Avalie, identifique e
mitigue riscos de segurança com os indicadores de risco do ADManager Plus
Governança, riscos e conformidade (GRC) são fundamentais para manter a segurança, garantir a conformidade regulatória e mitigar riscos associados às identidades. Uma avaliação de riscos completa ajuda a identificar vulnerabilidades, como permissões excessivas, mecanismos de autenticação fracos e configurações incorretas que podem ser exploradas por invasores. O ADManager Plus potencializa esse processo ao fornecer indicadores de risco essenciais que permitem às organizações detectar e corrigir lacunas de segurança em seus ambientes do Active Directory (AD) e Microsoft 365. Cada indicador de risco é avaliado considerando seu impacto potencial e probabilidade de ocorrência, possibilitando que a organização concentre esforços nas ameaças e vulnerabilidades mais críticas. Ao utilizar esses indicadores, é possível obter insights acionáveis, corrigir riscos imediatamente e fortalecer de forma significativa a postura geral de segurança.
Usuários
- Usuários
- Computadores
- Controladores
de domínio - Grupos
- GPO
- Segurança
- Generalidades
| Categoria | Indicador de risco | Descrição | Gravidade
| Estrutura |
|---|---|---|---|---|
| Segurança de contas | Usuários inativos Privilégios | Detecta usuários que estiveram inativos por um período específico. As contas de usuário identificadas podem pertencer a ex-colaboradores ou invasores, e suas senhas podem ou não ter expirado. Essas contas estão suscetíveis a ataques Golden Ticket, DCShadow e DCSyn. | Alta | MITRE Attack
ANSSI
|
| Segurança de contas | Usuários que nunca efetuaram logon Privilégios | Detecta contas de usuário cujo atributo lastLogon é igual a 0. Essas contas podem ter sido criadas há alguns dias e nunca utilizadas, podendo conter senhas comuns, padrão ou em branco, tornando-as suscetíveis a ataques de senha. | Alta | MITRE Attack
|
| Segurança de contas | Usuários com senhas não alteradas Privilégios | Identifica usuários que não alteraram suas senhas nos últimos N dias (45 dias por padrão). Essas contas com senhas inalteradas são mais propensas a ataques internos e podem ser comprometidas por password spraying, roubo de credenciais, Kerberoasting e ataques de força bruta, especialmente quando utilizam senhas padrão, comuns ou fracas. | Alta | MITRE Attack
ANSSI
|
| Segurança de senhas e autenticação | Identifica usuários com senhas que nunca expiram Privilégios | Localiza usuários cujas senhas nunca foram configuradas para expirar. Essas contas são suscetíveis a ataques de força bruta e podem resultar em violações e exposição de dados. | Alta | MITRE Attack
ANSSI
|
| Segurança de senhas e autenticação | Usuários com privilégios e senha não obrigatória Privilégios | Identifica os usuários cujo atributo PasswordNotRequired está definido como True. Essas contas podem ser usadas para obter acesso a recursos e dados críticos e também podem gerar problemas de não conformidade e consequências legais. | Crítico | MITRE Attack
|
| Segurança de contas | Usuários desativados Privilégios | Detecta contas de usuário desativadas no domínio. Essas contas geralmente permanecem ativas no diretório para fins de auditoria ou devido à ausência de uma política consistente de exclusão ou desativação. | Baixa | MITRE Attack
|
| Segurança de senhas e autenticação | Membros de grupos privilegiados Privilégios | Localiza membros de grupos privilegiados padrão. As contas identificadas têm maior probabilidade de serem alvo de ataques como DCShadow, DCSync, ameaças internas e tentativas de escalonamento de privilégios. | Baixa | MITRE Attack
|
| Segurança de contas | Usuários com histórico de SID Privilégios | Detecta todos os usuários que possuem valor de histórico de SID. Quando usuários migram entre domínios, eles podem manter privilégios do domínio anterior por meio desse histórico, obtendo acesso que não deveriam ter. A injeção de um SID de alto nível, como o de administradores de domínio, em uma conta de usuário com privilégios menores pode resultar em elevação de privilégios não autorizada, possibilitando controle excessivo sobre recursos sensíveis. | Baixa | MITRE Attack
ANSSI
|
| Segurança de senhas e autenticação | Usuários com pré-autenticação Kerberos desativada Privilégios | Identifica todos os usuários com pré-autenticação Kerberos desativada. Como invasores podem solicitar uma resposta de autenticação criptografada (AS-REP) ao serviço Kerberos, contas com a pré-autenticação desativada representam um risco significativo à segurança. | Alta | MITRE Attack
ANSSI
|
