Criando equipe de Suporte no Active Directory

 

Estes procedimentos tem o objetivo de criar um grupo de administradores do AD (Active Directory) para os usuários de suporte Nível I, em conformidade ao que descreve o Framework ITIL (Information Technology Infrastructure Library ou em tradução livre), ou seja, conjuntos de boas práticas.                   

 

CAPÍTULO 1

O novo grupo terá permissões de administrador típicas na OU que você selecionar. Para este projeto será concedido os privilégios mínimos, apenas o de instalar programas, colocar máquinas no AD ou outras ações pertinentes que a gestão de TI achar necessário.

Principais ações que o novo grupo não será capaz de fazer:

·       Reorganizar OUs;

·       Alterar propriedades no nível de domínio;

·       Coletar senhas do LAPS (Microsoft Local Administrator Solution);

Estes perfis de configuração é o padrão utilizado para a maioria dos cenários nas empresas, contudo é possível ajustar com cada necessidade.

Iniciando os trabalhos, será usado o ASSISTENTE DE DELEGAÇÃO DE CONTROLE. Primeiro siga com os passos abaixo, vejamos:

1.     Abra Usuários e Computadores do Active Directory;

2.     Crie uma OU (Organizational Unit) de SUPORTE

3.     Clique com o botão direito na referida UO, vá para Novo e clique em Grupo;

Figura 1 – Criação de Grupo.

 

Figura 2 – Tela para nomear o nome do novo Grupo.

3- Nomeie o grupo

4- Clique com o botão direito na unidade organizacional para a qual deseja conceder permissões a este grupo e clique em Delegate Control.

Figura 3 – Usando o método de Delegação

 Observe que, para seguir o Princípio do menor privilégio, você não deve dar ao grupo acesso a todo o domínio

5- Clique em Add e selecione o grupo que você acabou de criar

6- Verifique as seguintes opções:

·       Criar, excluir e gerenciar contas de usuário

·       Redefina as senhas do usuário e força a alteração da senha no próximo logon

·       Leia todas as informações do usuário

·       Criar, excluir e gerenciar grupos

·       Modificar a associação de um grupo

·       Gerenciar links de política de grupo

·       Gerar conjunto de políticas resultante (planejamento)

·       Gerar conjunto de políticas resultante (registro)

 

Figura 4 – Criação das delegações, adicionando o grupo criado anteriormente.

 Com base nesta tela da figura 4, supracitado, é necessário seguir os passos abaixo para delegar a capacidade de desbloquear contas de usuário. Após cumprir estes passos, este grupo de administradores do Active Directory já pode ser adicionado à sua equipe de Suporte/ TI sem expor os aspectos vitais do seu ambiente.

1- Clique com o botão direito na unidade organizacional para a qual deseja conceder permissões a este grupo e clique em Delegate Control
2- Clique Add e selecione o grupo que você criou anteriormente
3- Selecione Create a custom task to delegate
4- Selecione Only the following objects in the folder e clique User Objects no final da lista
5- Selecione Property-specific em Show these Permissions
6- Marque Ler e Escrever para LockoutTime

Com estas configurações o perfil já está criado para o time de suporte, contudo é recomendado aplicar mais algumas camadas de segurança. Observe logo abaixo:

1- Abra Usuários e Computadores do Active Directory.
2- Clique com o botão direito na UO ( criada recentemente ) em que deseja criar o grupo de segurança, vá para Novo e clique em Grupo.

Figura 5 – Procedimento 1, Criação de mais uma camada de segurança – Grupo

3- Nomeie o grupo;
4- Clique com o botão direito na unidade organizacional para a qual deseja conceder permissões a este grupo e clique em Properties;

Figura 6 – Procedimento 2, para camada de segurança

Observe que, para seguir o Princípio de menor privilégio, recomenda-se que é aplicada algumas diretivas, veja a seguir.

5- Vá para a Security guia e clique em Advanced
6- Clique em Add=> Select a principal e escolha o grupo que você acabou de criar
7- Permitir a política em This object and all descendant objects

Figura 7 – Procedimento 3, Criação da camada de segurança. 

