98% das ameaças à segurança começam com Active Directory.
Active Directory detém literalmente as chaves do seu reino. Se os princípios de segurança corretos não estiverem configurados e você estiver dando permissões excessivas aos seus usuários, você estará se deixando exposto a potenciais ameaças à segurança.
Within Active Directory, há inúmeros protocolos de segurança para escolher para implementar uma política de privilégios mínimos onde você só está concedendo acesso administrativo àqueles que realmente precisam dele.
Neste blog, vamos analisar exatamente o que são grupos de segurança no Active Directory, a diferença entre grupos de distribuição e grupos de segurança, para que grupos de segurança podem ser usados e exatamente como criar um.
O que são grupos Active Directory?
Active Directory, em geral, é um programa que classifica os usuários em vários grupos. É uma plataforma centralizada que a maioria das empresas usa para gerenciar suas contas de computador e para conceder acesso a dados sensíveis.
Um grupo Active Directory é um grupo de usuários que tiveram acesso a certos recursos. Há duas formas de dar a grupos este tipo de acesso; através de um Globally Unique Identifier (GUID) ou um Security Identifier (SID).
SIDs são usados principalmente quando o acesso quer ser dado a usuários específicos, enquanto GUIDs são usados ao agrupar usuários que todos precisam ter acesso aos mesmos recursos.
Grupos podem ser criados com base em usuários individuais que todos precisam de acesso a certos recursos, ou podem ser criados com base em grupos globais (como departamento), ou membros de um determinado domínio.
Os Dois Tipos de Grupos do Active Directory
Grupos do Active Directory são divididos em duas categorias – Active Directory Security Groups e Active Directory Distribution Groups.
O tipo real de grupo que você precisa dependerá da função requerida do grupo. Os grupos de distribuição são mais simples na medida em que seriam usados se apenas notificações unidirecionais fossem requeridas do controlador central. Grupos de segurança são mais complexos, e são aplicados quando você quer permitir que os usuários acessem e modifiquem dados.
Equipes de segurança precisam prestar muito mais atenção aos grupos de segurança para garantir que as permissões não se espalhem fora de controle e que os riscos para a segurança de seus dados sejam mitigados.
Por que você deve usar grupos de segurança do Active Directory?
Grupos de segurança são vitais quando se trata de manter os direitos de acesso apropriados aos seus dados mais sensíveis. A capacidade de agrupar usuários em potes para atribuir níveis de permissões é incrivelmente útil para manter uma política de menos privilégios.
Por exemplo, você pode usar grupos de segurança do Active Directory para atribuir permissões de alto nível aos membros do conselho para que eles possam enviar informações financeiras e KPIs para seus colegas. Você também pode usar grupos de segurança para atribuir permissões de nível inferior a novos membros.
Active Directory grupos de segurança também podem ser modificados através do portal AD, onde os usuários podem ser movidos ou removidos completamente.
Como criar um grupo de segurança no Active Directory
Os seguintes passos se aplicam ao Windows 10 e ao Windows Server 2016. Por favor note que você vai precisar ser um membro do grupo de Administradores de Domínio, ou ter as permissões corretas já aplicadas, para poder criar novos grupos você mesmo.
- Abrir o Active Directory Users and Computers Console.
- Selecione o container no qual você quer armazenar seu grupo (“Users”, por exemplo).
- Click “Action” – “New” – “Group”
- Nome seu grupo usando a caixa de texto Nome do Grupo e digite uma descrição.
- Dependente de sua infraestrutura florestal do Active Directory, escolha o escopo correto do Grupo: Global ou Universal.
- Click “Security” as the Group type and then click “Ok” to create your security group.
How to Improve the Security of Your Active Directory Security Groups
Muitas empresas devem lidar com marceneiros, abandonados e pessoas em movimento dentro do seu ambiente. Como os usuários mudam de função, deixam o negócio, ou iniciam uma nova função, suas permissões requeridas serão diferentes.
Felizmente, muitas empresas não estão se comunicando efetivamente o suficiente com as equipes de TI e segurança para garantir que as permissões e os membros dos grupos de segurança sejam mantidos apropriadamente. Na pior das hipóteses, isto poderia potencialmente levar a ameaças internas a colocar as mãos nos seus dados mais sensíveis.
A Plataforma de Segurança de Dados Lepide lhe dará a capacidade de gerar instantaneamente uma lista de usuários que foram considerados como tendo “permissões excessivas”, ou gerar alertas em tempo real quando as permissões forem alteradas, de modo que você possa tomar as medidas necessárias para manter sua política de menor privilégio.
Para ver a solução em ação, agende uma demonstração com um de nossos engenheiros hoje.