| Segurança de senhas e autenticação | Usuários sem política de senha refinada Privilégios | Detecta todos os usuários sem políticas de senha refinadas aplicadas. Sem essas políticas, invasores podem explorar vulnerabilidades por meio de ataques de força bruta, dicionário e phishing para quebrar senhas, obtendo acesso a informações confidenciais e, potencialmente, causando negação de serviço e ataques man-in-the-middle. | Alta | MITRE Attack
|
| Segurança de senhas e autenticação | Contas com senha armazenada usando criptografia reversível Privilégios | Detecta todas as contas cujas senhas são armazenadas usando criptografia reversível. Essas contas são particularmente vulneráveis, pois as senhas podem ser facilmente descriptografadas, expondo credenciais em texto simples. Essa falha permite que invasores obtenham senhas rapidamente, aumentando o risco de acesso não autorizado e de movimento lateral pela rede. | Alta | MITRE Attack
ANSSI
|
| Segurança de senhas e autenticação | Usuários com criptografia Kerberos DES habilitada Privilégios | Identifica todos os usuários para os quais a criptografia Kerberos DES está habilitada. Essas contas apresentam maior risco de comprometimento, pois o DES é um protocolo de criptografia obsoleto e fraco. Invasores podem explorar esses padrões de criptografia vulneráveis para quebrar credenciais com mais facilidade, obtendo acesso não autorizado a recursos e informações confidenciais. | Alta | MITRE Attack
ANSSI
|
| Delegação e confiança no AD | Contas com SPN (Service Principal Name) Privilégios | Identifica contas de usuário com nomes da entidade de serviço (SPN). Essas contas são alvos frequentes de ataques como o Kerberoasting, em que invasores extraem tickets Kerberos de serviços, realizam a quebra offline e obtêm acesso não autorizado. SPNs mal configurados ou negligenciados podem criar pontos de entrada para invasores, comprometendo a segurança de todo o ambiente do AD. | Baixa | MITRE Attack
ANSSI
|
| Segurança de senhas e autenticação | Contas de usuário com política de senha fraca Privilégios | Detecta contas de usuário com política de senha fraca definida pela política de domínio padrão ou por um objeto de configuração de senha (PSO). Essas contas representam uma ameaça séria à identidade da organização e são alvos frequentes de ataques de força bruta, dicionário e phishing, que permitem a invasores avançar pela rede e roubar informações confidenciais. Esses casos também podem resultar em ataques de negação de serviço e man-in-the-middle. | Média | MITRE Attack
ANSSI
|
| Segurança de senhas e autenticação | Usuários sem MFA - Microsoft 365 Privilégios | Detecta usuários do Microsoft 365 sem MFA habilitada. Essas contas são vulneráveis a diversos tipos de ataque, incluindo password spraying, força bruta, phishing, credential stuffing, man-in-the-middle, sequestro de sessão, malware, captura de senha (sniffing) e engenharia social. | Alta | MITRE Attack
|
| Segurança de identidade privilegiada | Muitos usuários privilegiados - Microsoft 365 Privilégios | Detecta e lista usuários privilegiados do Microsoft 365 quando o número é superior a 10. Um grande número de usuários privilegiados em uma organização aumenta riscos como superfície de ataque ampliada, maior potencial de ameaças internas, desafios de monitoramento, uso indevido, gerenciamento de acesso complexo e sobrecarga de recursos. | Baixa | MITRE Attack
|
| Segurança de identidade privilegiada | Muitos administradores globais - Microsoft 365 Privilégios | Detecta e lista usuários do Microsoft 365 com a função de administrador global. Esses usuários possuem amplo acesso a todos os recursos da organização e, portanto, representam riscos significativos, como maior potencial de uso indevido de privilégios, acesso não autorizado, dificuldade para rastrear alterações e desafios para conformidade e auditoria. Uma conta comprometida também pode ser usada para criar novas contas, alterar permissões ou acessar recursos sem levantar suspeitas. | Média | MITRE Attack
|
| Segurança de contas | Usuários inativos - Microsoft 365 Privilégios | Identifica usuários inativos no Microsoft 365. Se as contas de usuários privilegiados permanecerem inativas, mas não forem devidamente desativadas ou removidas, ainda poderão ter acesso a recursos confidenciais. Esses usuários representam riscos de segurança e conformidade, incluindo acesso não autorizado, vazamento de dados e ataques de phishing. | Alta | MITRE Attack
|
| Segurança de contas | Usuários que nunca efetuaram login - Microsoft 365 Privilégios | Detecta usuários que nunca acessaram nenhum serviço do Microsoft 365. Esses usuários representam um risco significativo se não forem monitorados e podem ser alvo de invasores. Contas comprometidas com privilégios elevados podem resultar em acesso não autorizado a recursos. | Alta | MITRE Attack