 

Figura 8 – Procedimento 4, Criação da camada de segurança.

 

Figura 9 – Procedimento 5, Criação da camada de segurança.

 

8- Verifique as seguintes opções:

o   Criar objetos de usuário

o   Criar objetos de computador

o   Excluir Objetos de Computador

o   Criar Objetos de Grupo

o   Excluir objetos do grupo

9- Clique OK
10- Clique em Add=> Select a principal e escolha o grupo que você acabou de criar
11- Permitir a política em Descendant Computer objects

Figura 10 – Procedimento 6, Criação da camada de segurança.

 

Figura 11 – Procedimento 7, Criação da camada de segurança.

Este procedimento 7 segue o mesmo passo do procedimento 5 da 

figura 8.

12- Verifique Full Control, clique OK
13- Clique em Add=> Select a principal e escolha o grupo que você acabou de criar
14- Permitir a política em Descendant Group objects

Figura 12 – Procedimento 8, Criação da camada de segurança.

15- Verifique Full Control, OK
16- Clique em Add=> Select a principal e escolha o grupo que você acabou de criar
17- Permitir a política em Descendant User objects

18- Verifique Full Control, clique OK
19- Clique OK e OK novamente para confirmar

Com estes procedimentos o grupo de administradores do Active Directory já pode ser adicionado à sua equipe de Suporte/TI sem expor os aspectos vitais do seu ambiente.

 

CAPÍTULO 2

DELEGAR PERMISSÕES PARA INSERIR E TIRAR DO DOMÍNIO OU APENAS RENOMEAR COMPUTADORES NO DOMÍNIO

 PROCEDIMENTO C2-1

1- Clique com o botão direito na unidade organizacional para a qual deseja conceder permissões a este grupo e clique em Delegate Control
2- Clique Add e selecione o grupo que você criou anteriormente

3- Selecione Create a custom task to delegate 

Se o objetivo for ingressar e reingressar computadores no domínio, as permissões necessárias são:

Active Directory Object Type

• Computer Object
• Create selected object in this folder
• Delete selected object in this folder

Permissions

• Reset Password
• Read and Write Account Restrictions
• Validated Write to DNS Host Name
• Validated Write to Service Principal Name

Figura 13 - Tela de exemplo para configuração de perfil com privilégios de remover do domínio ou ingressar. 

PROCEDIMENTO C2-2

Se o objetivo for renomear computadores no domínio, as permissões necessárias são:

Active Directory Object Type

• Computer Object

Permissions

• Read All Properties
• Write All Properties
• Validated Write to DNS Host Name
• Validated Write to Service Principal Name

Se o intuito for para fazer ambos os procedimentos deste capítulo 2, então adicione já no Procedimento C2-1, estes itens em Permissions:

• Read All Properties
• Write All Properties

Com estes procedimentos é possível alcançar os objetivos do artigo evitando assim o compartilhamento de senhas únicas para todos os colaboradores do time de TI. É de suma importância aplicar estes procedimentos, isto possibilita a criação da consciência saudável de segurança da informação e permite a responsabilização de suas ações por parte do colaborador.

O próximo passo é a criação de um artigo falando sobre a implementação do LAPS (Microsoft Local Administrator Solution), ele é responsável por alterar a senha automaticamente de forma aleatória. Concluindo então este Assessment de segurança do Active Directory.

 Fonte: 

 https://www.portalgsti.com.br/2017/08/grupos-de-usuarios-no-active-directory.html

 http://www.linhadecodigo.com.br/artigo/2794/limitando-a-adicao-de-maquinas-no-dominio.aspx

 https://social.technet.microsoft.com/Forums/pt-BR/8c251a2c-5a26-4744-8da7-8c2833b57e51/delegar-controle-para-inserir-maquinas-no-dominio-em-um-ou-ad?forum=especinfrapt

 https://docs.microsoft.com/pt-br/troubleshoot/windows-server/identity/retore-deleted-accounts-and-groups-in-ad

 https://docs.microsoft.com/pt-br/windows-server/identity/ad-ds/manage/component-updates/appendix-i--creating-management-accounts-for-protected-accounts-and-groups-in-active-directory

https://docs.microsoft.com/pt-br/windows-server/failover-clustering/configure-ad-accounts

https://dicasdeinfra.com.br/criar-um-grupo-de-administradores-do-active-directory-win-2012-r2/

Instalando o Metasploit no Debian

 Neste artigo veremos um em dois passos, como instalar o metasploit (Framework de Pentest) em uma máquina Debian. 

