Definir administração de privilégios mínimos
- {númeroDeMinutos} minutos
Uma empresa de especialistas em segurança de TI tem trabalhado na Contoso. Eles produziram um relatório para o conselho principal. O relatório identifica que a maioria das violações de segurança ou incidentes de perda de dados na Contoso no passado recente foram o resultado de erro humano, atividade maliciosa ou ambos.
O relatório deu vários exemplos, incluindo a entrada com privilégio administrativo e a execução de tarefas de usuário padrão. Em um exemplo citado, um usuário entrou com direitos de administrador de empresa e abriu um anexo de e-mail que executava código mal-intencionado. Esse código tinha então direitos administrativos totais em toda a empresa da Contoso porque o usuário que o executou tinha direitos administrativos completos.
Descrição geral
Privilégio mínimo é o conceito de restringir os direitos de acesso apenas aos direitos necessários para executar uma tarefa ou função específica. Pode aplicar este princípio a:
- Contas de utilizador.
- Contas de serviço.
- Processos de computação.
Embora este princípio seja fácil de compreender, pode ser complexo de implementar. Como resultado, em muitos casos, o menor privilégio não é respeitado.
O princípio afirma que todos os usuários devem entrar com uma conta de usuário que tenha as permissões mínimas necessárias para concluir a tarefa atual e nada mais. Este princípio fornece proteção contra códigos maliciosos, entre outros ataques. Aplica-se aos computadores e aos utilizadores desses computadores.
O problema, é claro, é que os administradores normalmente não querem entrar com uma conta de usuário padrão para suas tarefas diárias e, em seguida, sair e entrar novamente como administrador quando precisam redefinir a senha de um usuário. É demorado e é um incômodo. Para resolver esse problema, você deve encontrar uma maneira de identificar os riscos de segurança típicos. Você deve então planejar um princípio menos intrusivo de menor privilégio.
Identificar entidades de segurança
Em um ambiente local, você deve determinar quais entidades de segurança (usuários e grupos) pertencem a grupos administrativos. Nos Serviços de Domínio Ative Directory (AD DS), há vários grupos administrativos confidenciais. Estes são descritos na tabela a seguir.
| Agrupar | Description |
|---|---|
| Administradores da Empresa | Esse grupo de segurança universal reside na pasta Usuários do domínio raiz da floresta do AD DS. Os membros podem executar qualquer tarefa administrativa em qualquer lugar da floresta. Há poucas tarefas de gerenciamento que exigem a associação de administradores corporativos. Por padrão, somente a conta de usuário Administrador do domínio raiz da floresta pertence aos Administradores de Empresa. |
| Administradores do Domínio | Esse grupo de segurança global reside na pasta Usuários de cada domínio na floresta do AD DS. Os membros podem executar qualquer tarefa administrativa em qualquer lugar no domínio local. Por padrão, somente a conta de usuário Administrador do domínio local pertence aos Administradores do Domínio. |
| Administradores de Esquema | Esse grupo de segurança universal reside na pasta Usuários do domínio raiz da floresta. Os membros podem modificar as propriedades do esquema do AD DS. As alterações de esquema são pouco frequentes, mas significativas em seu efeito. Por padrão, somente a conta de usuário Administrador do domínio raiz da floresta pertence aos Administradores de Esquema. |
| Administradores | Este grupo de segurança local de domínio reside na pasta Builtin no AD DS. O grupo local Administradores também existe em todos os computadores na floresta do AD DS. Os administradores têm acesso completo e irrestrito ao domínio (ou computador). Normalmente, os grupos Administradores de Empresa e Administradores de Domínio são adicionados aos grupos Administradores em todos os computadores da floresta. |
Nota
O esquema do AD DS é uma coleção de objetos e suas propriedades, às vezes também chamadas de classes e atributos.
Outros grupos internos que têm privilégios de segurança incluem:
- Operadores de conta.
- Operadores de servidor.
- Administradores de chaves.
- Administradores de chaves corporativas.
Modificar associações de grupo
Depois de determinar quais usuários e grupos pertencem a grupos administrativos, você pode fazer as alterações necessárias. Você pode usar GPOs (Objetos de Política de Grupo) em um ambiente AD DS para agilizar esse processo. Use o recurso Grupos Restritos para controlar a associação de grupos em todos os computadores afetados pelo GPO. Utilize o seguinte procedimento:
- Abra o Gerenciamento de Diretiva de Grupo e crie e vincule um GPO ao objeto de domínio.
