Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosMelhores práticas
Melhores práticas de segurança do Active Directory

Melhores práticas de segurança do Active Directory

Proteger o Active Directory (AD) é um foco crítico para equipes de segurança devido ao seu papel central em inúmeras funções vulneráveis, incluindo autenticação, autorização e acesso à rede. Cada vez que usuários, aplicações, serviços e dispositivos IoT acessam sistemas empresariais, eles dependem do Active Directory.

Em um incidente de segurança recente, a plataforma de Identity Management Okta sofreu uma intrusão em seu sistema de suporte ao cliente, expondo dados sensíveis como os nomes e endereços de email de todos os usuários. Este evento levanta preocupações sobre possíveis vulnerabilidades de segurança que poderiam ser exploradas para manipular ou comprometer a autenticação e os controles de acesso dos usuários. Organizações dependentes da Okta para integração contínua com Active Directory podem enfrentar desafios na manutenção da segurança de seu ambiente AD, já que credenciais comprometidas ou mecanismos de autenticação poderiam potencialmente ser utilizados para acessar recursos do AD.

Adversários exploram vulnerabilidades na segurança do AD não apenas para ganhar acesso à rede, mas também para escalar seus privilégios, mover-se lateralmente entre endpoints e outros sistemas, implantar cargas de malware e mais.

Para frustrar os atacantes em cada etapa, utilize a seguinte lista de melhores práticas de segurança do Active Directory.

Proteja seus controladores de domínio

Um controlador de domínio (DC) é um servidor que autentica usuários verificando suas credenciais contra dados armazenados e também autoriza (ou nega) solicitações de acesso a diversos recursos de TI. Essa funcionalidade torna os DCs um alvo primário para cibercriminosos.

As melhores práticas para proteger controladores de domínio do Active Directory incluem o seguinte:

Implementação

  • Tenha pelo menos dois controladores de domínio em cada domínio do Active Directory para tolerância a falhas e alta disponibilidade.
  • Considere implementar DCs somente leitura em filiais ou outros locais com conectividade limitada ao principal centro de dados para melhorar a segurança e o desempenho.
  • Coloque controladores de domínio em diferentes localizações físicas para garantir que não sejam todos afetados por um único ponto de falha, como uma queda de energia ou desastre natural.

Controle de acesso e tráfego

  • Restrinja o acesso físico aos DCs usando medidas como salas de servidores trancadas e sistemas de controle de acesso.
  • Utilize a segmentação de rede para isolar os DCs de outras partes da rede e limitar o acesso apenas a sistemas e administradores autorizados.
  • Implemente firewalls para restringir o tráfego de entrada e saída para os DCs, permitindo apenas a comunicação necessária entre os DCs e outros recursos de rede.
  • Isole os controladores de domínio da internet configurando firewalls e roteadores para bloquear o tráfego de saída dos controladores de domínio para a internet. Se o acesso à internet for necessário para um controlador de domínio, use um servidor proxy para controlar o acesso; configure o servidor proxy para permitir apenas o tráfego necessário e bloquear todo o tráfego restante, e implemente filtragem de DNS para prevenir a comunicação com domínios maliciosos conhecidos.

Configuração e atualizações

  • Padronize a configuração do DC. Por exemplo, utilize automação de construção por meio de ferramentas de implantação como System Center Configuration Manager.
  • Não instale funções de servidor adicionais ou software em DCs, pois isso pode levar a disputa de recursos, instabilidade e degradação do desempenho. Se software adicional ou funções de servidor forem necessários, implante servidores membros ou servidores de aplicativos separados para executar aplicações ou hospedar serviços adicionais.
  • Atualize regularmente os DCs com as últimas correções de segurança e atualizações para proteger contra vulnerabilidades de segurança.
  • Atualize regularmente os sistemas operacionais dos seus DCs. No entanto, planeje e teste cuidadosamente o processo de atualização em um ambiente não produtivo para identificar e mitigar possíveis problemas.

Monitoramento e recuperação

  • Utilize ferramentas de monitoramento para acompanhar o desempenho dos DCs e garantir que estão funcionando de maneira otimizada.
  • Faça backup dos dados nos controladores de domínio regularmente para permitir a recuperação em caso de falha de hardware ou outro problema.