|
| Segurança de contas | Usuários bloqueados - Microsoft 365 Privilégios | Detecta contas de usuário do Microsoft 365 bloqueadas. Essas contas permanecem apenas bloqueadas e muitas vezes não são excluídas para fins de auditoria ou por falta de uma política adequada de exclusão ou desativação. No entanto, isso as deixa vulneráveis a serem desbloqueadas por invasores, que podem então acessar recursos. | Alta | MITRE Attack
|
| Segurança de contas | Contas de usuário sincronizadas - Microsoft 365 Privilégios | Identifica contas de usuário do Microsoft 365 sincronizadas a partir do AD local. A sincronização de usuários e grupos do AD local para o Microsoft Entra ID permite acesso unificado, mas representa riscos de segurança se contas privilegiadas, como administradores globais, estiverem incluídas. Uma conta de AD comprometida permite que invasores explorem a conta correspondente no Entra ID, especialmente contas de serviço mais fracas. | Alta | MITRE Attack
|
| Segurança de senhas e autenticação | Usuários com valor AdminCount | Detecta usuários com valor AdminCount. Quando contas de usuário ou grupos apresentam AdminCount definido como 1, mas não estão em grupos privilegiados, isso pode indicar adulteração. Esse atributo pode significar que a conta obteve privilégios elevados por meio do SDProp, permitindo que invasores mantenham acesso oculto. | Baixa | |
| Segurança de contas | Usuários inativos | Detecta usuários que estiveram inativos por um período específico. As contas de usuário identificadas podem pertencer a ex-colaboradores ou invasores, e suas senhas podem ou não ter expirado. Essas contas estão suscetíveis a ataques Golden Ticket, DCShadow e DCSync. | Alta | MITRE Attack
ANSSI
|
| Segurança de contas | Usuários desativados | Detecta contas de usuário desativadas no domínio. Essas contas geralmente permanecem ativas no diretório para fins de auditoria ou devido à ausência de uma política consistente de exclusão ou desativação. | Baixa | NA* |
| Segurança de contas | Usuários com senha não alterada | Identifica usuários que não alteraram suas senhas nos últimos N dias (45 dias por padrão). Essas contas com senhas inalteradas são mais propensas a ataques internos e podem ser comprometidas por password spraying, roubo de credenciais, Kerberoasting e ataques de força bruta, especialmente quando utilizam senhas padrão, comuns ou fracas. | Média | MITRE Attack
|
| Segurança de contas | Usuários que nunca efetuaram login | Detecta contas de usuário cujo atributo lastLogon é igual a 0. Essas contas podem ter sido criadas há alguns dias e nunca utilizadas, podendo conter senhas comuns, padrão ou em branco, tornando-as suscetíveis a ataques de senha. | Média | MITRE Attack
|
| Segurança de senhas e autenticação | Usuários com senha não obrigatória habilitada | Identifica os usuários cujo atributo PasswordNotRequired está definido como True. Essas contas podem ser usadas para obter acesso a recursos e dados críticos e também podem gerar problemas de não conformidade e consequências legais. | Alta | MITRE Attack
ANSSI |
| Segurança de senhas e autenticação | Usuários cuja senha nunca expira | Localiza usuários cujas senhas nunca foram configuradas para expirar. Essas contas são suscetíveis a ataques de força bruta e podem resultar em violações e exposição de dados. | Média | MITRE Attack
ANSSI
|
| Segurança de contas | Usuários com histórico de SID | Detecta todos os usuários que possuem valor de histórico de SID. Quando usuários migram entre domínios, eles podem manter privilégios do domínio anterior por meio desse histórico, obtendo acesso que não deveriam ter. A injeção de um SID de alto nível, como o de administradores de domínio, em uma conta de usuário com privilégios menores pode resultar em elevação de privilégios não autorizada, possibilitando controle excessivo sobre recursos sensíveis. | Baixa | MITRE Attack
|
| Segurança de senhas e autenticação | Usuários com pré-autenticação Kerberos desativada | Identifica todos os usuários com pré-autenticação Kerberos desativada. Como invasores podem solicitar uma resposta de autenticação criptografada (AS-REP) ao serviço Kerberos, contas com a pré-autenticação desativada representam um risco significativo à segurança. | Média | MITRE Attack
|
| Segurança de senhas e autenticação | Contas com senha armazenada usando criptografia reversível | Detecta todas as contas cujas senhas são armazenadas usando criptografia reversível. Essas contas são particularmente vulneráveis, pois as senhas podem ser facilmente descriptografadas, expondo credenciais em texto simples. Essa falha permite que invasores obtenham senhas rapidamente, aumentando o risco de acesso não autorizado e de movimento lateral pela rede. | Média | MITRE Attack
