso descreve o escopo do grupo (DL-Domínio Local/G-Global/U-Universal), a função de seus membros e permissões atribuídas ao grupo (L-Leitura/A-Alteração).
Seguir o princípio do menor privilégio
No AD, é fundamental que os administradores acompanhem os usuários e seus privilégios. Embora os grupos de segurança facilitem a atribuição de permissões a muitos objetos simultaneamente, no mínimo essas permissões devem ser mantidas. Além dos administradores, os usuários geralmente não exigem acesso de Controle Total a um recurso. Tome cuidado ao atribuir permissões a grupos de segurança para garantir que os membros tenham margem de manobra suficiente para concluir as tarefas atribuídas.
Reduzir os extras
Ao gerenciar grupos de segurança, é importante garantir que um usuário não faça parte de muitos grupos. Durante o login, o ticket de sessão do usuário é montado, contendo o SID do usuário, bem como os SIDs de todos os grupos de segurança aos quais o usuário pertence. Quando um usuário é membro de muitos grupos (mais de 1.015), isso pode levar ao inchaço do token, onde o token Kerberos torna-se muito grande para o Windows manusear, causando falha na autenticação. Em grandes ambientes de TI, recomendamos que você siga um controle de acesso baseado na função e reduza a participação de usuários individuais em grupos.
Acompanhar a mudanças em grupos privilegiados
Esteja sempre atento a atividades suspeitas monitorando seus grupos de segurança do AD constantemente. Os grupos de segurança padrão cujos direitos e privilégios são suficientemente extensos para realizar mudanças no domínio ou até mesmo em toda a floresta, como os grupos de Admin de Domínio e Admin Corporativo, precisam de um exame mais detalhado. Quaisquer mudanças não autorizadas na associação a esses grupos privilegiados podem significar que a segurança da sua rede está comprometida.
Related Best Practices
Simplifique a auditoria do AD com o
using ADAudit Plus
O uso de ferramentas nativas para analisar o enorme volume de logs de auditoria gerados todos os dias pode ser desgastante para qualquer equipe de segurança. O ADAudit Plus da ManageEngine é uma ferramenta de auditoria de alterações orientada por UBA que oferece visibilidade completa do ambiente do AD. O ADAudit Plus fornece relatórios abrangentes de auditoria de alterações para ajudar a garantir que seu AD, servidores Windows, servidores de arquivos e estações de trabalho estejam seguros e em conformidade.
Faça o download de uma avaliação gratuita de 30 diasEmpresas que confiam no ADAudit Plus
Atenda a todas as necessidades de auditoria e segurança de TI
com o ADAudit Plus.
- Active Directory
- Servidores de arquivos
- Servidor Windows
- Workstation
- Conformidade
- Produtos relacionados
- Monitoramento do Active Directory
- Auditoria de mudança do Active Directory
- Analisador de bloqueio de conta
- Auditoria do Azure AD
- Monitoramento da área de trabalho remota
- Software para monitoramento de login
- Rastreador de logon/logoff do AD
- Auditoria das falhas de logon do usuário
- Ferramenta de rastreamento do histórico de login
- Relatórios de auditoria de logon do usuário
- Auditoria e geração de relatórios do AD
- Auditoria do servidor de arquivos do Windows
- Monitoramento de acesso de arquivos
- Monitoramento da integridade do arquivo
- Gerenciamento de acesso e identidade integrado (AD360)
- Gerenciamento de senhas por autoatendimento
- Ferramenta de backup e recuperação do Active Directory
- Solução de auditoria e gerenciamento do SharePoint
- Todas as ferramentas do Windows AD
- Mitigação abrangente de ameaças e SIEM (Log360)
- Solução de relatórios e análise de log em tempo real
- Auditoria e geração de relatórios do Exchange Server
- Segurança na nuvem e gerenciamento de logs
- Relatórios e gerenciamento do Active Directory
- Ferramenta de auditoria e gerenciamento do Microsoft 365
- Auditoria e descoberta de dados no servidor de arquivos
- Ferramentas gratuitas do Active Directory