Estabeleça uma política de senha robusta

O Active Directory permite que você defina políticas de senha detalhadas usando fatores como comprimento e requisitos de complexidade da senha. Siga as seguintes NIST password guidelines:

  • As senhas devem conter pelo menos oito caracteres quando definidas por uma pessoa e seis caracteres quando definidas por um sistema automatizado ou serviço.
  • Usar uma senha forte é mais eficaz do que atualizar constantemente senhas fracas.
  • Evite requisitos de complexidade que não sejam amigáveis ao usuário, pois eles podem levar os usuários a criar senhas fracas ou armazenar suas senhas de maneira insegura (como em um post-it na mesa deles). Em vez disso, incentive os usuários a escolherem senhas longas que sejam fáceis de lembrar.
  • Monitore redefinições de senha administrativas. Atividades incomuns de redefinição de senha podem indicar um comprometimento da conta do administrador.
  • Calibre as configurações de bloqueio de sua conta, aplicando configurações mais rigorosas para contas que têm acesso a dados valiosos e aplicações críticas. Dessa forma, um atacante que tenta comprometer uma conta de administrador será bloqueado após apenas algumas tentativas falhas, mas um usuário comum que digita incorretamente sua senha algumas vezes não será bloqueado e precisará redefinir sua senha antes de poder voltar ao trabalho.
  • Considere investir em um gerenciador de senhas que facilite para os usuários terem senhas fortes e únicas, sem aumentar o ônus do seu helpdesk devido a bloqueios frequentes de contas.

Use uma senha de administrador local diferente em cada máquina

Muitas vezes, as organizações criam um ID de usuário admin local genérico com a mesma senha em todas as máquinas, o que permite a um ator mal-intencionado que comprometa uma máquina comprometer também as outras. Com as ferramentas adequadas, você pode facilmente definir uma senha de admin local diferente em cada dispositivo.

Em particular, a solução Local Administrator Password Solution (LAPS) gera e gerencia automaticamente senhas únicas e complexas para contas de administrador local. Essas senhas são armazenadas de forma segura no Active Directory e só podem ser recuperadas por usuários ou sistemas autorizados. O LAPS oferece os seguintes benefícios adicionais:

  • LAPS suporta a rotação automática de senhas de administrador local em intervalos regulares, reduzindo o tempo útil de uma senha comprometida.
  • Os administradores podem delegar permissões para recuperar senhas de administrador local com base nos papéis e responsabilidades dos usuários.
  • LAPS integra-se perfeitamente com o Active Directory, aproveitando suas funcionalidades de segurança e controles de acesso para gerenciar o armazenamento e recuperação de senhas de administrador local.
  • LAPS mantém um registro de auditoria das atividades de recuperação de senhas para facilitar investigações e responsabilização.
  • LAPS pode ser configurado e gerenciado por meio de Group Policy, o que oferece uma abordagem centralizada e escalável para implantar e gerenciar senhas de administrador local em toda a organização.

Controlar direitos de acesso

Grupos de segurança são a maneira recomendada de controlar o acesso aos recursos. Em vez de atribuir direitos de acesso diretamente às contas de usuário individualmente, você atribui permissões aos grupos de segurança e depois torna cada usuário membro dos grupos apropriados. Siga estas melhores práticas:

  • Siga rigorosamente um modelo de menor privilégio, concedendo a cada usuário apenas as permissões mínimas necessárias para completar suas tarefas.
  • Crie contas de convidado com privilégios mínimos.
  • Faça com que os proprietários dos dados revisem regularmente a associação ao grupo de segurança para garantir que apenas os usuários corretos sejam membros de cada grupo.
  • Estabeleça um modelo de delegação AD seguindo as melhores práticas.
  • Monitore de perto as alterações na composição dos grupos de segurança, especialmente aqueles que têm permissões para acessar, modificar ou remover dados sensíveis.
  • Monitore por modificações suspeitas em contas AD.
  • Desative imediatamente as contas de funcionários que deixam a organização.
  • Monitore contas inativas e desative-as se necessário.

