Com a crescente atenção à segurança da informação, é essencial que todos os administradores de TI fortaleçam a segurança em sua infraestrutura existente para evitar possíveis violações. Pensando nisso listamos as melhores maneiras de configurar ADAudit Plus para garantir que suas informações permaneçam seguras.
Elevando o nível de segurança do ADAudit Plus
1. Seguindo o princípio do menor privilégio
Uma conta de usuário do Active Directory (AD) é geralmente associada ao ADAudit Plus para a coleta de dados registrados. Se uma conta de administrador de domínio for usada, o ADAudit Plus instantaneamente começa a auditar as alterações em seu ambiente AD. Mas, em geral, uma conta de administrador de domínio tem vários direitos e privilégios elevados não exigidos pelo ADAudit Plus. É por isso que recomendamos a criação de contas de usuário dedicadas que tenham apenas os privilégios e permissões necessários para que o ADAudit Plus execute seu trabalho. Dessa forma, mesmo que uma conta de usuário dedicada seja comprometida, o impacto da violação é inatamente contido.
2. Protegendo a conta de administrador integrada
ADAudit Plus vem com uma conta de administrador integrada com privilégios finais. Por padrão, a senha desta conta é a mesma para todos os clientes do ADAudit Plus, o que significa que você precisa alterar esta senha para protegê-la adequadamente. Se essa etapa for negligenciada, você deixará seu sistema vulnerável .
3. Habilitando HTTPS para comunicação segura
Recomendamos que você use HTTPS sobre HTTP para garantir o transporte seguro de informações em sua rede. Você pode fazer isso na interface do usuário na guia Admin . Navegue até as configurações encontradas em Configurações gerais → Conexão .
Essas configurações podem ser otimizadas ainda mais a partir do seguinte arquivo XML:
- conf \ server.xml → conector (encontre o conector HTTPS correspondente ao seu número de porta configurado).
Se você optar por permitir apenas uma versão específica do Transport Layer Security (TLS), ou seja, TLSv1, TLSv1.1 ou TLSv1.2, poderá desativar as outras versões modificando o seguinte parâmetro, mantendo apenas as versões TLS necessárias:
- sslEnabledProtocols = “TLSv1, TLSv1.1, TLSv1.2”
Se quiser desativar ou restringir as cifras, você pode fazer isso modificando o seguinte parâmetro para conter apenas as cifras necessárias:
- cifras = “TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
TLS_RSA_WITH_AES_128_CBC_SHA256,
TLS_RSA_WITH_AES_128_CBC_SHA,
TLS_RSA_WITH_AES_256_CBC_SHA256,
TLS_RSA_WITH_AES_256_CBC_SHA”
Com essas mudanças, você pode proteger todas as comunicações por meio do ADAudit Plus e fortalecer a segurança.
4. Restringindo o acesso de logon ao servidor ADAudit Plus
Para fortalecer ainda mais a segurança do ADAudit Plus, recomendamos que você restrinja o acesso de logon ao servidor ADAudit Plus, evitando assim o acesso indevido. Você pode definir as configurações de política local na guia Atribuição de Direitos do Usuário no Editor de Gerenciamento de Política de Grupo para Permitir logon localmente ou Permitir logon por meio de Serviços de Área de Trabalho Remota , apenas para um conjunto específico de usuários. Dessa forma, você reduz a superfície de ataque de sua infraestrutura.
5. Restringindo o acesso à pasta de instalação ADAudit Plus
Os administradores podem restringir o acesso à pasta de instalação do ADAudit Plus, modificando as permissões da pasta. Isso garante que ninguém, exceto usuários permitidos, tenha acesso aos arquivos do ADAudit Plus.
6. Auditoria para mudanças na pasta de instalação do ADAudit Plus
ADAudit Plus registra as alterações em sua pasta de instalação configurando a Lista de Controle de Acesso ao Sistema (SACL) se o monitoramento de integridade de arquivo (FIM) estiver habilitado no servidor onde o aplicativo está instalado. Dessa forma, você pode ter certeza de que ninguém adulterou as informações.
Nota : Isso também requer a licença apropriada.
7. Protegendo seu banco de dados com proteção de senha adicional
O ADAudit Plus vem com um banco de dados PostgreSQL integrado e protegido por senha, permitindo apenas acesso de pessoal autorizado. Por padrão, o serviço PostgreSQL cria uma conta de usuário com privilégios irrestritos – semelhante a uma conta de administrador de domínio no AD – para executar várias ações administrativas. ADAudit Plus altera a senha padrão desta conta e cria outra conta de usuário com privilégios limitados. Essa nova conta tem permissão restrita, é usada para se conectar ao banco de dados e é criptografada para garantir a segurança.
8. Técnicos de delegação e auditoria
As funções do técnico podem ser configuradas para limitar o acesso a determinados relatórios. Essas funções também podem restringir os técnicos de executar funções administrativas, como adicionar ou remover servidores para auditoria, modificar as configurações, etc. Além disso, ADAudit Plus fornece uma trilha de auditoria detalhada com base no usuário de todas as ações realizadas.
9. Protegendo a transferência de dados pela rede
Para coletar logs de eventos, ADAudit Plus permite que você escolha entre os seguintes modos de busca de eventos:
- Modo em tempo real
- Modo nativo
- Modo EvtQuery
- Modo WMI
Por padrão, os modos Tempo Real e EvtQuery criptografam os dados transferidos pela rede. Os modos WMI e Nativo, por padrão, não criptografam os dados transferidos, mas a criptografia pode ser ativada no modo WMI para maior segurança. Recomendamos que os administradores usem o modo em tempo real para garantir a transferência segura de dados e obter atualizações instantâneas sobre todas as alterações do AD.
10. Restringindo o acesso ao banco de dados de dentro da IU
ADAudit Plus, por padrão, desabilita o acesso ao banco de dados a partir de sua interface de usuário e permite que apenas a conta de administrador padrão habilite esta opção. O administrador também pode escolher quais contas têm esse privilégio. Isso evita que outras contas de técnico modifiquem ou excluam informações do banco de dados.
11. Protegendo dados arquivados
Para reduzir o consumo de espaço de armazenamento no banco de dados, os dados históricos podem ser compactados e armazenados separadamente. Esses arquivos podem ser restaurados posteriormente. Esses arquivos arquivados são protegidos por senha por ADAudit Plus para garantir a segurança. Para uma camada adicional de segurança, recomendamos que você restrinja o acesso às pastas que contêm esses arquivos.
12. Protegendo relatórios exportados e programados
Quando um usuário exporta um relatório em um formato específico (PDF, CSV, etc.), ou quando um usuário agenda um relatório específico para ser salvo localmente, os arquivos são protegidos por senha pelo ADAudit Plus. Também é recomendável que você modifique as permissões de pasta para a pasta que contém esses arquivos para evitar acesso indevido.
13. Usando LDAP sobre SSL
O ADAudit Plus permite que os administradores habilitem o protocolo LDAP (Lightweight Directory Access Protocol) sobre Secure Sockets Layer (SSL) para garantir que todas as comunicações de dados do Active Directory sejam criptografadas. Isso pode ser executado a partir da interface de usuário do ADAudit Plus em Configurações de conexão.
Mantenha o ecossistema do Windows Server seguro e em conformidade! Faça já o upgrade ou inicie sua avaliação gratuita de 30 dias do ADAudit da ManageEngine, contando sempre com o apoio da equipe ACSoftware.
ACSoftware revenda e distribuidora ManageEngine no Brasil. – Fone / WhatsApp (11) 4063 9639.
PodCafé da TI – Podcast, Tecnologia e Cafeína.
