O AD360 e seus componentes requerem privilégios de administrador de domínio para realizar todas as operações desejadas. Se você não deseja usar uma conta de administrador de domínio, pode usar uma conta de usuário que tenha privilégios suficientes para realizar as operações desejadas. No post de hoje, vamos abordar todas as funções e permissões necessárias para os vários recursos de cada componente integrado ao AD360.
Nota: Para alguns componentes, como RecoveryManager Plus, você ainda precisa de uma conta com privilégio de administrador para usar todos os recursos.
HTTPS para conexão segura entre o cliente web e o servidor
SSL é uma técnica criptográfica que fornece criptografia de ponta a ponta para solicitações da web. Ao aplicar um certificado SSL válido no AD360, você pode habilitar a conexão HTTPS entre o cliente (navegador da web) e o servidor (AD360) para que todas as informações transferidas entre os dois sejam criptografadas e permaneçam protegidas contra ataques de segurança.
O AD360 também permite que você aplique centralmente um certificado SSL e habilite HTTPS para os componentes integrados a ele.
LDAPS para conexão segura entre o AD360 e Active Directory
Por padrão, a comunicação LDAP entre um cliente e o servidor Active Directory não é criptografada. O LDAP sobre SSL (LDAPS) protege a conexão LDAP entre o cliente (neste caso, o AD360) e o servidor LDAP (servidor Active Directory). Depois de aplicar um certificado SSL no AD, você pode configurar o AD360 para usar LDAPS conexão para maior segurança.
Protegendo a pasta de instalação do AD360 contra violação
O diretório de instalação do AD360 contém arquivos importantes necessários para que ele funcione corretamente, incluindo arquivos que são usados para iniciar e parar o produto e o arquivo de licença. Por padrão, o AD360 será instalado na pasta C: \ ManageEngine. Isso concederá até mesmo aos usuários não administradores pertencentes ao grupo Usuários Autenticados, permissão de Controle Total sobre os arquivos e pastas no diretório de instalação do produto, o que significa que qualquer usuário do domínio pode acessar a pasta e modificar seu conteúdo, potencialmente inutilizando o produto.
Para superar esse problema, você precisa desativar manualmente a herança e remover os Usuários Autenticados de determinada ACL da pasta pessoal do AD360.
2FA para segurança de login
Para garantir que apenas usuários autorizados possam acessar o AD360, ele oferece suporte à autenticação de dois fatores (2FA). Depois de ativado, o AD360 exigirá que os usuários se autentiquem usando um dos mecanismos de autenticação listados abaixo, além das credenciais do AD sempre que fizerem login.
- Verificação de e-mail.
- Verificação de SMS.
- Google Authenticator.
- RSA SecurID.
- Duo Security.
- Autenticação RADIUS.
Autenticação de cartão inteligente
Se você tiver um sistema de autenticação de cartão inteligente habilitado em seu ambiente, poderá configurar o AD360 para autenticar usuários por meio dele, ignorando outros métodos de autenticação de primeiro fator. Este recurso fornece uma opção de autenticação adicional para login AD360, permitindo o uso de cartões inteligentes / PKI / certificados para conceder acesso ao produto. A autenticação de cartão inteligente fortalece ainda mais a segurança porque obter acesso ao AD360 exigirá que o usuário possua o cartão inteligente e também saiba o número de identificação pessoal (PIN).
Quando um usuário tenta acessar a interface da web do AD360, ele teria permissão para prosseguir somente após completar a autenticação do cartão inteligente na máquina, ou seja, apresentando o cartão inteligente e, posteriormente, inserindo o PIN.
Integração com provedores de SSO para controles de acesso
Embora a autenticação 2FA e de cartão inteligente possa proteger o acesso ao AD360, você pode aumentar a segurança habilitando o logon único (SSO – Single Sign-On). O AD360 oferece suporte a qualquer provedor de identidade baseado em SAML, incluindo Okta, OneLogin, Ping Identity e AD FS, para gerenciar facilmente o acesso seguro ao seu console da web. Ao habilitar o SSO, você pode usar as políticas de acesso, autenticação multifator adaptativa (MFA), gerenciamento de sessão e outras técnicas de gerenciamento de acesso disponíveis no provedor de identidade para controlar o acesso ao AD360.
Restrição de acesso baseado em IP
Para controlar ainda mais quem pode acessar o AD360, você pode configurar regras baseadas em IP para permitir ou negar acesso ao console da web. Você pode permitir ou negar conexões de entrada para IPs ou intervalos de IP específicos. Isso adiciona uma camada extra de segurança, permitindo a conexão apenas de fontes confiáveis e bloqueando o tráfego indesejado e malicioso.