Dê atenção especial às contas privilegiadas

Naturalmente, os atacantes estão particularmente interessados em obter acesso a contas que possuem privilégios administrativos ou acesso a dados sensíveis, como registros de clientes ou propriedade intelectual. Portanto, é crítico estar especialmente vigilante em relação a essas contas poderosas. As melhores práticas incluem o seguinte:

  • Restrinja rigorosamente a participação nos Domain Admins e outros grupos privilegiados de acordo com o princípio do menor privilégio.
  • Treine os administradores para usar suas contas administrativas apenas quando absolutamente necessário para reduzir o risco de roubo de credenciais.
  • Idealmente, implemente uma solução de Privileged Access Management (PAM). Se isso não for possível, mantenha apenas a conta padrão nos grupos como Domain Admins e coloque outras contas nesse grupo apenas temporariamente, até que tenham completado seu trabalho.
  • Revise regularmente o uso de contas privilegiadas para garantir que sejam utilizadas apenas para fins autorizados e que o acesso seja concedido com base na necessidade de saber.
  • Implemente políticas de senha fortes e práticas de gerenciamento para contas privilegiadas, incluindo mudanças regulares de senha e o uso de senhas complexas.
  • Exija que os usuários privilegiados utilizem uma estação de trabalho administrativa segura (SAW) para realizar tarefas administrativas. As SAWs aumentam a segurança por meio de recursos como autenticação robusta, criptografia e monitoramento. Restrinja o acesso às SAWs apenas ao pessoal autorizado com responsabilidades administrativas e implemente controles de acesso fortes para prevenir o uso não autorizado. Isole fisicamente e logicamente as SAWs das estações de trabalho de usuários comuns e redes para reduzir o risco de infecção por malware e acesso não autorizado.

Monitore o Active Directory em busca de sinais de comprometimento

O Active Directory é um ambiente movimentado. Para identificar ataques, é essencial saber o que procurar em todos os dados de eventos. Aqui estão as cinco principais coisas a monitorar:

Alterações na conta de usuário

Esteja atento a modificações incomuns em uma conta de usuário do AD. Considere investir em uma ferramenta que possa ajudá-lo a responder às seguintes perguntas:

  • Quais alterações foram feitas em quais contas de usuário?
  • Quem realizou cada alteração?
  • Quando ocorreu a mudança?
  • De onde foi feita a alteração?

Redefinições de senha por administradores

Os administradores devem sempre seguir as melhores práticas estabelecidas ao redefinir credenciais de usuário. Uma ferramenta de monitoramento robusta ajuda a responder perguntas como:

  • Quais contas de usuário tiveram suas senhas redefinidas?
  • Quem redefiniu cada senha?
  • Quando ocorreu a redefinição?
  • Onde o administrador redefiniu a senha?

Alterações na associação ao grupo de segurança

Alterações inesperadas na associação de grupos de segurança podem indicar atividades maliciosas, como escalonamento de privilégios ou outras ameaças internas. Você precisa saber:

  • Quem foi adicionado ou removido?
  • Quem fez a alteração?
  • Quando ocorreu a mudança?
  • Onde foi feita a alteração do grupo de segurança?

Tentativas de logon por um único usuário a partir de vários endpoints

Tentativas de um único usuário de fazer login a partir de diferentes endpoints geralmente é um sinal de que alguém assumiu o controle de sua conta ou está tentando. É vital sinalizar e investigar essa atividade para descobrir:

  • Qual conta tentou fazer login a partir de vários endpoints?
  • Quais eram aqueles endpoints?
  • Quantas tentativas foram feitas de cada endpoint?
  • Quando começou a atividade suspeita?

Alterações na Política de Grupo

Uma única alteração inadequada na Política de Grupo pode aumentar dramaticamente o risco de uma violação ou outro incidente de segurança. Usar uma ferramenta para monitorar essa atividade facilitará a resposta a perguntas urgentes como:

  • Quais alterações foram feitas na Política de Grupo?
  • Quem realizou cada alteração?
  • Quando foi feita cada alteração?

Desative o SMBv1 e restrinja o NTLM

Dispositivos que executam o Microsoft Windows usam principalmente o protocolo de comunicações SMB (Server Message Block). No entanto, pesquisas indicam que o SMB está sendo utilizado para intrusões por execução de código remoto, portanto, é recomendado desativar o SMBv1 e usar apenas as versões mais recentes do SMB.

Da mesma forma, NTLM é um protocolo de autenticação antigo que os atacantes usam para roubo de credenciais. Se possível, substitua completamente o NTLM pelo protocolo Kerberos mais recente. No mínimo, elimine o uso de NTLMv1.

