Gestão do Active Directory: Técnicas Intermediárias

Estamos a passar dos conceitos básicos do Active Directory para técnicas práticas que irá utilizar em produção. O foco é tornar o Active Directory sustentável e seguro através de uma administração adequada, Política de Grupo, delegação, automatização com PowerShell, resolução de problemas de DNS e replicação, autenticação/confiança, monitorização e tarefas de migração de nível intermédio. Pré-requisitos: conhecimentos básicos de AD, acesso administrativo a um ambiente de teste (criar um utilizando o VirtualBox :)) e familiaridade com Windows Server e PowerShell.

Está a ler a parte 2 de uma série de 3 partes:

Compreender o Active Directory: Um Guia para Iniciantes
Gestão do Active Directory: Técnicas Intermédias
Conceitos Avançados da Active Directory: Dominando o AD/DS (ainda não publicado)

Melhores Práticas de Administração do AD

Em primeiro lugar, analisaremos uma lista organizada de melhores práticas para administrar um domínio Windows. Estas práticas estão intimamente relacionadas com a segurança da rede como um todo.

Princípios de alto nível

Privilégio mínimo: Conceda apenas as permissões necessárias para uma função e remova as associações excessivas a grupos.
Segmentação/camadas: Separe as funções administrativas dos utilizadores, administradores e serviços/contas em camadas distintas (por exemplo, Camada 0 para domínio/floresta, Camada 1 para servidores, Camada 2 para estações de trabalho).
Defesa em profundidade: Combine controlos de rede, proteção de endpoints, monitorização e reforço da segurança do próprio AD.
Auditabilidade e controlo de alterações: Registe, reveja e aprove formalmente quaisquer alterações nas contas privilegiadas, delegação, estrutura de UOs/GPOs ou esquema.

Higiene de identidade e de contas

Utilize contas de administrador dedicadas e auditadas para o login interativo; nunca utilize contas privilegiadas para o trabalho diário.
Implementar políticas de palavras-passe fortes, autenticação multifator (MFA) para todas as contas privilegiadas e considerar o acesso condicional/autenticação por etapas para ações sensíveis.
Desative ou apague contas obsoletas e SIDs órfãos; reveja a adesão a grupos privilegiados trimestralmente (ou com maior frequência).
Utilize a elevação de privilégios por tempo limitado (just-in-time) para acesso com elevados privilégios sempre que possível.
Evite utilizar o administrador de domínio para contas de serviço; utilize contas de serviço com privilégios mínimos e delegação restrita quando necessário.

Gestão e delegação de privilégios

Implementar um modelo administrativo hierárquico e mapear funções para grupos específicos com um âmbito mínimo.
Utilize a delegação baseada em grupos em vez de atribuir permissões a contas de utilizador individuais.
Prefira os padrões de Controlo de Acesso Baseado em Funções (RBAC); documente todos os direitos delegados e os respectivos proprietários.
Utilize listas de controlo de acesso (ACLs) em objetos de Unidade Organizacional (UO) com permissões explícitas em vez de herança ampla quando necessário.

Estratégia de UOs, grupos e GPOs

Conceber UOs para administração e delegação — não apenas para o direcionamento de políticas; separe locais, funções e tipos de dispositivos quando necessário.
Utilize grupos (grupos de segurança) para políticas e acesso a recursos; evite depender de permissões diretas dos utilizadores.
Mantenha os GPOs minimalistas e modulares: um propósito por GPO, nome consistente e documente a versão/alteração de cada GPO.
Evite a complexidade dos GPOs aninhados; testar os GPOs em ambiente laboratorial e implementar UOs piloto antes de implementações em larga escala.

Contas de serviço e Kerberos

Utilize as Contas de Serviço Geridas (MSA) ou Contas de Serviço Geridas de grupo (gMSA) quando compatíveis para reduzir a gestão de credenciais.
Limite a exposição de SPNs e monitorize a existência de SPNs duplicados.
Imponha delegação restrita quando necessário; evite a delegação irrestrita.

Reforçar a segurança dos controladores de domínio

Minimize os serviços e o software nos controladores de domínio; executar apenas as funções necessárias.
Isole os controladores de domínio física ou logicamente; restringir o acesso RDP a hosts de acesso administrativo seguros.
Aplique prontamente os patches e teste as atualizações num ambiente representativo.
Ative os requisitos de canal seguro (LDAPS/LDAP assinado) e restrinja os protocolos inseguros (NTLM quando possível).