Restrição de acesso a URLs de API / produto
Você também pode controlar qual usuário pode acessar qual recurso ou API do AD360 configurando regras baseadas em IP. Semelhante à restrição de acesso baseado em IP, que permite ou nega acesso a todo o produto, a restrição de API / URLs do produto permite ou nega acesso a um URL de produto específico (recurso, digamos, a guia Admin) ou chamada API.
Bloquear usuários após tentativas de login inválidas
Os invasores geralmente usam tentativas de força bruta para hackear uma conta de usuário e obter acesso a aplicativos e recursos. Para impedir essas tentativas, o AD360 pode ser configurado para bloquear contas de usuário após um certo número de tentativas consecutivas de login inválido.
O AD360 também suporta CAPTCHA para prevenir ataques baseados em bot. CAPTCHA, serve como uma medida de segurança contra ataques de força bruta baseados em bot. A ativação dessa configuração exibirá uma imagem CAPTCHA na página de login. Os usuários finais devem inserir os caracteres mostrados na imagem CAPTCHA para fazer login no portal AD360 da web . Você pode configurar se deve sempre mostrar CAPTCHA ou apenas após um certo número de tentativas de login inválidas. Além da imagem CAPTCHA, você também pode ativar o Áudio CAPTCHA para auxiliar usuários com deficiência visual.
Controle de acesso baseado em função
Todos os componentes do AD360 vêm integrados com funções de usuário que definem quem pode acessar os componentes e quais recursos do componente podem acessar. Você pode conceder acesso com segurança a técnicos de help desk ou usuários não administradores atribuindo-lhes funções. Por exemplo, os usuários que receberam a função de administrador podem acessar e configurar todos os recursos, quais usuários com função de técnico ou operador podem apenas acessar a guia Dashboard e Relatórios, e eles não podem fazer nenhuma mudança que afete o funcionamento do produto.
As etapas para configurar as funções e atribuí-las aos usuários variam de componente para componente.
Medidas contra ameaças de segurança comuns
O AD360 vem integrado com medidas de segurança contra alguns dos ataques cibernéticos comuns. Esses incluem:
- Ignorando validações do lado do cliente: Ao explorar esta vulnerabilidade, um invasor ignora a validação de entrada do lado do cliente para conteúdo direcionado, por exemplo, campos de senha. Os invasores geralmente contornam as validações de entrada de um aplicativo da web removendo o JavaScript, usando uma ferramenta de desenvolvedor da web ou manipulando a solicitação HTTP (usando uma ferramenta de proxy) de uma maneira que não passe pelo navegador. O AD360 pratica a validação do lado do cliente e do lado do servidor para se defender contra esse tipo de ataque.
- Vazamento de informações por meio de comentários: o vazamento de informações ocorre quando um aplicativo divulga acidentalmente dados confidenciais, como detalhes técnicos de uma rede ou aplicativo, ou dados específicos do usuário. Dependendo de quais dados vazaram, eles podem ser usados por um invasor para explorar o aplicativo da Web de destino, sua rede de hospedagem ou os usuários do aplicativo.
A equipe do AD360 se certificou de que nenhuma informação sensível seja divulgada por meio de comentários no código-fonte.
- Vulnerabilidade de falsificação de solicitação entre sites (CSRF): CSRF (Cross-site request forgery) é um ataque que engana um navegador da Web, fazendo-o executar um comando indesejado em um aplicativo ao qual o usuário está conectado. Isso é realizado por um usuário clicando inadvertidamente em um link malicioso em um site legítimo. Isso envia uma solicitação HTTP que o usuário não pretendia levantar, que inclui um cabeçalho de cookie que contém o ID de sessão do usuário. Além disso, como o aplicativo autentica o usuário no momento do ataque, é impossível para o aplicativo distinguir entre solicitações legítimas e falsas.
O AD360 envia todas as solicitações com um token. Isso evita a execução de ações que não fornecem os tokens de autenticação necessários.
- Cifra SSL fraca: um aplicativo que depende de SSL / TLS para transmissões de dados com cifras fracas, deixa o aplicativo desprotegido e permite que um invasor roube ou manipule dados confidenciais.
O AD360 permite que você substitua a técnica de criptografia usada por padrão por outro método que é mais forte com base em sua exigência.
- Injeção de SQL por meio de construção de estrutura: a injeção de SQL ocorre quando um invasor adiciona ou injeta código malicioso em uma instrução SQL executada pelo aplicativo da web. Uma injeção SQL bem-sucedida permite que os invasores falsifiquem a identidade de um usuário, adulterem os dados existentes e até ganhem controle total sobre o servidor do aplicativo da web.