Obs.: Os textos em negrito são os comandos.

Primeiro, inicialize sua máquina debian e abra o Terminal como administrador, instale o curl. 

#>apt-get install curl

Segundo, copie e cole no mesmo terminal o comando abaixo, lembre-se, o comando tem que ser no estado que se encontra: 

#>curl https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb > msfinstall && \

  chmod 755 msfinstall && \

  ./msfinstall

Fonte: https://github.com/rapid7/metasploit-framework/wiki/Nightly-Installers

PLANO DE RESPOSTA A INCIDENTE CIBERNÉTICO

 

PLANO DE RESPOSTA A INCIDENTE CIBERNÉTICO

OBJETIVO

• Ter a capacidade e habilidade de lidar e responder a diferentes tipos de incidentes de cibersegurança de forma sistemática.
• Garantir a capacidade de identificar, conter e se recuperar de um ataque.
• Reintegrar as operações regulares da empresa o mais rápido possível e mitigar o impacto negativo nas operações de negócio.
• Possuir políticas de segurança com eficácia e garantir que a qualidade dos serviços se mantenha nos níveis combinados.
• Minimizar a perda e os efeitos pós violação.
• Para a empresa, melhorar as habilidades no tratamento de incidentes e aumentar sua empregabilidade.

 

CONCEITO DE INCIDENT HANDLER

Manipulador de Incidentes - É um programa abrangente de nível especializado que transmite o conhecimento e as habilidades de que as organizações precisam para lidar com as consequências pós-violação, reduzindo o impacto do incidente, tanto do ponto de vista financeiro quanto de reputação.

Desta forma, é possível dizer que o Manipulador de Incidentes é um termo usado para descrever as atividades de um organização para identificar, analisar e corrigir perigos para prevenir uma recorrência futura. Esses incidentes dentro de uma estrutura organização são normalmente tratadas por um Incidente Equipe de Resposta (IRT) ou Equipe de Gerenciamento de Incidentes (IMT).

Essas equipes são frequentemente designadas de antemão ou durante o evento e são colocados no controle da organização enquanto o incidente é tratado, a fim de reter os processos de negócios.

CRIAÇÃO DE:

·       PROTOCOLO DE RESPOSTA DE CRISES CIBERNÉTICAS;

·       UM PLANO DE CONTINGÊNCIA;

·       MONITORAMENTO ATIVO E REATIVO;

Ideia central – Cada unidade (filial) terá um responsável direto treinado para relatar, avaliar (classificar) e tratar nos primeiros minutos ao identificar um evento. Uma vez identificado e classificado, o PLANO de Resposta a Incidentes irá:

1.     Levantar as informações e soluções;

2.     Investigar a causa e efeito;

3.     Avaliará o impacto no vazamento dos dados;

4.     Aplicará a devida Mitigação e Controles;

5.     Criará um Relatório Final.

Em conformidade ao NIST's Computer Security Incident Handling Guide, há um processo de Handling:

Figura 1 - Processo de Handling

 

SUGESTÃO PARA CRIAÇÃO DE UM TIME

MULTIDISCIPLINAR PARA RESPOSTA INCIDENTE

·      Identificar e quantificar pessoas para se juntar ao time;

·       Escolher o esquema do time, como local, centralizado ou times combinados;

·       Usar um time multidisciplinar:

  I.          Operações Jurídico

 II.          Recursos Humanos

III.          Relações Publicas

IV.          Recuperação de Desastres

 

·   Ideal é possuir pelo menos 10% do tempo destinado ao incidente handling. Estabelecer um baseline de tempo de resposta;

·       15 a 120 minutos dependendo da sensibilidade da infraestrutura da empresa;

·       Possuir um técnico experiente no site em um tempo determinado;

·       Pode não reportar ao incident handler team, mas fazer parte da unidade de negócio. Ter certeza que isto faz parte do Descrição do seu Trabalho para o time de suporte.