Estações de trabalho administrativas e hosts de acesso seguros

Fornecer estações de trabalho administrativas (ou hosts de acesso) dedicadas e reforçadas que estejam isoladas da internet/navegação/e-mail.
Imponha MFA, registo baseado no host e encriptação de disco nas estações de trabalho administrativas. - Exigir que as ações de gestão sejam originadas nestes hosts reforçados.

Monitorização, registo e detecção

Ativar e centralizar os logs relativos ao AD (Directory Service, DNS, Security, Sysmon em hosts críticos) num SIEM (Security Information and Event Management).
Monitorizar eventos de alto risco: alterações em grupos privilegiados, novas alterações de esquema, adições de controladores de domínio, anomalias de encaminhamento/replicação, pedidos invulgares de tickets Kerberos e alterações na topologia de replicação.
Criar alertas para comportamentos suspeitos (escalonamento repentino de privilégios, horários/locais de logon anormais, edições confidenciais de GPO).
Reter os registos durante o tempo suficiente para suportar investigações e satisfazer as necessidades de conformidade.

Backup, restauro e recuperação de desastres

Fazer backup regularmente do estado do sistema e das bases de dados da AD; testar restaurações autoritativas e não autoritativas regularmente.
Documentar os runbooks de recuperação com objetivos claros de RTO/RPO e atribuições de funções.
Proteja os suportes de cópia de segurança e limite as permissões de restauro a um pequeno grupo auditado.

Gestão de patches e desvios de configuração

Mantenha os controladores de domínio e a infraestrutura crítica da AD atualizados com patches a uma cadência testada.
Utilize a gestão de configuração e verificações de conformidade automatizadas para detetar desvios (imagens de base, reforço baseado em GPO, benchmarks CIS).

Auditoria e conformidade

Ative a auditoria do AD para alterações em objetos, ACLs, esquema e associação a grupos privilegiados.
Realize periodicamente revisões de acesso privilegiado, testes de penetração (pen test) e exercícios de equipa vermelha (red team) focados nos caminhos de ataque ao AD.
Mantenha registos de alterações e evidências para auditorias de conformidade.

Automatização, documentação e controlo de alterações

Automatize tarefas administrativas repetitivas em segurança (módulos PowerShell, runbooks) e assegure que os scripts são executados com privilégios mínimos.
Mantenha um inventário atualizado dos objetos AD, relações de confiança, controladores de domínio, funções FSMO e contas de serviço.
Utilize o controlo de versões/CI para backup de GPO e scripts de configuração; documente as convenções de nomenclatura e a justificação das alterações.

Configurações seguras de confiança entre florestas/domínios

Minimize e documente as relações de confiança entre florestas/domínios.
Utilize autenticação seletiva e restrinja os privilégios relacionados com a confiança.
Reveja regularmente as relações e os caminhos de confiança.

Preparação para incidentes

Pré-definir caminhos de escalonamento, funções e manuais de investigação para cenários de comprometimento da Active Directory (escalonamento de privilégios, comprometimento de controladores de domínio, adulteração de replicação).
Mantenha as cópias offline e de leitura apenas de artefactos críticos de recuperação (por exemplo, cópias de segurança, listas de credenciais de administrador) acessíveis apenas a pessoal designado.

Lista de verificação rápida para implementação imediata

Exigir MFA para todas as contas privilegiadas.
Crie/exija estações de trabalho dedicadas para administradores e restrinja os logins de administrador.
Auditar e reduzir o número de administradores de domínio e outros grupos de alto nível.
Implemente o gMSA para as contas de serviço sempre que possível.
Centralize os registos da Active Directory num SIEM e configure alertas de alta prioridade para alterações com privilégios elevados.
Teste os procedimentos de cópia de segurança e restauro da Active Directory.

Esta é uma ótima lista de boas práticas. Talvez alguns conceitos/termos como SIEM, ACLs ou funções FSMO lhe sejam desconhecidos neste momento. Alguns deles podem até exigir conhecimentos avançados para serem aplicados. Sinta-se à vontade para pesquisar no seu motor de busca favorito para obter esclarecimentos e aprofundar os seus estudos. Se for administrador de sistemas ou responsável por uma rede de domínio Windows, considere a Lista de verificação rápida para implementação imediata.