ANSSI
|
| Segurança de senhas e autenticação | Usuários com criptografia Kerberos DES habilitada | Identifica todos os usuários para os quais a criptografia Kerberos DES está habilitada. Essas contas apresentam maior risco de comprometimento, pois o DES é um protocolo de criptografia obsoleto e fraco. Invasores podem explorar esses padrões de criptografia vulneráveis para quebrar credenciais com mais facilidade, obtendo acesso não autorizado a recursos e informações confidenciais. | Média | MITRE Attack
ANSSI
|
| Segurança de senhas e autenticação | Contas de usuário com política de senha fraca | Detecta contas de usuário com política de senha fraca definida pela política de domínio padrão ou por um objeto de configuração de senha (PSO). Essas contas representam uma ameaça séria à identidade da organização e são alvos frequentes de ataques de força bruta, dicionário e phishing, que permitem a invasores avançar pela rede e roubar informações confidenciais. Esses casos também podem resultar em ataques de negação de serviço e man-in-the-middle. | Média | MITRE Attack
|
| Segurança de senhas e autenticação | Usuários sem MFA - Microsoft 365 | Detecta usuários do Microsoft 365 sem MFA habilitada. Essas contas são vulneráveis a diversos tipos de ataque, incluindo password spraying, força bruta, phishing, credential stuffing, man-in-the-middle, sequestro de sessão, malware, captura de senha (sniffing) e engenharia social. | Média | MITRE Attack
|
| Segurança de contas | Usuários inativos - Microsoft 365 | Identifica usuários inativos no Microsoft 365. Se as contas de usuários privilegiados permanecerem inativas, mas não forem devidamente desativadas ou removidas, ainda poderão ter acesso a recursos confidenciais. Esses usuários representam riscos de segurança e conformidade, incluindo acesso não autorizado, vazamento de dados e ataques de phishing. | Média | MITRE Attack
|
| Segurança de contas | Usuários que nunca efetuaram login - Microsoft 365 | Detecta usuários que nunca acessaram nenhum serviço do Microsoft 365. Esses usuários representam um risco significativo se não forem monitorados e podem ser alvo de invasores. Contas comprometidas com privilégios elevados podem resultar em acesso não autorizado a recursos. | Média | MITRE Attack
|
| Segurança de contas | Usuários bloqueados - Microsoft 365 Privilégios | Detecta contas de usuário do Microsoft 365 bloqueadas. Essas contas permanecem apenas bloqueadas e, muitas vezes, não são excluídas para fins de auditoria ou por falta de uma política adequada de exclusão ou desativação. No entanto, isso as deixa vulneráveis a serem desbloqueadas por invasores, que podem então acessar recursos. | Baixa | MITRE Attack
|
| Categoria | Nome do indicador | Probabilidade de comprometimento | Gravidade
| Estrutura |
|---|---|---|---|---|
| Segurança de contas | Computadores desativados | Detecta todos os computadores desativados em um domínio do AD. É provável que sejam comprometidos por ataques de roubo de credenciais para obter privilégios administrativos e sirvam como superfícies de ataque, permitindo acesso não autorizado a recursos e serviços da rede. | Baixa | NA* |
| Segurança de contas | Computadores inativos | Identifica computadores habilitados que estiveram inativos nos últimos N dias (90 dias por padrão). Objetos de computador obsoletos ocupam espaço e podem afetar o desempenho. Também servem como superfícies de ataque para invasores que buscam uma forma de acessar a rede. Essas contas podem não receber atualizações de segurança regularmente, ficando suscetíveis a vulnerabilidades. | Média | MITRE Attack
ANSSI
|
| Delegação e confiança no AD | Computadores confiáveis com delegação irrestrita | Detecta computadores confiáveis com delegação Kerberos irrestrita. Administradores podem ter ativado acidentalmente a opção “Trust this computer for delegation” (somente delegação Kerberos) ou desconhecer os riscos que a delegação irrestrita representa. Invasores podem acessar diretamente os recursos e aplicativos associados à conta comprometida e até obter todos os tokens de autenticação nela armazenados, usando-os para se mover lateralmente e tentar comprometer todo o domínio. Esses computadores têm maior probabilidade de serem comprometidos por ataques Pass-the-Ticket e Silver Ticket. | Alta | MITRE Attack
ANSSI
|