PREPARAÇÃO – CHECKLISTS

Administradores devem preparam check-lists e procedimentos para recuperar um sistema em seu controle:

·       Criar um breve documento por tipo de sistema;

·       Estabelecer um plano de compensação e visibilidade para o time. Obtendo acesso para sistemas e dados;

·       O time de incidente necessita possuir acesso aos sistemas para o respectivo fim que se destina;

·       Deve possuir senhas e chaves criptográficas de sistemas críticos.

 

PREPARAÇÃO E COMUNICAÇÃO

·       Criar uma lista de chamadas e estabelecer métodos de informar as pessoas rapidamente;

·       Obter um número de conferência que pode ser configurado com notificação instantânea (conceito de primeiro membro na cena deixa mensagens para outros)

·       Imprimir no tamanho de cartão de credito com uma lista de contatos do time de Incident Handling.

·       Testar a lista de contatos e árvore de contatos.

PREPRAÇÃO E RELACIONAMENTO

FORNECER FACILIDADES ENTRE AS COMUNICAÇÕES:

·       Educar usuários quando contratados;

·       Publicar a lista de indicadores de um incidente;

·       Usar mecanismos múltiplos como o telefone (hotline), e-mail e intranet;

·       Recompensar pelo reporting;

·       Atualizar a gerencia continuamente.

CULTIVAR RELACIONAMENTOS:

·       Ao time de campo, coordenar para que eles sejam: os olhos e ouvidos.

·       Atenção particular com o relacionamento com os administradores - envolve-los no time.

·       Conduzir treinamentos proativos;

·       Capacitar o time na leitura de log.

RELACIONAMENTO

TREINAR O TIME:

·       Realizar reuniões de treinamento/planejamento em cenários;

·       Fazer treinamentos de ferramentas e técnicas;

·       Considerar distribuir um honeypot interno para analise;

·       Estocar drivers de alta capacidade para praticar a realização de imagens forense;

·       Conduzir War Games - Fazer um pentest sem avisar e analisar a resposta do time. Principais problemas são as competências na criação de imagens forense e keyboard skills.

INCIDENT HANDLING

Incident Handling  é um plano de ação para lidar com o mal uso de redes e sistemas computacionais.

Figura 2 - Plano de Ação

O intuito é possuir procedimentos e políticas pré-definidas, desta forma será mais fácil aplicar rotinas de mitigação para contornar qualquer tipo de intrusão.

Cedo ou tarde, um incidente poderá acontecer, estas políticas determinarão quão preparadas o pátio computacional está e será crucial para manter a continuidade do negócio. 

O termo incidente refere-se a um evento adverso em um sistema de informação ou rede, ou ameaça iminente.

Exemplos de incidentes:

·       Uso de uma conta de forma não autorizada;

·       Uso de privilégios de sistemas não autorizados;

·       Execução de um código malicioso que irá destruir dado.

SUGESTÃO PARA PREPARAÇÃO:

Manter o ambiente e o time prontos para lidar com os incidentes. Neste quesito, aconselha-se a criação de um Banner de aviso em todos os sistemas utilizados pela empresa do tipo: “O uso, ou modificação indevido é proibida e será penalizado com o rigor das leis vigentes, o uso de todos os sistemas informatizados são monitorados e gravados”.  Sempre buscar revisão com o jurídico.

ABORDAGEM:

 

Figura 3 - Preparação

Para o uso de VPN, incluir um warning banner com um alerta explanando que todos os sistemas conectados são sujeitos a buscas remotas e estão sendo monitoradas. Incluir este alerta nas iniciativas de conscientização para o empregado.

Estabelecer uma política para lidar com incidentes relacionada a todas as partes envolvidas no negócio. Observe abaixo:

 

Figura 4 - Estabelecendo Políticas.

 Por fim, estas são as considerações sobre um Plano de Incidente.