As cinco principais configurações incorretas do Active Directory que colocam sua organização em risco

A equipe de resposta de segurança da Tenable examina algumas das configurações incorretas mais comuns — e alvo dos invasores — do Active Directory e oferece medidas proativas para ajudar os defensores cibernéticos a interromper as vias de ataque. 

O Active Directory da Microsoft é uma das tecnologias mais amplamente utilizadas para a administração de grupos e usuários nas redes de TI de uma organização. Ele atua como a interface central de gerenciamento para redes de domínio do Windows e é utilizado para autenticação e autorização de todos os usuários e máquinas. Isso faz com que o Active Directory seja um alvo importante e valioso para os atores de ameaças, pois os invasores podem usá-lo como um ponto de apoio para implementar malware, criar novas contas de usuário, adicionar novas máquinas à rede e utilizar sua funcionalidade para a movimentação lateral. 

Depois que um invasor obtém um ponto de apoio no Active Directory da organização, ele pode executar uma série de ações mal-intencionadas, como criar novos usuários administrativos, adicionar novas máquinas ao domínio, implementar ransomware na rede, comprometer sistemas confidenciais e roubar dados confidenciais, entre outras. Ao comprometer um único ativo no domínio, o invasor pode conseguir elevar privilégios e movimentar-se lateralmente na rede, estabelecendo como alvo dados ou dispositivos confidenciais ao longo do caminho.

Ainda assim, a administração do Active Directory pode ser complexa e desafiadora para as equipes de TI, e protegê-lo pode ser igualmente complicado para os profissionais de segurança. Muitas organizações não têm profissionais de segurança com habilidades e experiência em Active Directory. 

Os desafios de proteger o Active Directory na empresa

Os atores de ameaças conhecem bem os problemas comuns de configuração e procuram lucrar com eles assim que consigam entrar na sua organização. Depois que o invasor assume o controle do Active Directory, ele efetivamente detém a "chave do reino", que pode ser usada para acessar qualquer dispositivo ou sistema conectado à rede. Além disso, em casos que o Active Directory atua como provedor de identidade (IdP), o comprometimento dele pode afetar sua solução de logon único (SSO), dando aos invasores ainda mais acesso a contas adicionais às quais um usuário pode ter acesso configurado.

Problemas de configuração e problemas comuns de segurança são os dois principais riscos do Active Directory na maioria das organizações, mas também podem surgir desafios organizacionais. Por exemplo, em várias organizações, os administradores de TI gerenciam as implementações do Active Directory, enquanto seus colegas de segurança são responsáveis por protegê-lo. Várias organizações deparam-se com orçamentos limitados de TI e segurança, e é esperado que os profissionais de segurança, em particular, tenham conhecimentos em vários domínios. O resultado? O conhecimento especializado em Active Directory — e as diversas complexidades envolvidas na implementação adequada — pode não ser suficiente. 

Nossa nova publicação, Proteção do Active Directory: Os cinco principais erros de configuração que colocam sua organização em risco, tem como objetivo dar aos sobrecarregados profissionais de segurança e TI um lugar para focar iniciativas relacionadas ao Active Directory. A equipe de resposta de segurança (SRT) da Tenable analisou avisos de violação e consultou nossa equipe de pesquisa especializada em busca de perspectivas sobre as configurações incorretas do Active Directory que acreditamos que têm mais chances de serem exploradas em um ataque. 

A publicação explora os motivos pelos quais essas configurações incorretas podem ocorrer na organização, como elas ajudam os invasores e o que as organizações podem fazer para abordá-las.  

Um olhar mais atento a duas vulnerabilidades que afetam o Active Directory

Apesar de as vulnerabilidades que afetam diretamente o Active Directory não serem comuns, os invasores tendem a encadeá-las na tentativa de elevar os próprios privilégios e, muitas vezes, utilizar contas legítimas e o acesso ao Active Directory para invadir e acessar/atacar sistemas confidenciais na rede. O artigo apresenta perspectivas de duas vulnerabilidades proeminentes — Zerologon (CVE-2020-1472) e ProxyLogon (CVE-2021-26857 e outras) — e como elas podem afetar o Active Directory.

Faça download de Proteção do Active Directory: Os cinco principais erros de configuração que colocam sua organização em risco para saber:

• Como os invasores exploram e utilizam o Active Directory para atacar as organizações;

• Que tipos de vulnerabilidades são usadas para estabelecer o Active Directory como alvo;

• O que você pode fazer para proteger melhor sua organização contra as configurações incorretas comuns do Active Directory.


Melhorar a higiene cibernética, ter ciclos regulares de aplicação de patches, desenvolver planos para abordar patches fora da banda e fazer backups regulares são ações que podem ajudar a preparar sua organização para a próxima vulnerabilidade que pode impactar o ambiente do Active Directory. Administradores e defensores precisam estar prontos e permanecer atentos, implementando políticas para diminuir a exposição e proteger o núcleo.

Saiba mais

• Faça download da publicação técnica: Proteção do Active Directory: Os cinco principais erros de configuração que colocam sua organização em risco

• Leia o post do blog: Como interromper os ataques generalizados contra o Active Directory e identidades
• Veja mais da Tenable Research aqui