Gestão de Políticas de Grupo (GPOs)

A Política de Grupo é o principal mecanismo para configurar clientes e servidores Windows em escala. Na Parte 1 desta série, aprendemos que o objetivo do Active Directory (AD) é centralizar a gestão de utilizadores, a gestão e partilha de recursos, a autenticação e a autorização. A Gestão de Políticas de Grupo é a ferramenta que o AD disponibiliza para configurar e aplicar as definições centralmente aos utilizadores e aos computadores (segurança, software, scripts, registo, preferências). Os Objetos de Política de Grupo (GPOs) são criados e ligados a Sites, Domínios ou Unidades Organizacionais (UOs); o local ligado determina a que objetos a política pode ser aplicada. Pode encontrar as configurações que serão aplicadas aos objetos dentro de cada GPO; portanto, podemos dizer que um GPO é um objeto contentor para configurações.

No Gestor do Servidor (Server Manager), aceda ao menu "Ferramentas" e selecione "Gestão de Políticas de Grupo".

Consola de Gestão de Política de Grupo

O processamento da Política de Grupo segue a ordem Local → Site → Domínio → Unidade Organizacional (UO) (pai antes de filho). Os GPO de UOs filhos podem substituir os GPO pais; a herança e a ordem dos links são importantes.

Clique com o botão direito do rato num GPO e selecione "Editar..." para abrir o Editor de Gestão de Políticas de Grupo.

Editor de Gestão de Políticas de Grupo

Dois mecanismos de filtragem

Utilize a Filtragem de Segurança (ACLs no GPO) e os Filtros WMI para restringir quais os utilizadores/computadores que receberão o GPO. A filtragem baseada em grupos (grupos de segurança) é preferível para maior clareza.

Filtragem de segurança (ACLs num GPO): controla quais as entidades de segurança do utilizador/computador que podem aplicar o GPO, concedendo ou negando o direito "Aplicar política de grupo" no objeto GPO. Implementado através do descritor de segurança do GPO.
Filtros WMI: uma consulta opcional avaliada no cliente de destino que retorna Verdadeiro/Falso; o GPO aplica-se apenas se a consulta WMI retornar Verdadeiro nessa máquina.

Quando utilizar cada um:

Utilize filtros de grupos de segurança para atingir por utilizadores, computadores ou funções (preferencial na maioria dos cenários) — transparente, rápido e auditável.
Utilize filtros WMI quando necessitar de atingir por atributos da máquina que não podem ser expressos através da AD (versão do SO, espaço livre em disco, RAM instalada, detalhes da BIOS, virtualização, hardware específico ou presença de software instalado).

Resolução de problemas

Utilize o rsop.msc, o gpresult /h report.html e Group Policy Modeling no GPMC. Verifique a replicação, o filtro de permissões e a deteção de ligações lentas quando as políticas falham.

Melhores práticas de Política de Grupo

Prefira a filtragem baseada em grupos de segurança para maior clareza e desempenho.
Mantenha as consultas WMI simples e otimizadas para indexação; evite consultas complexas/abrangentes.
Teste os filtros WMI em laboratório e em UOs piloto antes da implementação em larga escala.
Utilize permissões de Read + Apply em GPOs para grupos com filtro de segurança; evite conceder o Controlo Total de forma ampla.
Documente a justificação e a responsabilidade pela filtragem (que grupos/filtros WMI têm como alvo que GPOs).
Utilize Group Policy Results/Modeling (gpresult / GPMC) para validar qual o filtro que bloqueou ou permitiu a aplicação.

Delegação e Controlo de Acessos Baseado em Funções (RBAC)

A delegação no Active Directory (AD) consiste na atribuição de tarefas administrativas específicas a utilizadores/grupos sem conceder direitos de administrador de domínio completos. Isto reduz a dependência de privilégios em todo o domínio e permite que as equipas gerenciem recursos com um âmbito definido com segurança. O Controlo de Acesso Baseado em Funções/Role-Based Access Control (RBAC) aplica definições de funções à associação de utilizadores a grupos e mapeia as funções para o conjunto de permissões AD necessárias para executar tarefas. A combinação de delegação e RBAC reduz a proliferação de privilégios, reforça o princípio do menor privilégio e melhora a auditabilidade.

