Auditoria do Active Directory com o PRTG

O Active Directory (Active Directory) é um serviço de diretório criado pela Microsoft para uso em um ambiente Windows Server. O TI fornece funções de autenticação e autorização, bem como uma estrutura para outros serviços relacionados. O diretório em si é um banco de dados LDAPS que contém objetos do Active Directory em rede.

A auditoria do Active Directory é o processo de rastreamento e registro de eventos que ocorrem em um ambiente Active Directory. Isso inclui ações como logins, alterações em contas de usuários, acesso a arquivos ou recursos e atividades administrativas. A auditoria ajuda as organizações a manter a segurança, a conformidade e a responsabilidade, fornecendo um registro detalhado de quem fez o quê, quando e de onde dentro da rede. Os componentes típicos do processo de auditoria são as políticas de auditoria, os logs de auditoria e os relatórios de auditoria.

Uma das muitas funções do Active Directory é a de guardião - controlando quais usuários podem usar recursos na rede e seu nível de interação com esses recursos. Compartilhamentos de arquivos, servidores de arquivos, aplicativos, acesso à Internet, impressoras: todos dependem do Active Directory para permitir ou negar acesso. Isso faz com que seja de vital importância para os administradores de sistema acompanhar como o Active Directory está protegendo esses recursos.

A Microsoft incluiu excelentes recursos de auditoria no Active Directory. Log on/log off, acesso a objetos, alterações de políticas, gerenciamento de contas e muitas outras atividades deixam registros detalhados no Log de eventos de segurança do Windows. Infelizmente, mesmo em uma rede pequena, a auditoria do Active Directory pode criar um grande número de eventos de logs, o que dificulta muito o controle dos realmente importantes. As ferramentas de auditoria do Active Directory, como o PRTG, o ajudam a acompanhar esses eventos e o alertam se algo não estiver funcionando como deveria.

Uma auditoria do Active Directory (Active Directory) envolve vários aspectos críticos de segurança para garantir a integridade, a disponibilidade e a confidencialidade do ambiente do Active Directory. Veja a seguir alguns dos principais aspectos de segurança normalmente envolvidos em uma auditoria do Active Directory

Gerenciamento de contas de usuário

• Provisionamento e desprovisionamento de contas: Assegure-se de que as contas de usuário sejam criadas, modificadas e desativadas de acordo com as políticas estabelecidas e que as contas inativas sejam prontamente desativadas.
• Contas privilegiadas: Audite o uso e o gerenciamento de contas privilegiadas para garantir que elas sejam usadas adequadamente e não sejam privilegiadas demais.

Políticas de senha

• Requisitos de complexidade: Verifique se as políticas de senha impõem requisitos de complexidade para evitar senhas fracas.
• Expiração e rotação: Verifique se as senhas estão definidas para expirar periodicamente e se os usuários são obrigados a alterá-las regularmente.
• Bloqueio de contas: Certifique-se de que as políticas de bloqueio de contas estejam em vigor para evitar ataques de força bruta.

Objetos de política de grupo (GPOs)

• Configuração de políticas: Revise os GPOs para garantir que estejam configurados de acordo com as práticas recomendadas de segurança e as políticas organizacionais.
• Aplicativo e escopo: Certifique-se de que os GPOs sejam aplicados corretamente e tenham o escopo dos usuários e computadores apropriados.

Controles de acesso

• Permissões e direitos: Audite as permissões em objetos críticos do Active Directory (por exemplo, unidades organizacionais, contas de usuário) para garantir que sejam definidas de acordo com o princípio do menor privilégio.
• Controle de acesso baseado em função (RBAC): Verifique se o acesso é concedido com base em funções e responsabilidades.

Auditoria e logs

• Log de eventos: Certifique-se de que o registro em log esteja ativado para atividades críticas do Active Directory, como eventos de logon, alterações em objetos do Active Directory e ações administrativas.
• Revisão de logs: Revise e analise regularmente os logs em busca de sinais de atividades suspeitas ou não autorizadas.

Configuração de segurança

• Configurações de segurança de linha de base: Verifique se o ambiente do Active Directory está em conformidade com as definições e configurações de segurança da linha de base.
• Gerenciamento de patches: Certifique-se de que os servidores Active Directory e os controladores de domínio sejam atualizados regularmente com patches de segurança.

