Ambiente de administrador de segurança aprimorado

A arquitetura ESAE (Ambiente de Administração de Segurança Avançada) (geralmente conhecida como floresta vermelha, floresta de administrador ou floresta protegida) é uma abordagem herdada para fornecer um ambiente seguro para identidades de administrador do AD (Windows Server Active Directory).

A recomendação da Microsoft para usar esse padrão de arquitetura foi substituída pela estratégia de acesso privilegiado moderna e ramp (plano de modernização rápida) orientação como a abordagem recomendada padrão para proteger usuários privilegiados. Essa orientação destina-se a ser inclusiva para adaptar uma estratégia mais ampla para avançar em direção a uma arquitetura de confiança zero . Dadas essas estratégias modernizadas, a arquitetura de floresta administrativa protegida pelo ESAE (local ou baseada em nuvem) agora é considerada uma configuração personalizada adequada apenas para casos de exceção.

Cenários para uso contínuo

Embora não seja mais uma arquitetura recomendada, o ESAE (ou componentes individuais) ainda pode ser válido em um conjunto limitado de cenários isentos. Normalmente, esses ambientes locais são isolados em que os serviços de nuvem podem estar indisponíveis. Esse cenário pode incluir infraestrutura crítica ou outros ambientes de OT (tecnologia operacional desconectada). No entanto, deve-se observar que os segmentos ICS/SCADA (Controle de Controle Industrial/Controle de Supervisão e Aquisição de Dados) do ambiente normalmente não utilizam sua própria implantação do Active Directory.

Se sua organização estiver em um desses cenários, manter uma arquitetura ESAE implantada no momento em sua totalidade ainda poderá ser válida. No entanto, deve-se entender que sua organização incorre em risco extra devido ao aumento da complexidade técnica e aos custos operacionais da manutenção do ESAE. A Microsoft recomenda que qualquer organização que ainda use o ESAE ou outros controles de segurança de identidade herdados aplique rigor extra para monitorar, identificar e atenuar quaisquer riscos associados.

Diretrizes para implantações existentes

Para clientes que já implantaram essa arquitetura para aprimorar a segurança e/ou simplificar o gerenciamento de várias florestas, não haverá urgência em desativar ou substituir uma implementação do ESAE se ela estiver sendo operada como projetada e pretendida. Assim como acontece com todos os sistemas empresariais, você deve manter o software nele aplicando atualizações de segurança e garantindo que o software esteja dentro de ciclo de vida de suporte.

A Microsoft também recomenda que as organizações com ESAE/florestas protegidas adotem a estratégia de acesso privilegiado moderna usando o diretrizes de ramp (plano de modernização rápida). Essa orientação complementa uma implementação do ESAE existente e fornece segurança apropriada para funções ainda não protegidas pelo ESAE, incluindo administradores do Microsoft Entra, usuários comerciais confidenciais e usuários corporativos padrão. Para obter mais informações, consulte o artigo Proteção de níveis de segurança de acesso privilegiado.

Quando o ESAE foi originalmente projetado há mais de 10 anos, o foco era ambientes locais com o Active Directory (AD) servindo como o provedor de identidade local. Essa abordagem herdada baseia-se em técnicas de segmentação de macro para obter menos privilégios e não conta adequadamente com ambientes híbridos ou baseados em nuvem. Além disso, as implementações de ESAE e florestas protegidas se concentram apenas na proteção de administradores locais do Windows Server Active Directory (identidades) e não explicam os controles de identidade refinados e outras técnicas contidas nos pilares restantes de uma arquitetura de Zero-Trust moderna. A Microsoft atualizou sua recomendação para soluções baseadas em nuvem porque elas podem ser implantadas mais rapidamente para proteger um escopo mais amplo de funções e sistemas administrativos e sensíveis aos negócios. Além disso, eles são menos complexos, escalonáveis e exigem menos investimento de capital para manter.

Exemplos de boas práticas de higiene cibernética no ESAE aplicáveis à maioria das organizações

• Usando PAWs (estações de trabalho de acesso privilegiado) para todas as atividades administrativas
• Imposição de MFA (autenticação multifator ou baseada em token) para credenciais administrativas, mesmo que não seja amplamente usada em todo o ambiente
• Impondo o modelo administrativo de privilégios mínimos por meio da avaliação regular da associação de grupo/função (imposta por uma política organizacional forte)

Prática recomendada para proteger o AD local

Conforme descrito em cenários de para uso contínuo, pode haver circunstâncias em que a migração de nuvem não é alcançável (parcialmente ou na íntegra) devido a circunstâncias variadas. Para essas organizações, se elas ainda não tiverem uma arquitetura ESAE existente, a Microsoft recomenda reduzir a superfície de ataque do AD local, aumentando o rigor de segurança para o Active Directory e identidades privilegiadas. Embora não seja uma lista completa, considere as recomendações de alta prioridade a seguir.