- Abra o GPO para edição.
- Localize Configuração do Computador, Políticas, Configurações do Windows, Configurações de Segurança, Grupos Restritos.
- Clique com o botão direito do mouse ou ative o menu de contexto para Grupos restritos e selecione Adicionar grupo.
- Na caixa de diálogo Adicionar grupo, adicione o grupo necessário.
- Adicione os membros ao grupo ou adicione o grupo a outro grupo como membro.
- Selecione OK para concluir o processo.
Determinar os direitos atribuídos atualmente
Depois de modificar as entidades de segurança em seu ambiente, você deve determinar quais direitos essas entidades já possuem. Claramente, se um usuário pertence a um grupo administrativo confidencial, como Administradores, esse usuário pode executar qualquer tarefa e exercer qualquer direito no computador ou domínio onde o grupo existe.
Nota
Um direito é a capacidade de executar uma tarefa administrativa. Uma permissão é a capacidade de acessar um objeto no sistema de arquivos, no AD DS ou em outro lugar.
No entanto, um usuário pode pertencer a outros grupos aos quais foram atribuídos direitos ou privilégios. Também pode ser o caso de um usuário receber diretamente um direito.
Você pode usar o console da Diretiva de Segurança Local para determinar quais direitos são atribuídos. Utilize o seguinte procedimento:
- Selecione Iniciar e, em seguida, selecione Ferramentas Administrativas do Windows.
- Selecione Política de Segurança Local.
- Em Política de Segurança Local, expanda Políticas Locais e, em seguida, expanda Atribuição de Direitos de Utilizador.
- Revise e, se necessário, edite o valor da Configuração de Segurança para cada Política listada.
Gorjeta
Sempre atribua uma política a um grupo, e não diretamente a um usuário. Isso ajuda na gestão contínua. Quando a função de trabalho de alguém muda, você só precisa alterar suas associações de grupo, em vez de revisitar todas as atribuições de direitos de usuário atribuídas à conta de usuário dela.
Implementar controle de conta de usuário
O Controle de Conta de Usuário (UAC) é um recurso de segurança que fornece uma maneira para os usuários limitarem o status de sua conta administrativa ao de uma conta de usuário padrão. No entanto, quando o usuário deseja executar uma tarefa que requer capacidade administrativa, referida como elevação, o usuário é solicitado a confirmar essa elevação. Por padrão, o UAC solicita ao usuário quando ele tenta elevação, da seguinte maneira:
- Se o usuário for um administrador, ele será solicitado a confirmar a elevação.
- Se o usuário for um usuário padrão, serão solicitadas credenciais administrativas.
Você pode controlar os prompts e o comportamento do UAC usando GPOs.
- Abra um GPO vinculado adequadamente para edição e navegue até Configuração do Computador, Políticas, Configurações do Windows, Configurações de Segurança, Diretivas Locais, Opções de Segurança.
- Para contas administrativas, abra a configuração Controle de Conta de Usuário: Comportamento do prompt de elevação para administradores no Modo de Aprovação de Administrador, selecione Definir esta configuração de política e selecione a configuração necessária.
- Para usuários padrão, abra a configuração Controle de Conta de Usuário: Comportamento do prompt de elevação para usuários padrão, selecione Definir esta configuração de política e selecione a configuração necessária.
Implemente Administração Apenas Suficiente
Just Enough Administration (JEA) é uma tecnologia administrativa que permite aplicar princípios de controle de acesso baseado em função (RBAC) por meio de sessões remotas do Windows PowerShell. Em vez de permitir aos usuários funções gerais que geralmente permitem que eles executem tarefas que não estão diretamente relacionadas aos seus requisitos de trabalho, o JEA permite que você configure pontos de extremidade especiais do Windows PowerShell que fornecem a funcionalidade necessária para executar uma tarefa específica.
O JEA permite bloquear sessões administrativas para que apenas um conjunto específico de tarefas possa ser executado por meio de uma sessão remota do Windows PowerShell. O JEA aumenta a segurança limitando as tarefas que podem ser executadas. Você configura o JEA criando e modificando arquivos de capacidade de função e arquivos de configuração de sessão.
Importante
O JEA suporta apenas a comunicação remota do Windows PowerShell.