Proteja LSASS

LSASS (Local Security Authority Subsystem Service) é um processo do Windows responsável por várias tarefas relacionadas à segurança: verificação das credenciais do usuário durante o login; aplicação de políticas de complexidade, expiração e bloqueio de senhas; gerenciamento de tokens de segurança que concedem acesso a recursos; e implementação do protocolo de autenticação Kerberos. As melhores práticas para proteger o LSASS incluem o seguinte:

  • Aplique regularmente atualizações de segurança e patches ao sistema operacional para tratar vulnerabilidades que poderiam ser exploradas para comprometer o LSASS.
  • Instale soluções de antivírus e anti-malware de confiança em todos os sistemas para detectar e prevenir que softwares maliciosos ataquem o LSASS.
  • Ative o Windows Credential Guard, um recurso de segurança no Windows que ajuda a proteger o LSASS e as credenciais contra roubo por malware.

Execute apenas sistemas operacionais suportados e mantenha-os atualizados

É importante usar apenas sistemas operacionais suportados que recebam atualizações e correções de segurança regulares para reduzir o risco de vulnerabilidades de segurança e garantir acesso a assistência técnica e orientação para questões relacionadas à segurança.

Além disso, certifique-se de que todos os sistemas operacionais em seu ambiente estejam regularmente atualizados com as últimas correções de segurança e atualizações fornecidas pelo fornecedor.

Limpe o Active Directory

As melhores práticas de segurança do Active Directory para limpeza incluem o seguinte:

  • Identifique e remova quaisquer contas de usuário ou contas de computador obsoletas ou não utilizadas do Active Directory para impedir que adversários as utilizem indevidamente e evitem detecção.
  • Estabeleça processos para garantir que a conta de um usuário seja desativada prontamente quando ele deixar a organização.
  • Remova quaisquer grupos de segurança desnecessários para impedir tentativas de escalonamento de privilégios.
  • Documente os processos de limpeza e estabeleça cronogramas regulares para revisar e manter o Active Directory para garantir segurança e eficiência contínuas.

Auditar Active Directory

Abaixo estão algumas das melhores práticas para auditar Active Directory:

  • Certifique-se de que a auditoria está ativada no Active Directory para rastrear alterações e acessos a objetos do diretório. Isso pode ser feito através das configurações de Política de Grupo ou diretamente no console de Usuários e Computadores do Active Directory.
  • Configure políticas de auditoria com base nos requisitos específicos de segurança e conformidade da sua organização. Em particular, audite alterações em contas de usuários, associações a grupos, permissões e objetos críticos de Política de Grupo.
  • Revise regularmente os registros de auditoria gerados pelo Active Directory para identificar quaisquer alterações suspeitas ou outras atividades incomuns. Investigue prontamente quaisquer potenciais ameaças à segurança.
  • Considere implementar uma solução de monitoramento em tempo real que fornecerá alertas imediatos para eventos críticos de segurança e resposta automática a ameaças antecipadas de AD.
  • Considere o uso de ferramentas automatizadas para gerar relatórios de auditoria regulares, que podem ajudar no rastreamento da conformidade, demonstração de diligência devida e identificação de tendências ou padrões na atividade do diretório.

Realize a gestão de patches

Estabeleça um processo para receber e implantar prontamente patches de segurança para Active Directory e outros sistemas críticos. Priorize a implantação de patches com base na gravidade da vulnerabilidade e no impacto potencial na organização.

Teste patches em um ambiente não produtivo antes de implantá-los em produção para garantir que eles não causem problemas de compatibilidade ou estabilidade.

Realize varreduras de vulnerabilidade e testes de penetração

Realize varreduras regulares de vulnerabilidade do Active Directory e outros sistemas críticos para identificar potenciais fraquezas de segurança. Priorize as vulnerabilidades com base na gravidade e no impacto potencial na sua organização. Remedie as vulnerabilidades aplicando patches de segurança, implementando controles de segurança ou tomando outras medidas. Considere o uso de ferramentas automatizadas para realizar a varredura de vulnerabilidades para otimizar o processo e reduzir o risco de erro humano.

Realize também testes de penetração regulares para identificar potenciais vulnerabilidades e avaliar a eficácia dos seus controles de segurança.

Bloqueie contas de serviço

As contas de serviço são utilizadas para executar serviços, tarefas agendadas e aplicações. Para reduzir os riscos de segurança, atribua a cada conta de serviço as permissões mínimas necessárias para desempenhar suas funções específicas. Além disso, aplique políticas de senha fortes que incluam requisitos de complexidade e restrições ao reuso de senhas, e exija mudanças regulares de senha.