Utilize grupos predefinidos quando apropriado; crie grupos personalizados documentados para funções específicas da organização. Dê preferência a grupos globais/universais com base no âmbito do domínio e nas necessidades de replicação. Exemplos de funções incluem Helpdesk (redefinição de palavras-passe, desbloqueio), Administrador de Unidade Organizacional (gerir objetos dentro de uma Unidade Organizacional) e Administrador de Servidor (gerir controladores de domínio e de infraestrutura). Utilize grupos predefinidos (Built-in groups) para uma gestão de associação escalável.

Grupos internos
Grupos predefinidos/incorporados

Conceitos-chave

Principal: utilizador ou grupo que recebe permissões.
Função/Role: conjunto nomeado de responsabilidades e permissões necessárias.
Âmbito/Scope: Unidade Organizacional (UO), contentor, domínio ou objetos específicos onde se aplicam as permissões.
Permissões: direitos do Active Directory (por exemplo, leitura, escrita, redefinição de palavra-passe, criação/eliminação de objetos filho).
Atribuição baseada em grupos: utilize grupos de segurança (globais/universais) ou grupos aninhados para conceder funções.
Privilégio mínimo: conceda apenas as permissões mínimas necessárias para a função.
Separação de funções (SoD): divida as tarefas sensíveis pelas funções para reduzir os riscos.

Desenho de RBAC para o Active Directory (abordagem recomendada)

Defina as funções por finalidade (por exemplo, Redefinição da palavra-passe do Helpdesk, Administrador da UO, Administrador do Exchange).
Para cada função, liste as tarefas necessárias e traduza-as para permissões específicas do Active Directory.
Defina o âmbito (quais as UOs ou tipos de objeto que a função gere).
Crie grupos de segurança para cada função (por exemplo, Role_Helpdesk_PWReset).
Aplique permissões a grupos (não a utilizadores individuais) utilizando ACL ou o Assistente de Delegação.
Documente as regras de associação à função e o processo de aprovação.
Reveja a adesão e as permissões regularmente (recomenda-se trimestralmente).

Exemplo passo a passo: delegar a redefinição da palavra-passe a uma UO

Crie o grupo de segurança: Role_Helpdesk_PWReset.
Adicione os utilizadores do helpdesk a esse grupo.
No Active Directory Users and Computers (ADUC), clique com o botão direito do rato na UO → Delegar Controlo → Seguinte.
Adicione o grupo Role_Helpdesk_PWReset → Seguinte.
Selecione “Redefinir palavras-passe de utilizador e forçar a alteração da palavra-passe no próximo início de sessão” (ou crie uma tarefa personalizada para definir permissões específicas) → Concluir.

Delegar redefinição de palavra-passe

Verifique as permissões efetivas num objeto de utilizador de exemplo e teste o fluxo de trabalho (redefinição de palavra-passe, sem possibilidade de modificar outros atributos).

Utilização Avançada do PowerShell do Active Directory

O PowerShell do Active Directory é um conjunto de cmdlets e APIs .NET que permite aos administradores gerir objetos AD, consultar dados de diretório e automatizar tarefas a partir da linha de comandos. Centrado no módulo ActiveDirectory, este expõe cmdlets de alto nível, como Get-ADUser, New-ADUser, Get-ADGroup e Set-ADComputer para operações comuns, além de permitir um controlo mais profundo através do DirectoryServices/DirectorySearcher para consultas do estilo LDAP e ADSI para manipulação de baixo nível. A utilização do PowerShell para AD proporciona repetibilidade, criação de scripts e integração com ferramentas de CI e armazenamento em nuvem, tornando as operações em massa e a administração de rotina muito mais eficientes do que os fluxos de trabalho exclusivamente com interface gráfico.

Além da gestão básica, o PowerShell do AD suporta normas avançadas para desempenho, segurança e proteção: filtragem no servidor, âmbito de pesquisa, paginação para grandes conjuntos de resultados e direcionamento para controladores de domínio específicos para gerir questões de replicação. As melhores práticas incluem escrever scripts idempotentes que verificam o estado antes de o alterar, utilizar lógica de simulação (-WhatIf/dry-run), tratar erros com blocos try/catch e manter as credenciais fora dos scripts utilizando cofres seguros ou identidades geridas. Estas funcionalidades permitem que as equipas automatizem o ciclo de vida do utilizador, as alterações de acesso baseadas em funções, as implementações de ACL e as tarefas de auditoria de forma controlada e auditável.

