Luiz Henrique Lima Campos – Microsoft MVP

25 de junho de 2024
por luizhenriquelima
0 comentários

Melhorando a Segurança da Sincronização entre Active Directory e Microsoft Entra ID

Configuração do novo agente de sincronização na nuvem do Microsoft Entra - Microsoft Entra ID | Microsoft Learn

A sincronização entre o Active Directory (AD) on-premises e o Microsoft Entra ID é uma estratégia fundamental para empresas que utilizam ambientes híbridos. No entanto, esse processo pode representar riscos de segurança caso não seja configurado corretamente. A seguir, apresentamos práticas essenciais para garantir uma sincronização segura.

1. Restrinja a Sincronização de Contas Críticas

Contas administrativas locais possuem amplos privilégios e, se sincronizadas para a nuvem, podem se tornar alvos de ataques.

  • O que fazer? Evite sincronizar contas administrativas do AD local para o Microsoft Entra ID. Mantenha essas contas isoladas no ambiente on-premises e use contas específicas para administração na nuvem.

2. Ative a Sincronização de Hash de Senha com Proteção Reforçada

A sincronização de hash de senha permite que os usuários utilizem as mesmas credenciais no ambiente híbrido. Para evitar ataques de força bruta e vazamento de credenciais, é essencial aplicar proteção extra.

  • O que fazer? Ative a sincronização de hash de senha com criptografia reforçada. Caso utilize federação, configure esse recurso como um plano de contingência.

3. Exija Autenticação Multifator (MFA) para Todas as Contas

A autenticação multifator (MFA) reduz significativamente o risco de comprometimento de contas, pois exige uma verificação adicional além da senha.

  • O que fazer? Habilite a MFA para todos os usuários, especialmente para contas privilegiadas. Utilize métodos modernos, como autenticação por aplicativo móvel.

4. Utilize Protocolos Modernos de Autenticação

Métodos antigos de autenticação, como NTLM e Kerberos sem proteção, são vulneráveis a ataques como “Pass-the-Hash” e “Pass-the-Ticket”.

  • O que fazer? Adote protocolos modernos baseados em declarações, como OAuth 2.0, OpenID Connect e SAML, garantindo maior segurança na autenticação.

5. Configure Políticas de Acesso Condicional

Acesso irrestrito pode aumentar os riscos de ataques. Controlar quem pode acessar o ambiente híbrido ajuda a evitar acessos indevidos.

  • O que fazer? Configure políticas de acesso condicional para restringir logins suspeitos, bloquear acessos de locais desconhecidos e exigir dispositivos compatíveis e seguros.

6. Monitore e Audite as Atividades de Sincronização

Monitoramento ativo e alertas automáticos ajudam na identificação de anomalias e possíveis tentativas de ataque.

  • O que fazer? Habilite logs detalhados para acompanhar tentativas de login, mudanças em usuários e sincronizações inesperadas. Use ferramentas de monitoramento para análise contínua.

7. Proteja o Ambiente Local do Active Directory

O AD local continua sendo um dos principais alvos de ataques cibernéticos. Se comprometido, pode levar a ataques contra o ambiente de nuvem.

  • O que fazer? Mantenha os controladores de domínio atualizados, implemente hardening no AD, restrinja permissões desnecessárias e ative proteção contra ataques de elevação de privilégios.

8. Restrinja o Uso de Aplicações e APIs Não Seguras

O uso de aplicações sem conformidade com as diretrizes de segurança pode comprometer a sincronização de identidades.

  • O que fazer? Restrinja o acesso a APIs públicas, desative protocolos de autenticação legados e permita apenas aplicativos confiáveis conectados ao Microsoft Entra ID.

9. Utilize Contas de Serviço Gerenciadas para Sincronização

O uso de contas de serviço tradicionais pode representar um risco de segurança devido à falta de rotação de credenciais.