| Configurações de controladores de domínio e servidores | Computadores executando versões de sistemas operacionais obsoletas | Detecta computadores que executam versões obsoletas de sistemas operacionais. Esses computadores podem estar fora de uso ou permanecer em operação para reduzir custos de atualização. São facilmente exploráveis, suscetíveis a vulnerabilidades de segurança e podem não oferecer suporte aos softwares e aplicativos mais recentes. | Crítico | MITRE Attack
|
| Configurações de controladores de domínio e servidores | Computadores com BitLocker desativado | Detecta computadores com BitLocker desativado em um domínio do AD. Esses computadores podem conter dados não criptografados e serem acessados por qualquer pessoa com acesso físico a eles. Computadores comprometidos podem facilitar o roubo de dados e sofrer ataques de Cold Boot. Dispositivos perdidos ou roubados com a criptografia de unidade BitLocker desativada correm risco de roubo, adulteração e exposição de dados. | Alta | MITRE Attack
|
| Segurança de contas | Contas de computador com senha não alterada | Localiza contas de computador cujas senhas não foram alteradas nos últimos N dias (90 dias por padrão). São mais propensas a ataques internos e podem ser comprometidas por password spraying, roubo de credenciais, Kerberoasting e ataques de força bruta. Contas comprometidas podem permitir que invasores acessem recursos e dados confidenciais. | Média | MITRE Attack
|
| Segurança de contas | Servidores com senha não alterada | Identifica servidores cujas senhas não foram atualizadas no período configurado. Esses servidores podem ser explorados por vulnerabilidades como ataques Pass-the-Hash, Pass-the-Ticket e execução remota de código (RCE), que exploram autenticação fraca para obter acesso administrativo. | Alta | MITRE Attack
ANSSI
|
| Delegação e confiança no AD | Delegação restrita com transição de protocolo para um serviço privilegiado | Identifica computadores com delegação restrita que utilizam transição de protocolo definida para um serviço privilegiado. Um computador comprometido pode permitir que um invasor interaja com outros serviços, levando a acesso não autorizado, roubo de dados ou escalonamento de privilégios. Além disso, transições Kerberos mal gerenciadas podem criar falhas nos processos de autenticação, comprometendo a segurança geral do ambiente AD. | Alta | MITRE Attack
ANSSI
|
| Configurações de controladores de domínio e servidores | Servidores com SMB versão 1.0 | Localiza servidores que utilizam SMB versão 1.0 em um domínio do AD. O SMB versão 1 (SMBv1) é um protocolo antigo (descontinuado pela Microsoft em 2014), considerado inseguro e suscetível a diversos tipos de ataque. Computadores que usam a versão 1 do SMB para compartilhamento de arquivos não contam com proteções essenciais, como criptografia, integridade de pré-autenticação, logins de convidado seguros e assinatura de mensagens aprimorada, disponíveis nas versões mais recentes. Invasores podem explorar essas falhas para assumir o controle dos computadores por sessões remotas, causando perda de dados. | Alta | MITRE Attack
|
| Configurações de controladores de domínio e servidores | Computadores com ID de grupo primário anômalo | Identifica contas de computador com ID de grupo primário anômalo. Normalmente, o grupo primário definido durante a criação de um computador no AD é "Domain Computers" (PGID=515). Invasores podem modificar o PGID de um objeto de computador comprometido ou usar contas de computador com PGID alterado para fazer parte de grupos privilegiados. Isto concede altos privilégios, permitindo avançar mais ainda na rede e expondo a organização a roubo de dados e outros ataques cibernéticos. | Média | MITRE Attack
ANSSI
|
| Configurações de controladores de domínio e servidores | Computadores com ID de grupo primário ilegível | Lista computadores sem permissão de leitura do ID de grupo primário. IDs de grupo primário ilegíveis podem levar administradores a conceder permissões e privilégios excessivos para uma conta de computador. Se agentes de ameaça explorarem essas contas para comprometer a rede, poderão incluir-se em grupos privilegiados e acessar arquivos e pastas confidenciais. | Média | MITRE Attack
|
| Categoria | Nome do indicador | Probabilidade de comprometimento | Gravidade
| Estrutura |
|---|---|---|---|---|
| Segurança de contas | Controladores de domínio inativos | Detecta controladores de domínio cujo valor do atributo lastLogonTimestamp é superior a 45 dias. DCs obsoletos que não replicam há mais de 45 dias ou cujo intervalo de replicação (n) seja superior a 45 dias podem causar diversas vulnerabilidades de segurança, pois deixam de receber atualizações de segurança e alterações de diretivas de grupo. Também podem conter dados desatualizados, como mudanças em contas de usuário, associações a grupos ou atualizações de senha, o que pode gerar problemas de autenticação e autorização. Invasores podem explorar essas brechas para obter acesso a dados sensíveis. | Baixa | MITRE Attack