As operações de banco de dados para o AD360 são gerenciadas por meio de nossa estrutura interna para evitar injeções de SQL e outros ataques semelhantes.
Métodos de criptografia DES e AES-256 para armazenamento de dados
Todos os dados relacionados ao produto, como detalhes de domínio, detalhes de contas que usam autenticação AD360, etc., são armazenados no produto usando métodos de criptografia fortes para segurança máxima. Diferentes componentes empregam diferentes métodos de criptografia para diversos fins, como DES, AES-256 e SHA-512. Todos os métodos de criptografia usados no AD360 são algumas das técnicas de criptografia mais seguras e são considerados logicamente inquebráveis.
Expiração de sessão para encerrar sessões ociosas
O AD360 oferece suporte para expiração de sessão, que encerra a sessão inativa de usuários com base em um período predefinido. Se um usuário se afastar de seus computadores sem fazer logoff do AD360 ou travar o computador, qualquer pessoa pode acessar o produto e fazer alterações não autorizadas. O recurso de expiração de sessão reduz a possibilidade de alguém acessar a sessão inativa de um usuário autorizado. Quando o limite de tempo inativo for atingido, o usuário será bloqueado automaticamente. O usuário deve efetuar login novamente para continuar com a sessão.
Suporte de proxy reverso para ocultar a identidade do servidor
Um proxy reverso é um servidor usado como um ponto estratégico na rede. Ele reforça a segurança do aplicativo da web, ocultando a localização e a identidade de um servidor quando usuários remotos acessam um aplicativo pela Internet. O servidor proxy reverso recebe solicitações de clientes externos e as encaminha para os servidores de aplicativos da web de destino, que geralmente estão localizados dentro da LAN e não são diretamente acessíveis de fora. Ele também recebe a resposta dos servidores e a encaminha ao cliente. Ao longo de todo o processo, o cliente assume que o proxy reverso é o servidor de aplicativos da web.
O AD360 vem integrado com um servidor proxy reverso. Você pode usar o AD360 para agir como proxy reverso para si mesmo e para os produtos que integrou a ele. O AD360 permite habilitar um proxy reverso baseado em contexto, um proxy reverso baseado em porta ou ambos.
Relatório de auditoria para monitorar as atividades do administrador e do usuário
Todas as ações executadas pelos administradores, técnicos e outros usuários são registrados em relatórios de auditoria em cada componente. Esses relatórios fornecem informações sobre quem fez quais mudanças, quando e de onde. Você pode definir a frequência com que esses relatórios devem ser gerados, exportar esses relatórios em vários formatos de arquivo e configurá-los para serem entregues por e-mail para as áreas interessadas.
Integração SIEM para análises de segurança avançadas e detecção de ameaças
Para uma análise aprofundada e análise de ameaças, você pode encaminhar os logs gerados por seus componentes para um servidor syslog ou solução SIEM. Isso o ajudará a compreender ainda melhor como os usuários usam o AD360 e seus componentes, detectam ameaças e muito mais.
Alta disponibilidade para serviço ininterrupto
Alta disponibilidade descreve uma família de práticas destinadas a fornecer um nível específico de disponibilidade, eliminando ou mitigando modos de falha. O AD360 oferece suporte a alta disponibilidade em caso de falhas do sistema e do aplicativo. A alta disponibilidade é alcançada por meio de failover automático: quando o serviço AD360 em execução em uma máquina falha, outra instância do serviço AD360 em execução em uma máquina diferente assume automaticamente. Você pode configurar e gerenciar a alta disponibilidade para o AD360 e seus componentes integrados diretamente do console.
O AD360 é uma solução de gerenciamento de identidade e acesso (IAM – Identity and Access Management) para gerenciar identidades de usuários, governar o acesso a recursos, reforçar a segurança e garantir a conformidade. O AD360 fornece todas essas funcionalidades para o Windows Active Directory, Exchange Server e Microsoft 365. Com o AD360, você pode escolher os módulos de que precisa e começar a enfrentar os desafios de IAM em ambientes locais, em nuvem e híbridos, tudo a partir de um único console.
Faça já o upgrade ou inicie sua avaliação gratuita de 30 dias do AD360 da ManageEngine, contando sempre com o apoio da equipe ACSoftware.
ACSoftware revenda e distribuidora ManageEngine no Brasil. – Fone / WhatsApp (11) 4063 9639.
PodCafé da TI – Podcast, Tecnologia e Cafeína.