  • O que fazer? Configure Managed Service Accounts (MSA) ou Group Managed Service Accounts (gMSA) para as sincronizações, garantindo rotação automática de credenciais.

10. Revise e Ajuste as Configurações Periodicamente

Mesmo após a configuração inicial, novas ameaças podem surgir, tornando necessária a revisão constante das políticas de segurança.

  • O que fazer? Realize auditorias regulares, ajuste configurações conforme necessário e implemente novas práticas de segurança recomendadas.

Conclusão

A sincronização entre Active Directory e Microsoft Entra ID é um processo essencial para empresas híbridas, mas exige atenção redobrada à segurança. Seguindo essas práticas, é possível garantir maior proteção para credenciais, acessos e integridade do ambiente híbrido.

Implementar essas medidas reduz drasticamente os riscos e fortalece a segurança da identidade digital dentro da organização.

28 de maio de 2024
por luizhenriquelima
0 comentários

Monitorando Autenticações NTLMv1 no Windows Server e Registrando em Arquivo de Log com PowerShell

O NTLMv1 é um protocolo de autenticação antigo e menos seguro, sendo recomendado desativá-lo em ambientes modernos. Antes de desativá-lo, é essencial identificar quais sistemas ou aplicações ainda o utilizam. Este artigo orienta como monitorar autenticações NTLMv1 em um Windows Server, registrando os eventos em um arquivo de log utilizando PowerShell.

NTLMv1 überwachen und deaktivieren | WindowsPro

1. Habilitando a Auditoria de Logon

Para capturar eventos de autenticação NTLMv1, é necessário ativar a auditoria de logon nos controladores de domínio:

  1. Abra o Editor de Políticas de Grupo:
    • Execute gpedit.msc.
  2. Navegue até:
    • Configuração do Computador > Configurações do Windows > Configurações de Segurança > Políticas Locais > Política de Auditoria.
  3. Ative a Auditoria de Logon:
    • Clique duas vezes em Logon/Logoff > Auditar Logon e marque Êxito e Falha.

2. Identificando Autenticações NTLMv1 via Eventos

Após habilitar a auditoria, o Windows registrará eventos de logon no Visualizador de Eventos. Autenticações NTLMv1 são indicadas pelo Evento ID 4624 com detalhes específicos:

  • Caminho: Logs do Windows > Segurança
  • Evento ID: 4624 (Logon bem-sucedido)
  • Detalhes Relevantes:
    • Processo de Logon: NtLmSsp
    • Pacote de Autenticação: NTLM
    • Nome do Pacote (apenas NTLM): NTLM V1

Esses detalhes indicam que a autenticação utilizou NTLMv1.

3. Script PowerShell para Registrar Autenticações NTLMv1

Para automatizar a coleta desses eventos e registrá-los em um arquivo de log, utilize o seguinte script PowerShell:

powershellCopiarEditar# Defina o caminho para o arquivo de log
$logPath = "C:\Logs\NTLMv1_AuthLogs.txt"

# Verifique se o diretório existe; caso contrário, crie-o
if (-not (Test-Path -Path (Split-Path $logPath))) {
    New-Item -Path (Split-Path $logPath) -ItemType Directory
}

# Obtenha os eventos 4624 do log de segurança relacionados ao NTLMv1
$events = Get-WinEvent -LogName Security | Where-Object {
    $_.Id -eq 4624 -and
    $_.Properties[10].Value -eq "NTLM V1"
}

# Formate e registre os eventos no arquivo de log
foreach ($event in $events) {
    $logEntry = "Data/Hora: $($event.TimeCreated) | Usuário: $($event.Properties[5].Value) | Domínio: $($event.Properties[6].Value) | Estação de Trabalho: $($event.Properties[11].Value)"
    Add-Content -Path $logPath -Value $logEntry
}

Explicação do Script:

  • $logPath: Define o caminho onde o log será salvo.
  • Test-Path e New-Item: Verificam e criam o diretório para o log, se necessário.
  • Get-WinEvent: Obtém eventos do log de segurança.
  • Where-Object: Filtra eventos com ID 4624 e Properties[10].Value igual a “NTLM V1”.
  • Add-Content: Adiciona as entradas filtradas ao arquivo de log.

