Skip to main content

Featured

Organizational Templates para Azure Logic Apps - preview

Os templates de Logic Apps já existiam como recursos públicos na galeria, compostas por “Workflow Templates” (modelos de fluxo único) e “Accelerators” (conjuntos de fluxos interrelacionados). A novidade agora é a possibilidade de criar “Organizational Templates”, permitindo que equipes criem e compartilhem padrões de automação internos adaptados à cultura e às necessidades da empresa, que são disponibilizados apenas para usuários com acesso ao ambiente corporativo, evitando exposição externa. Isso é particularmente vantajoso para empresas que utilizam APIs internas, lógicas de negócio específicas ou desejam impor padrões arquitetônicos. O processo de criação foi simplificado por uma nova interface na portal Azure. Não é mais necessário empacotar manualmente os recursos. O usuário seleciona workflows já implantados, parametriza entradas (como nomes, conectores e descrições) e define o escopo dos templates como testes ou produção, conforme o estágio de maturação desejado.. Dessa forma, ...
Post a Comment
Read more

Como proteger a Autenticação LDAP no Active Directory e evitar a exposição de credenciais




Proteger a autenticação LDAP no Active Directory é essencial para evitar a exposição de credenciais e assegurar a integridade da rede. O LDAP (Lightweight Directory Access Protocol) é amplamente utilizado para autenticação e consulta de diretórios no Active Directory. Entretanto, por padrão, a comunicação ocorre em texto claro na porta 389, tornando possível a captura de credenciais com ferramentas de sniffing, como o Wireshark.

Principais riscos do uso de LDAP sem criptografia

  • Exposição de credenciais: Qualquer usuário mal-intencionado com acesso à rede pode capturar nomes de usuário e senhas em texto claro.
  • Ataques Man-in-the-Middle (MITM): Um invasor pode interceptar e modificar comunicações LDAP para obter acesso não autorizado.
  • Falta de confidencialidade: Informações sensíveis do diretório (como estrutura organizacional e listas de grupos) podem ser extraídas sem a necessidade de autenticação.
  • Tráfego sem Criptografia: Se usado na porta 389 sem SSL/TLS, as credenciais e dados podem ser interceptados por atacantes.
  • Autenticação Simples (Simple Bind): Enviar credenciais em texto claro sem proteção aumenta o risco de vazamento.
  • Ataques de Interceptação (MITM): Sem criptografia, um invasor pode capturar e modificar comunicações LDAP.
Soluções para mitigar esses riscos

      • Habilitar LDAPS (LDAP sobre SSL/TLS): Configurar o Active Directory para aceitar apenas conexões seguras na porta 636, garantindo que todas as comunicações sejam criptografadas.
      • Implementar STARTTLS: Utilizar o comando STARTTLS para elevar uma conexão LDAP não segura para uma conexão segura, adicionando uma camada de criptografia sem alterar a porta padrão.
      • Desativar conexões LDAP sem criptografia: Configurar o Active Directory para recusar conexões que não utilizem SSL/TLS, reforçando a política de segurança da organização.
      • Monitorar logs de autenticação LDAP: Implementar auditorias e monitoramento contínuo das conexões LDAP para identificar e responder a possíveis tentativas de acesso não autorizado.


  • Como Proteger a Autenticação LDAP no Active Directory

  • 1. Configurar o AD para Aceitar Apenas Conexões Seguras (LDAPS ou STARTTLS): por padrão, o Active Directory aceita tanto conexões inseguras na porta 389 quanto seguras na porta 636 (LDAPS). Para aumentar a segurança, podemos impedir conexões sem criptografia.

  • Bloqueando conexões LDAP sem criptografia

  • Execute o seguinte comando PowerShell no Controlador de Domínio para exigir o uso de LDAPS:

  • reg add "HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters" /v "LDAPServerIntegrity" /t REG_DWORD /d 2 /f

  • O que esse comando faz?

O valor 2 garante que apenas conexões seguras (LDAPS ou STARTTLS) sejam aceitas.

Após aplicar essa configuração, reinicie o servidor para que a alteração tenha efeito.


2. Implementar Certificados SSL Para LDAPS: LDAPS usa SSL/TLS para proteger a comunicação, e isso exige um certificado no controlador de domínio.

Verificando se o AD já possui um certificado SSL

  • Abra o PowerShell e execute: Get-ChildItem Cert:\LocalMachine\My

Caso não haja um certificado válido, você precisará gerar um.

Criando um certificado SSL para LDAPS

Se houver uma Autoridade Certificadora (CA) interna, gere um certificado para os Controladores de Domínio:

New-SelfSignedCertificate -Subject "CN=DC01.contoso.com" -DnsName "DC01.contoso.com" -KeyUsage DigitalSignature, KeyEncipherment -KeyAlgorithm RSA -KeyLength 2048 -CertStoreLocation "Cert:\LocalMachine\My"

Substitua DC01.contoso.com pelo FQDN do seu servidor AD.

Após gerar o certificado, reinicie os serviços do AD ou o servidor.

3. Configurar Clientes Para Usar Apenas LDAPS: após forçar conexões seguras, é essencial que todos os clientes que utilizam LDAP (como Firewalls, Aplicativos e Servidores) sejam configurados para usar LDAPS na porta 636.

No FortiGate:

  • Acesse Usuários & Dispositivos > Servidores LDAP
  • Edite o servidor LDAP configurado
  • No campo Modo de Conexão, escolha LDAPS
  • Use a porta 636 e certifique-se de que o FortiGate confia no certificado do AD
Caso utilize algum outro software que dependa de LDAP, faça as devidas alterações para garantir que apenas conexões seguras sejam estabelecidas.

4. Testar e Monitorar a Conexão LDAP Segura

Testando a conexão LDAPS via PowerShell:

Test-NetConnection -ComputerName DC01.contoso.com -Port 636

Testando via ldp.exe:
  • Abra o Ldp.exe no servidor
  • Clique em Connection > Connect
  • Insira o nome do servidor e a porta 636
  • Marque a opção SSL e clique em OK
  • Caso a conexão falhe, verifique os logs no Event Viewer em Applications and Services Logs > Directory Service.

Adotar essas medidas é fundamental para proteger a infraestrutura de TI contra ameaças e garantir a confidencialidade e integridade das informações no Active Directory.

Saiba mais: Tutorial: como configurar a rede virtual para o Microsoft Entra Domain Services - Microsoft Entra ID | Microsoft Learn

Comments

Post a Comment

Popular Posts