# M1015 — Active Directory Configuration ## Visão Geral *Fonte: [MITRE ATT&CK — M1015](https://attack.mitre.org/mitigations/M1015)* ## Descrição Implement robust Active Directory (AD) configurations using group policies to secure user accounts, control access, and minimize the attack surface. AD configurations enable centralized control over account settings, logon policies, and permissions, reducing the risk of unauthorized access and lateral movement within the network. This mitigation can be implemented through the following measures: ```mermaid graph TB A["🏗️ Estruturar OUs<br/>e contas de domínio"] --> B["🔒 Restringir logon<br/>interativo p/ service accounts"] B --> C["👤 Contas administrativas<br/>dedicadas por função"] C --> D["🏰 Authentication Silos<br/>+ Protected Users group"] D --> E["📋 GPOs — políticas<br/>de senha e bloqueio"] E --> F["📊 Auditar AD<br/>BloodHound / Purple Knight"] ``` ### Configuração de Contas - **Implementação:** Usar contas de domínio em vez de contas locais para aproveitar o gerenciamento centralizado do AD, incluindo políticas de grupo, auditoria e controle de acesso. - **Caso de Uso:** Para equipes de TI que gerenciam recursos compartilhados, provisionar contas de domínio que permitem logins centralizados, reduzindo o risco de contas locais não gerenciadas. ### Restrições de Logon Interativo - **Implementação:** Configurar políticas de grupo para restringir logons interativos (como logons físicos ou via RDP) para service accounts ou contas privilegiadas que não exigem esse acesso. - **Caso de Uso:** Impedir que service accounts (ex: contas do SQL Server) tenham privilégios de logon interativo, reduzindo o risco de uso para movimento lateral em caso de comprometimento. ### Configurações de Área de Trabalho Remota - **Implementação:** Limitar o acesso ao RDP a contas autorizadas específicas. Usar políticas de grupo para aplicar isso, permitindo apenas que usuários necessários estabeleçam sessões RDP. - **Caso de Uso:** Em servidores sensíveis (como Domain Controllers ou bancos de dados financeiros), restringir acesso RDP apenas a contas administrativas. ### Contas Administrativas Dedicadas - **Implementação:** Criar contas administrativas de domínio restritas de logons interativos, projetadas exclusivamente para tarefas de alto nível (instalação de software, patches). - **Caso de Uso:** Criar contas administrativas separadas para diferentes finalidades — uma para instalações, outra para gerenciamento de repositórios — limitando exposição e vetores de ataque. ### Authentication Silos - **Implementação:** Configurar Authentication Silos no AD com políticas de grupo para criar zonas de acesso com restrições baseadas em associação, como o grupo Protected Users. - **Caso de Uso:** Colocar contas de alto risco (executivos, administradores) em um Authentication Silo com controles extras, limitando exposição apenas a sistemas necessários. **Ferramentas para Implementação:** - **Active Directory Group Policies (GPMC):** Configurar, implantar e aplicar políticas em ambientes AD. - **PowerShell:** Automatizar configuração de contas, restrições de logon e aplicação de políticas. - **AD Administrative Center:** Gerenciar Authentication Silos e configurar políticas para grupos de usuários críticos. ## Técnicas Mitigadas | ID | Técnica | |---|---------| | T1558 | [[t1558-steal-or-forge-kerberos-tickets\|T1558 — Steal or Forge Kerberos Tickets]] | | T1078.004 | [[t1078-004-cloud-accounts\|T1078.004 — Cloud Accounts]] | | T1072 | [[t1072-software-deployment-tools\|T1072 — Software Deployment Tools]] | | T1552 | [[t1552-unsecured-credentials\|T1552 — Unsecured Credentials]] | | T1134.005 | [[t1134-005-sid-history-injection\|T1134.005 — SID-History Injection]] | | T1606.002 | [[t1606-002-saml-tokens\|T1606.002 — SAML Tokens]] | | T1649 | [[t1649-steal-or-forge-authentication-certificates\|T1649 — Steal or Forge Authentication Certificates]] | | T1003.005 | [[t1003-005-cached-domain-credentials\|T1003.005 — Cached Domain Credentials]] | | T1003.006 | [[t1003-006-dcsync\|T1003.006 — DCSync]] | | T1550 | [[t1550-use-alternate-authentication-material\|T1550 — Use Alternate Authentication Material]] | | T1550.003 | [[t1550-003-pass-the-ticket\|T1550.003 — Pass the Ticket]] | | T1552.006 | [[t1552-006-group-policy-preferences\|T1552.006 — Group Policy Preferences]] | | T1078 | [[t1078-valid-accounts\|T1078 — Valid Accounts]] | | T1558.001 | [[t1558-001-golden-ticket\|T1558.001 — Golden Ticket]] | | T1003 | [[t1003-os-credential-dumping\|T1003 — OS Credential Dumping]] | --- ## Contexto LATAM > [!globe] Relevância Regional > O Active Directory é a espinha dorsal de identidade da grande maioria das organizações brasileiras com infraestrutura Windows, tornando sua configuração segura crítica. Ataques de Golden Ticket ([[t1558-001-golden-ticket|T1558.001]]), DCSync ([[t1003-006-dcsync|T1003.006]]) e Pass-the-Ticket ([[t1550-003-pass-the-ticket|T1550.003]]) são técnicas recorrentes em incidentes de ransomware e espionagem no Brasil — frequentemente utilizadas após comprometimento inicial via phishing. SOCs brasileiros maduros adotam ferramentas como BloodHound e Purple Knight para auditar caminhos de ataque no AD, mas a maioria das organizações ainda opera com configurações padrão inseguras. > - Adocao em SOCs brasileiros: medio (configuração hardened), alto (AD presente mas sem hardening avancado) > - Regulamentacoes relevantes: BACEN 4893/2021 (gestão de identidade e acesso privilegiado), LGPD (controle de acesso a dados pessoais), CVM 35/2021 > - Desafios regionais: ambientes AD legados com Kerberos RC4 ainda habilitado, service accounts com senhas antigas e permissões excessivas, e resistência a Tiered Administration por impacto operacional