Observações:

  • Execute o script com privilégios administrativos.
  • Agende o script para execução periódica utilizando o Agendador de Tarefas do Windows, garantindo monitoramento contínuo.

4. Considerações Finais

Monitorar e identificar o uso de NTLMv1 é crucial para fortalecer a segurança do ambiente. Após identificar sistemas que ainda utilizam NTLMv1, planeje a migração para protocolos mais seguros, como o NTLMv2 ou o Kerberos. Além disso, considere desativar o NTLMv1 para evitar vulnerabilidades associadas a este protocolo legado.

Para mais informações sobre auditoria de NTLMv1, consulte a documentação oficial da Microsoft.

30 de abril de 2024
por luizhenriquelima
0 comentários

Script PowerShell para Contar Usuários em Grupos Administrativos do Active Directory

Descrição

Este script verifica os grupos administrativos do Active Directory, conta quantos usuários pertencem a cada grupo e salva o resultado em um arquivo de log.

Script PowerShell

powershellCopiarEditar# Importa o módulo Active Directory (necessário)
Import-Module ActiveDirectory

# Define os grupos administrativos que serão verificados
$adminGroups = @(
    "Administrators", 
    "Domain Admins", 
    "Enterprise Admins", 
    "Schema Admins", 
    "Account Operators", 
    "Backup Operators", 
    "Server Operators", 
    "Print Operators"
)

# Caminho para salvar o relatório
$logPath = "C:\Logs\Admin_Groups_Scan.txt"

# Verifica se o diretório existe, caso contrário, cria
if (-not (Test-Path -Path (Split-Path $logPath))) {
    New-Item -Path (Split-Path $logPath) -ItemType Directory
}

# Limpa o arquivo de log anterior, se existir
if (Test-Path $logPath) {
    Clear-Content $logPath
}

# Adiciona cabeçalho ao log
Add-Content -Path $logPath -Value "Relatório de Contas Administrativas - $(Get-Date)"
Add-Content -Path $logPath -Value "-------------------------------------------------"

# Varre cada grupo e conta os usuários
foreach ($group in $adminGroups) {
    try {
        $users = Get-ADGroupMember -Identity $group -Recursive | Where-Object { $_.objectClass -eq "user" }
        $count = $users.Count

        # Adiciona informações ao log
        Add-Content -Path $logPath -Value "Grupo: $group | Total de usuários: $count"
        
        # Lista os usuários pertencentes ao grupo
        foreach ($user in $users) {
            Add-Content -Path $logPath -Value "   - $($user.SamAccountName)"
        }
        Add-Content -Path $logPath -Value ""
    }
    catch {
        Write-Warning "Erro ao acessar o grupo $group. Verifique se ele existe no domínio."
    }
}

# Exibe o relatório no console
Get-Content $logPath

Como Funciona o Script

  • Importa o módulo Active Directory para que os comandos de gerenciamento do AD possam ser usados.
  • Define os principais grupos administrativos a serem verificados.
  • Cria um arquivo de log em C:\Logs\Admin_Groups_Scan.txt.
  • Verifica cada grupo, conta o número de usuários e registra os detalhes.
  • Lista os usuários dentro de cada grupo, permitindo uma análise mais detalhada.
  • Exibe o resultado no console após a execução.

Como Executar o Script

  1. Abra o PowerShell como Administrador.
  2. Copie e cole o script no PowerShell.
  3. Aguarde a execução e verifique o relatório em C:\Logs\Admin_Groups_Scan.txt.

Conclusão

Este script é útil para auditorias e revisões de segurança, permitindo identificar rapidamente quais usuários pertencem a grupos administrativos no Active Directory. Se necessário, o relatório pode ser revisado para remover acessos desnecessários e melhorar a segurança.