As contas de serviço devem ser configuradas para não permitir logon interativo. Elas não devem ser usadas para sessões interativas ou logins de console, pois são destinadas à execução de serviços e tarefas em segundo plano.

Utilize contas de serviço gerenciadas (MSAs) sempre que possível

As contas de serviço gerenciado (MSAs) geram e gerenciam automaticamente senhas fortes e complexas, eliminando a necessidade de gerenciamento manual de senhas e reduzindo o risco de problemas de segurança relacionados a senhas. A senha é gerenciada e rotacionada automaticamente pelos controladores de domínio. As MSAs podem ser facilmente implantadas e gerenciadas usando comandos PowerShell ou Política de Grupo, tornando-as uma solução escalável e eficiente.

Implemente a autenticação multifator (MFA)

A MFA aumenta a segurança ao exigir que os usuários se autentiquem usando dois ou mais métodos diferentes, como um código de um token de hardware ou software ou mensagem SMS, biometria e notificações push para dispositivos móveis. Considere fatores como facilidade de uso, escalabilidade e compatibilidade com sua infraestrutura existente, incluindo Active Directory.

Defina políticas de MFA com base em funções de usuário, grupos ou requisitos de segurança específicos. Por exemplo, você pode querer impor MFA para todas as contas privilegiadas, solicitações de acesso remoto ou aplicações específicas.

DNS seguro

  • Proteja o DNS usando zonas DNS integradas ao Active Directory. Isso proporciona segurança aprimorada por meio de listas de controle de acesso (ACLs) e atualizações dinâmicas seguras.
  • Implemente as Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC) para adicionar uma camada extra de segurança ao DNS. O DNSSEC ajuda a proteger contra ataques de spoofing de DNS e envenenamento de cache ao assinar digitalmente os dados do DNS.
  • Configure os servidores DNS para restringir transferências de zona apenas para servidores autorizados. Limitar as transferências de zona ajuda a prevenir o acesso não autorizado aos dados de zona DNS.
  • Utilize soluções de filtragem e proteção DNS para bloquear domínios maliciosos e impedir o acesso a sites conhecidos por serem maliciosos. Isso pode ajudar a proteger contra malware, phishing e outras ameaças de segurança.
  • Implante um firewall DNS para filtrar e bloquear o tráfego DNS malicioso. Firewalls DNS podem ajudar a proteger contra ataques baseados em DNS e mitigar o risco de exfiltração de dados.
  • Mantenha os servidores DNS atualizados com as últimas correções de segurança e atualizações para corrigir vulnerabilidades e proteger contra exploits conhecidos.

Forçar o RDP a usar criptografia TLS

O Protocolo de Área de Trabalho Remota (RDP) é um protocolo popular usado para acessar sistemas baseados em Windows remotamente. Por padrão, o RDP utiliza criptografia para proteger as comunicações entre o cliente e o servidor. No entanto, é recomendado impor o uso da criptografia de Segurança da Camada de Transporte (TLS) para o RDP a fim de aumentar a segurança. Instale e configure um certificado SSL/TLS no servidor do Gateway de Área de Trabalho Remota. Este certificado será utilizado para criptografar as comunicações entre o cliente e o servidor.

Implemente um plano de backup e recuperação de desastres para Active Directory

Um desastre ou interrupção que afete o AD pode ter consequências graves para as operações da organização. Implementar um plano de recuperação de desastres para o AD pode ajudar a garantir a continuidade dos negócios em caso de desastre. Certifique-se de incluir procedimentos de backup e recuperação, procedimentos de failover e failback, procedimentos de comunicação e notificação, testes dos procedimentos de backup e recuperação e armazenamento externo dos dados de backup.

Outras melhores práticas de AD relacionadas ao backup e recuperação incluem o seguinte:

  • Faça backup do Active Directory em uma programação regular. O Windows Server inclui um recurso de backup integrado que pode ser usado para fazer backup do Active Directory. Você pode usar a ferramenta "Windows Server Backup" para realizar backups do estado do sistema, que incluem dados do AD. No entanto, soluções de backup de terceiros especificamente projetadas para o Active Directory oferecem recursos adicionais e flexibilidade.
  • Em particular, certifique-se de fazer backup dos controladores de domínio que possuem as funções FSMO, pois são essenciais para as operações do AD.
  • Garanta que os dados de backup estejam armazenados de forma segura. Isso inclui proteger a mídia de backup contra danos físicos, criptografar os dados de backup e restringir o acesso aos arquivos de backup apenas ao pessoal autorizado.
  • Documente os procedimentos de backup para Active Directory, incluindo o cronograma de backup, requisitos de retenção e quaisquer considerações específicas para o seu ambiente.