ANSSI
|
| Delegação e confiança no AD | Controladores de domínio com delegação restrita baseada em recursos configurada | Identifica controladores de domínio que concedem a determinadas contas direitos completos de delegação sobre DCs. Essa configuração concede a determinadas contas direitos completos de delegação para controladores de domínio, potencialmente criando pontos de entrada para invasores. Se um invasor comprometer uma conta de serviço delegada, poderá explorar essa confiança para se passar por usuários, acessar dados confidenciais e realizar um ataque de sincronização de DC (DC sync). | Alta | MITRE Attack
ANSSI
|
| Configurações de controladores de domínio e servidores | Controladores de domínio com configurações incomuns | Lista controladores de domínio que não apresentam as características padrão no seu domínio AD. A presença de controladores de domínio não funcionais ou não autorizados torna todo o AD altamente vulnerável a diversos ataques cibernéticos, como DCShadow e DCSync. Nesses cenários, agentes de ameaça podem injetar objetos de domínio (como contas, listas de controle de acesso, esquemas, credenciais ou chaves de acesso) e replicar alterações na infraestrutura do AD. | Crítico | MITRE Attack
ANSSI
|
| Categoria | Nome do indicador | Probabilidade de comprometimento | Gravidade
| Estrutura |
|---|---|---|---|---|
| Gerenciamento de grupos e associações | Grupos vazios | Detecta grupos de segurança vazios em um domínio AD. Esses grupos possuem permissões e acesso a recursos na organização, podendo servir como superfícies de ataque para invasores explorarem e obterem acesso não autorizado a recursos da rede. Além disso, grupos vazios podem consumir espaço e afetar o desempenho. | Baixa | MITRE Attack
|
| Segurança de identidade privilegiada | Grupos privilegiados | Detecta grupos de segurança com privilégios administrativos em um domínio AD. Esses grupos possuem privilégios elevados e, caso um de seus membros seja comprometido, invasores podem obter acesso e controle total da rede. O excesso de aninhamento também pode gerar sobrecarga administrativa. | Baixa | MITRE Attack
|
| Gerenciamento de grupos e associações | Grupos com apenas um membro | Identifica grupos de segurança do AD com apenas um membro, incluindo grupos aninhados e seus membros. Grupos de segurança são criados para gerenciar permissões de acesso a um conjunto de objetos, e ter apenas um usuário anula o propósito do grupo. Há também a possibilidade de administradores adicionarem acidentalmente usuários que não necessitam das permissões ou recursos atribuídos a esse grupo. | Baixa | MITRE Attack
|
| Gerenciamento de grupos e associações | Grupos grandes | Detecta grupos de segurança do AD cujo número de membros excede o valor limite configurado (20% do total de usuários e computadores do domínio AD, por padrão). Esses grupos tendem a consumir muito espaço e podem afetar o desempenho e a integridade do domínio AD. Além disso, podem ser altamente complexos e difíceis de gerenciar. | Baixa | MITRE Attack
|
| Segurança de identidade privilegiada | Grupos privilegiados grandes | Localiza grupos de segurança com privilégios administrativos cujo número de membros é superior ao valor limite configurado (2% do total de usuários do domínio, por padrão). Os membros desses grupos herdam automaticamente as permissões atribuídas, e um grande número de integrantes representa uma grave ameaça à segurança. Como a superfície de ataque é maior, comprometer uma única conta pode levar ao comprometimento de outras contas privilegiadas e abrir caminho para ataques de escalonamento de privilégios. | Baixa | MITRE Attack
ANSSI
|
| Gerenciamento de grupos e associações | Grupos com histórico de SID | Detecta grupos com valor de histórico de SID. A injeção de um SID de alto nível, como o de administradores, em um grupo de nível inferior pode levar a uma elevação de privilégios não autorizada, permitindo controle excessivo sobre recursos sensíveis. Quando grupos migram entre domínios, podem manter privilégios do domínio anterior por meio do histórico de SID, obtendo acesso que não deveriam ter. Essa situação aumenta o risco de uso indevido. | Baixa | MITRE Attack
ANSSI
|
| Gerenciamento de grupos e associações | Grupos vazios | Lista grupos do Microsoft 365 que não possuem membros. Grupos não utilizados, especialmente aqueles criados para um propósito específico, podem ser negligenciados ou ignorados, gerando riscos de segurança. O aninhamento de grupos pode reduzir a eficiência do diretório, e o excesso de aninhamento pode dificultar a compreensão das associações de grupo. | Baixa | MITRE Attack