Agora você pode monitorar e controlar os acessos administrativos do seu ambiente de forma eficiente!

1 de março de 2024
por luizhenriquelima
0 comentários

Verificando a Integridade da Sincronização com Azure AD Connect: Um Guia Completo

A sincronização de diretórios entre o Active Directory local (AD) e o Azure Active Directory (Azure AD) é um componente crucial na gestão de identidades híbridas. O Azure AD Connect é a ferramenta projetada pela Microsoft para facilitar essa sincronização, garantindo que as informações de usuário sejam consistentes entre os ambientes on-premise e na nuvem. Este artigo fornece um guia detalhado sobre como verificar se a sincronização AD Connect está funcionando corretamente.

Pré-requisitos

  • Azure AD Connect instalado e configurado.
  • Direitos administrativos no servidor onde o Azure AD Connect está instalado.
  • Acesso ao portal do Azure para verificar os dados de sincronização.

Passo 1: Verificação Inicial

Antes de mergulhar nas ferramentas e logs, é prudente realizar algumas verificações básicas:

  • Verifique a Conectividade de Rede: Certifique-se de que o servidor que hospeda o Azure AD Connect tem conectividade de rede com o Azure AD.
  • Atualizações do Azure AD Connect: Verifique se você está executando a versão mais recente do Azure AD Connect. A Microsoft frequentemente lança atualizações que podem resolver problemas conhecidos de sincronização.

Passo 2: Usando o Azure AD Connect Health

O Azure AD Connect Health é uma ferramenta que fornece monitoramento e insights sobre o estado da sincronização:

  1. Acesse o Azure AD Connect Health: No portal do Azure, navegue até o Azure AD Connect Health sob o Azure Active Directory.
  2. Verifique o Estado de Sincronização: A interface do Azure AD Connect Health mostrará o status da sincronização, incluindo qualquer erro ou aviso que possa estar afetando o processo de sincronização.
  3. Analise os Relatórios de Sincronização: Os relatórios fornecem detalhes sobre as operações de sincronização, incluindo sincronizações bem-sucedidas e falhas.

Passo 3: Verificação do Synchronization Service Manager

O Synchronization Service Manager é uma ferramenta instalada com o Azure AD Connect que permite uma visão detalhada das operações de sincronização:

  1. Abra o Synchronization Service Manager: No servidor onde o Azure AD Connect está instalado, abra o Synchronization Service Manager.
  2. Verifique as Operações de Sincronização: Na aba “Operations”, você pode ver o histórico de tarefas de sincronização, incluindo detalhes sobre quaisquer erros ou alertas.

Passo 4: Utilizando o PowerShell para Verificação de Sincronização

Para uma análise mais detalhada, o PowerShell pode ser usado para verificar a sincronização:

powershell
Import-Module ADSync
Start-ADSyncSyncCycle -PolicyType Delta

Este comando inicia um ciclo de sincronização delta, que sincroniza apenas as alterações desde a última sincronização. Após a conclusão, você pode usar o seguinte comando para verificar o status do ciclo de sincronização:

powershell
Get-ADSyncSyncCycleStatus

Passo 5: Verificação de Usuários no Azure AD

Finalmente, é importante verificar diretamente no Azure AD se os usuários e grupos estão sendo sincronizados conforme esperado:

  1. Acesse o Portal do Azure: No portal, vá até o Azure Active Directory.
  2. Verifique Usuários e Grupos: Navegue até “Usuários” e “Grupos” para verificar se as contas e grupos do AD local estão presentes e atualizados.

Conclusão

Manter uma sincronização saudável entre o AD local e o Azure AD é vital para a gestão eficaz de identidades híbridas. Ao seguir este guia, você pode assegurar que a sincronização está funcionando corretamente, identificar e resolver rapidamente quaisquer problemas, garantindo assim a consistência e segurança dos dados de identidade da sua organização.