Ative o Firewall do Windows em todos os sistemas

Ative o Firewall do Windows em todos os sistemas para ajudar a proteger contra acessos não autorizados e ameaças baseadas em rede.

  • Utilize a Política de Grupo para gerir e impor centralmente as configurações do Firewall do Windows em todos os sistemas da sua rede.
  • Crie regras de firewall para permitir ou bloquear tipos específicos de tráfego com base nas políticas de segurança da sua organização. Por exemplo, você pode criar regras para permitir tráfego de entrada e saída para aplicações específicas, serviços ou portas, enquanto bloqueia tráfego desnecessário ou potencialmente arriscado.
  • Utilize o console do Windows Firewall com Segurança Avançada para configurar definições avançadas como regras de segurança de conexão, isenções de autenticação e regras personalizadas de firewall que oferecem controle granular sobre o tráfego de rede.

Implante ferramentas antivírus e antimalware e mantenha-as atualizadas

Escolha um software antivírus e antimalware confiável que seja compatível com Active Directory e atenda às necessidades de segurança da sua organização.

Instale o software antivírus e antimalware em um servidor dentro do ambiente do Active Directory. Certifique-se de que o software esteja configurado para verificar e proteger todos os sistemas e dispositivos conectados à rede do Active Directory.

Configure atualizações automáticas para o software antivírus e antimalware para garantir que esteja sempre atualizado com as últimas definições de vírus e correções de segurança.

Comunicação segura de rede

  • Configure o Active Directory para usar SSL/TLS na comunicação LDAP para criptografar os dados transmitidos entre clientes e controladores de domínio.
  • Utilize o Internet Protocol Security (IPsec) para proteger o tráfego de rede entre controladores de domínio, garantindo que os dados sejam criptografados e autenticados.
  • Ative a assinatura do Server Message Block (SMB) para garantir que os dados transferidos pela rede sejam assinados e validados, prevenindo adulterações e acessos não autorizados.
  • Configure o Active Directory para usar a autenticação Kerberos, que fornece autenticação mútua segura entre clientes e controladores de domínio.

Implemente VPNs

Implemente redes privadas virtuais (VPNs) para a sua intranet com base nas necessidades da sua organização, incluindo o número de usuários remotos, tipos de aplicações acessadas e o nível de segurança necessário. Ao selecionar uma solução VPN, pense também na facilidade de manutenção, recursos de segurança e escalabilidade. Instale e configure o software cliente VPN nos dispositivos dos usuários remotos e garanta que eles possam se conectar de forma segura aos servidores VPN dentro da intranet.

Isole sistemas e aplicações legados

Fisicamente ou logicamente segregue sistemas e aplicações legados do resto da rede para limitar riscos de segurança. Crie unidades organizacionais separadas (OUs) no AD para sistemas e aplicações legados, de forma que você possa facilmente aplicar configurações de Group Policy e controles de acesso adaptados às necessidades deles.

Desative sistemas e aplicações legados

Avalie o uso, o impacto nos negócios e os riscos de segurança dos sistemas e aplicações legados e desenvolva um plano para desativá-los, se possível. Notifique os usuários e partes interessadas sobre os detalhes, incluindo cronogramas, soluções alternativas e impactos potenciais em seus fluxos de trabalho. Certifique-se de arquivar quaisquer dados que não sejam mais necessários, mas que devam ser retidos para fins de conformidade ou históricos.

Conclusão

As melhores práticas de segurança do Active Directory apresentadas aqui são essenciais para fortalecer sua postura de segurança. A gestão cuidadosa das atividades em toda a rede que afetam a segurança do AD permitirá que você reduza sua área de superfície de ataque e detecte e responda prontamente a ameaças.

Solução de Segurança do Active Directory da Netwrix

Identifique e mitigue proativamente suas lacunas de segurança - com uma solução de segurança de ponta a ponta

Solicitar uma demonstração individual

Compartilhar em

Recursos Relacionados

Aprofunde-se com nossos recursos relacionados

Resource Center
eBook

Facilitando a Prevenção de Perda de Dados com as Soluções Netwrix

Prevenção de Perda de Dados
eBook

Instalando Software no Windows: Doloroso, mas não precisa ser

Endpoint Management