Replicação e disponibilidade

• Integridade da replicação: Verifique a integridade e a configuração da replicação do Active Directory para garantir a consistência dos dados em todos os controladores de domínio.
• Backup e recuperação: Verifique se os backups do Active Directory são feitos regularmente e se os procedimentos de recuperação são testados.

Contas de serviço

• Uso e gerenciamento: Audite as contas de serviço para garantir que elas sejam usadas adequadamente e tenham as permissões mínimas necessárias.
• Gerenciamento de senhas: Certifique-se de que as senhas das contas de serviço sejam gerenciadas de forma segura, com alterações periódicas e armazenamento adequado.

Políticas de segurança

• Conformidade: Certifique-se de que as políticas do Active Directory estejam em conformidade com os requisitos de segurança organizacionais e regulamentares.
• Aplicação de políticas: Verifique se as políticas de segurança são aplicadas de forma consistente em todo o ambiente do Active Directory.

Segurança física

• Segurança do controlador de domínio: Garanta que o acesso físico aos controladores de domínio seja restrito e monitorado.

Resposta a incidentes

• Monitoramento e alertas: Certifique-se de que existam mecanismos para detectar e responder a incidentes de segurança no ambiente do Active Directory.
• Procedimentos de tratamento de incidentes: Verifique se há procedimentos claros para lidar com incidentes de segurança envolvendo o Active Directory.

Conformidade e relatórios

• Requisitos regulamentares: Certifique-se de que as configurações e práticas do Active Directory atendam aos requisitos regulatórios e de conformidade relevantes (por exemplo, GDPR, HIPAA).
• Relatórios de auditoria: Gerar e revisar relatórios para documentar a conformidade e identificar áreas de melhoria.

Não. O PRTG é um software proprietário de monitoramento de rede que permite que você fique de olho em toda a sua infraestrutura de TI, incluindo:

• Monitoramento SSL: O PRTG determina a extensão em que suas conexões estão protegidas. Portanto, você pode saber se suas conexões são fortes, fracas ou não estão protegidas.
• Monitoramento de ping: O PRTG usa o ping para verificar a disponibilidade de todos os seus dispositivos de rede. Se o ping falhar, você será notificado imediatamente.
• Monitoramento de QoS: Sua linha está instável? Suas chamadas de vídeo continuam caindo? Se sim, então você tem um problema com sua qualidade de serviço. O PRTG permite que você configure um monitoramento de QoS fácil e eficaz e monitore valores como latência e jitter.
• Monitoramento do contador de desempenho do Windows: Localize gargalos de rede, melhore o desempenho do seu sistema e aplicativos e obtenha informações sobre os aplicativos em execução em um servidor IIS usando os contadores de desempenho do Windows.
• Monitoramento do servidor Web: O PRTG pode monitorar a disponibilidade de seus servidores web, incluindo CPU, memória, desempenho do servidor web, tempos de carga e muito mais.
• E muito mais

Se você usa o Microsoft Entra ID (antigo Active Directory do Azure ) e deseja ficar de olho no que está acontecendo lá, também temos o que você precisa.

Configure, por exemplo, um sensor Microsoft Azure Subscription Cost para manter seus custos de assinatura sob controle. Ou crie um sensor PRTG customizado para monitorar atividades que possam representar um risco:

• Seja informado sobre logins arriscados, por exemplo, de um país incomum ou suspeito
• Receba alertas sobre atividades de viagem impossíveis, por exemplo, se uma conta fizer logs da Alemanha e, dois minutos depois, de Hong Kong
• Verifique se há contas do Active Directory que a Microsoft acredita estarem expostas a um risco
• Fique de olho nos novos dispositivos registrados para a autenticação multifator

No PRTG, “sensores” são os elementos básicos de monitoramento. Um sensor geralmente monitora um valor medido na sua rede, por exemplo, o tráfego em uma porta de switch, a carga de CPU de um servidor ou o espaço livre em uma unidade de disco. Em média, você precisa de 5-10 sensores por dispositivo ou um sensor por porta de switch.