|
| Categoria | Nome do indicador | Probabilidade de comprometimento | Gravidade
| Estrutura |
|---|---|---|---|---|
| Gerenciamento incorreto de políticas e permissões | GPOs não vinculadas | Identifica GPOs não vinculados em um domínio AD. Esses GPOs podem ocupar muito espaço e afetar a integridade do AD. Quando GPOs com configurações de segurança não são aplicados, os sistemas podem ficar vulneráveis e sujeitos a erros administrativos, nos quais administradores podem vinculá-los acidentalmente a um site, OU ou domínio que exija configurações diferentes. | Baixa | NA* |
| Gerenciamento incorreto de políticas e permissões | GPOs desativados | Identifica GPOs desativados no domínio AD. Esses GPOs podem gerar ineficiências e criar possíveis lacunas de segurança. Quando GPOs com políticas inativas se acumulam, causam desorganização e dificultam a navegação e o gerenciamento eficaz das políticas. Em alguns casos, GPOs desatualizados ou conflitantes podem ser reativados por engano, provocando comportamentos inesperados em sites, OUs ou domínios. | Baixa | NA* |
| Categoria | Nome do indicador | Probabilidade de comprometimento | Gravidade
| Estrutura |
|---|---|---|---|---|
| Segurança de identidade privilegiada | Objetos com permissão para redefinir senhas de contas privilegiadas | Detecta objetos com permissão para redefinir senhas de contas privilegiadas no domínio. Um invasor que comprometa esses objetos pode redefinir a senha de qualquer conta usando ferramentas como net user/domain, Set-ADAccountPassword -Reset, usuários e computadores do Active Directory ou PowerSploit. Em seguida, ele poderá se autenticar como o usuário afetado com a nova senha para explorar seus privilégios. Como o invasor não conhece a senha anterior, não poderá revertê-la, o que pode causar interrupções de serviço e afetar usuários legítimos e contas de serviço. | Crítico | MITRE Attack
|
| Segurança de identidade privilegiada | Objetos com permissão para alterar associações de grupos de contas privilegiadas | Identifica objetos com permissão para modificar as associações de grupos de contas privilegiadas no domínio. Se um invasor obtiver acesso a esses objetos, poderá explorar os direitos concedidos ao grupo, como permissões para compartilhamentos de arquivos e aplicativos. Isso pode levar a acessos não autorizados a dados confidenciais e resultar em ataques cibernéticos de escalonamento de privilégios. | Crítico | MITRE Attack
|
| Gerenciamento incorreto de políticas e permissões | Contas não privilegiadas com permissões sobre controladores de domínio | Localiza contas não privilegiadas que administram controladores de domínio no seu domínio. Normalmente, controladores de domínio são configurados por contas privilegiadas e, se contas não privilegiadas possuírem permissões excessivas, todo o domínio pode ficar em risco. O acesso não autorizado pode permitir alterações prejudiciais, como exclusão de objetos importantes e manipulação de configurações críticas, resultando em violações de dados. Manter um controle rigoroso sobre as permissões é essencial para proteger a segurança do domínio. | Crítico | MITRE Attack
ANSSI
|
| Gerenciamento incorreto de políticas e permissões | Contas não privilegiadas com permissões AdminSDHolder | Detecta contas não privilegiadas com permissões AdminSDHolder no domínio. Quando invasores utilizam credenciais de usuários não privilegiados e modificam as permissões de contas privilegiadas, podem conceder privilégios administrativos ocultos a essas contas comprometidas. Isso lhes permite acessar dados confidenciais e realizar ataques de forma furtiva, dificultando a detecção e servindo como cortina de fumaça para diversas ações maliciosas na rede. | Crítico | MITRE Attack
ANSSI
|
| Gerenciamento incorreto de políticas e permissões | Contas não privilegiadas autorizadas para replicação de controladores de domínio | Detecta contas não privilegiadas com permissões de replicação de controladores de domínio no seu domínio. Se uma conta com esse privilégio for comprometida, um ataque DCSync poderá ser realizado para obter todos os hashes de senha em um ambiente AD, resultando em comprometimento de múltiplas contas. Isso pode levar a ataques de ransomware, phishing e perda de dados corporativos. | Crítico | MITRE Attack
|