• Use uma abordagem em camadas implementando um modelo administrativo de privilégios mínimos:
  • Impor privilégios mínimos absolutos.
  • Descubra, examine e audite identidades com privilégios (forte vinculação à política organizacional).
    • A concessão excessiva de privilégios é um dos problemas mais identificados em ambientes avaliados.
  • MFA para contas administrativas (mesmo que não sejam amplamente usadas em todo o ambiente).
  • Funções privilegiadas baseadas em tempo (reduzir contas excessivas, reforçar processos de aprovação).
  • Habilite e configure toda a auditoria disponível para identidades com privilégios (notificar de habilitar/desabilitar, redefinição de senha, outras modificações).
• Usar PAWs (Estações de Trabalho de Acesso Privilegiado):
  • Não administre PAWs de um host menos confiável.
  • Use a MFA para acesso a PAWs.
  • Não se esqueça da segurança física.
  • Sempre verifique se as PAWs estão executando os sistemas operacionais mais recentes e/ou atualmente compatíveis.
• Entenda os caminhos de ataque e contas/aplicativos de alto risco:
  • Priorize o monitoramento de identidades e sistemas que representam o maior risco (destinos de oportunidade/alto impacto).
  • Erradicar a reutilização de senha, incluindo os limites do sistema operacional (técnica de movimento lateral comum).
  • Imponha políticas que restringem atividades que aumentam o risco (navegação na Internet de estações de trabalho protegidas, contas de administrador local em vários sistemas etc.).
  • Reduzir aplicativos no Active Directory/Controladores de Domínio (cada aplicativo adicionado é uma superfície de ataque extra).
    • Eliminar aplicativos desnecessários.
    • Mover aplicativos ainda necessários para outras cargas de trabalho de /DC, se possível.
• Backup imutável do active directory:
  • Componente crítico para recuperação de infecção por ransomware.
  • Agenda de backup regular.
  • Armazenado em local baseado em nuvem ou fora do local determinado pelo plano de recuperação de desastre.
• Realizar um de Avaliação de Segurança doActive Directory:
  • A assinatura do Azure é necessária para exibir os resultados (painel personalizado do Log Analytics).
  • Ofertas compatíveis com engenheiros sob demanda ou da Microsoft.
  • Valide/identifique as diretrizes da avaliação.
  • A Microsoft recomenda realizar avaliações anualmente.

Para obter diretrizes abrangentes sobre essas recomendações, examine as práticas recomendadas do para proteger o Active Directory.

Recomendações complementares

A Microsoft reconhece que algumas entidades podem não ser capazes de implantar totalmente uma arquitetura de confiança zero baseada em nuvem devido a restrições variadas. Algumas dessas restrições foram mencionadas na seção anterior. Em vez de uma implantação completa, as organizações podem lidar com riscos e progredir para Zero-Trust mantendo ainda equipamentos ou arquiteturas herdados no ambiente. Além das diretrizes mencionadas anteriormente, os recursos a seguir podem ajudar a reforçar a segurança do seu ambiente e servir como ponto de partida para a adoção de uma arquitetura Zero-Trust.

Microsoft Defender para Identidade (MDI)

microsoft Defender para Identidade (MDI) (formalmente Proteção Avançada contra Ameaças do Azure ou ATP) sustenta a arquitetura do Microsoft Zero-Trust e se concentra no pilar da identidade. Essa solução baseada em nuvem usa sinais do AD local e da ID do Microsoft Entra para identificar, detectar e investigar ameaças envolvendo identidades. O MDI monitora esses sinais para identificar comportamentos anormais e mal-intencionados de usuários e entidades. Notavelmente, o MDI facilita a capacidade de visualizar o caminho de movimento lateral de um adversário destacando como uma determinada conta pode ser usada se comprometida. A análise comportamental da MDI e os recursos de linha de base do usuário são elementos-chave para determinar a atividade anormal em seu ambiente do AD.

Microsoft Defender para Internet das Coisas (D4IoT)

Além de outras diretrizes descritas neste documento, as organizações que operam em um dos cenários mencionados acima podem implantar do Microsoft Defender para IoT (D4IoT). Essa solução apresenta um sensor de rede passivo (virtual ou físico) que permite descoberta de ativos, gerenciamento de inventário e análise de comportamento baseada em risco para ambientes de IoT (Internet das Coisas) e Tecnologia Operacional (OT). Ele pode ser implantado em ambientes locais conectados ao ar ou conectados à nuvem e tem a capacidade de realizar uma inspeção profunda de pacotes em mais de 100 protocolos de rede proprietários do ICS/OT.

Próximas etapas

Examine os seguintes artigos:

1. estratégia de acesso privilegiado
2. de ramp (plano de modernização rápida) de segurança
3. práticas recomendadas do para proteger o Active Directory