| Gerenciamento incorreto de políticas e permissões | Contas não privilegiadas com permissões de GPOs | Identifica contas de usuário ou de computador não privilegiadas que podem modificar a DACL de objetos de GPO utilizando qualquer uma das seguintes permissões: Controle total, gravar todas as propriedades ou modificar permissões. Se agentes maliciosos comprometerem contas com permissão para modificar a DACL de GPOs, os objetos de GPO no AD ficarão altamente vulneráveis. Eles poderão adulterar políticas de segurança, como políticas de contas e senhas, criando riscos graves, como abertura de backdoors para acesso não autorizado persistente e manipulação de dados organizacionais. Isso pode resultar em enfraquecimento das políticas de senha, desativação de controles de segurança, elevação de privilégios para invasores e possíveis violações de dados, comprometendo gravemente a segurança da organização. | Alta | MITRE Attack
|
| Gerenciamento incorreto de políticas e permissões | Objetos sem permissões herdadas | Localiza objetos cujas permissões são diferentes das de seus objetos pai, independentemente da árvore de permissões no AD. As políticas de segurança geralmente dependem de permissões herdadas para aplicar controles de acesso consistentes em todo o AD. Invasores podem explorar a herança quebrada para escalar privilégios aproveitando permissões personalizadas incorretamente configuradas e obter acesso não autorizado a recursos. | Baixa | MITRE Attack
|
| Segurança de identidade privilegiada | Administradores ocultos | Detecta contas de administradores ocultos no domínio. Administradores ocultos são usuários com direitos administrativos sobre contas altamente privilegiadas em um domínio AD. Ao invadir uma rede, invasores geralmente miram privilégios de administrador de domínio para acessar ativos sensíveis. Obter privilégios administrativos usando uma conta comum comprometida tende a acionar alertas de segurança, mas, se a conta comprometida for de um administrador oculto, é possível obter privilégios administrativos de forma discreta e explorá-los. Isso aumenta significativamente os riscos cibernéticos, pois essas atividades muitas vezes passam despercebidas, resultando em incidentes de segurança graves. | Crítico | MITRE Attack
|
| Categoria | Nome do indicador | Probabilidade de comprometimento | Gravidade
| Estrutura |
|---|---|---|---|---|
| Segurança de contas | Contas com ID de grupo primário anômalo | Identifica contas de usuário com valores de ID de grupo primário (PGID) modificados. Normalmente, o grupo primário definido durante a criação de um usuário no AD é "Domain Users " (PGID=513). Invasores podem alterar o PGID de um objeto de usuário comprometido ou usar contas de usuário com PGID modificado para integrar-se a grupos privilegiados, contornando políticas de controle de acesso e obtendo privilégios elevados. Isso pode expor a organização a roubo de dados e outros ataques cibernéticos | Baixa | MITRE Attack
ANSSI
|
| Segurança de contas | Usuários sem permissão legível para o ID de grupo primário | Localiza contas de usuário que não possuem permissão de leitura para o ID de grupo primário (PGID). Isso pode levar a controles de acesso incorretos ou insuficientes, permitindo que usuários não autorizados acessem recursos sensíveis ou impedindo que usuários legítimos acessem o que precisam. Administradores podem, inadvertidamente, conceder permissões excessivas ou deixar de aplicar restrições necessárias, aumentando o risco de violação de dados ou ações não autorizadas. Além disso, IDs primários mal configurados dificultam auditorias completas, prejudicando a postura geral de segurança. | Alta | MITRE Attack
|
| Segurança de contas | Usuários inativos em serviços específicos do Microsoft 365 | Detecta usuários não privilegiados do Microsoft 365 que estão inativos há um tempo (30 dias por padrão) ou que nunca acessaram serviços específicos como Exchange, OneDrive, Teams, SharePoint, Skype ou Yammer. Se essas contas inativas não forem gerenciadas adequadamente, credenciais válidas associadas a elas poderão ser exploradas para obter acesso não autorizado ou para movimentação lateral dentro do sistema. Além disso, consomem recursos como licenças, armazenamento e capacidade de processamento, gerando custos desnecessários para a organização. | Baixa | NA* |
Mantenha-se protegido com a avaliação de risco do ADManager Plus
Avaliação abrangente
Identifique lacunas de segurança com insights detalhados sobre cada indicador de risco, além dos objetos vulneráveis que os originam.
Priorização de riscos
Direcione esforços e recursos para as vulnerabilidades mais críticas, considerando a gravidade dos indicadores e o nível de exposição ao risco.
Mitigação proativa
Gerencie rapidamente objetos vulneráveis a partir de cada indicador de risco, aplicando ações de gerenciamento em tempo real.
Correção de riscos
Obtenha insights sobre como mitigar riscos de forma proativa, com medidas de recomendação detalhadas.