Trabalhar com utilizadores e computadores

Abra o PowerShell como administrador no Controlador de Domínio. Utilize o seguinte comando para ver os comandos disponíveis para trabalhar com utilizadores da Active Directory:

Get-Command *aduser

...e computadores

Get-Command *adcomputer

AD Get-Command

Vamos criar um novo utilizador:

New-ADUser -SamAccountName patricia.carvalho -Name "Patricia Carvalho" -GivenName Patricia -Surname Carvalho -UserPrincipalName patricia.carvalho@azul.com -AccountPassword (Read-Host -AsSecureString "Introduza a palavra-passe") -Enabled $true

AD New-ADUser

Utilize Set-ADUser para definir outras propriedades, como o endereço de e-mail:

Set-ADUser patricia.carvalho -EmailAddress patricia.carvalho@azul.com

Obtenha todas as propriedades do utilizador sem filtros:

Get-ADUser patricia.carvalho -Properties *

Pode procurar contas bloqueadas com:

Search-ADAccount -LockedOut

...e desbloqueá-las com:

Unlock-ADAccount patricia.carvalho

Uma visão geral do PowerShell ISE

O PowerShell ISE é um ambiente gráfico de script para Windows, utilizado para criar, executar e depurar scripts PowerShell. Combina um editor de scripts com realce de sintaxe e auto-completamento com a tecla Tab, uma consola interativa para comandos rápidos e ferramentas de depuração integradas, como pontos de interrupção e execução passo a passo, tornando-o conveniente para aprendizagem e tarefas rápidas de script.

A utilização típica é: escrever ou colar código no painel superior do editor, executar linhas selecionadas com F8 ou todo o script com F5, testar comandos na consola inferior e resolver problemas utilizando pontos de interrupção e os controlos de execução passo a passo; para um desenvolvimento mais avançado, muitos preferem agora o VS Code com a extensão PowerShell.

Fluxo de trabalho típico:

Escreva o script no painel superior.
Execute linhas selecionadas ou todo o script (F8/F5).
Utilize o painel inferior para comandos interativos e testes.
Defina pontos de interrupção e execute o código passo a passo com o depurador.

say-hello powershell

O seguinte script PowerShell irá selecionar os utilizadores que não iniciaram sessão nos últimos 90 dias. Em seguida, criará um breve relatório e guardá-lo-á num ficheiro CSV.

# Params
$DaysInactive = 90
$ReportPath = "C:\Temp\InactiveUsersReport.csv"

# Calculate cutoff date
$Cutoff = (Get-Date).AddDays(-$DaysInactive).ToFileTime()

# Find users whose LastLogon is older than cutoff (no Administrator)
$users = Get-ADUser -Filter {((Enabled -eq $true) -and (LastLogon -lt $Cutoff) -and (LastLogon -ne 0) -and (SamAccountName -ne 'Administrator'))} -Properties LastLogon, SamAccountName, Name

# Convert LastLogon format
$result = $users | Select-Object SamAccountName, Name, @{Name='LastLogon';Expression={[DateTime]::FromFileTime($_.LastLogon)}}

# Export result
$result | Export-Csv -Path $ReportPath -NoTypeInformation

# Disable accounts (uncomment to perform)
# $users | ForEach-Object { Disable-ADAccount -Identity $_.SamAccountName }

$result

Write-Output "Found $($users.Count) users. Report saved to $ReportPath"

Criar scripts em PowerShell é, sem dúvida, um excelente recurso para a automatização.

Integração de DNS e AD

O Active Directory depende do DNS para localizar os controladores de domínio e os serviços essenciais; o DNS fornece a resolução de nomes para endereços e os registos SRV que os clientes AD utilizam para encontrar LDAP, Kerberos e outros serviços de domínio. A integração do DNS com o AD, através de zonas integradas no AD, armazena os dados da zona DNS no diretório, permitindo que os registos de zona sejam replicados automaticamente com a replicação do Active Directory. Isto simplifica a gestão e melhora a redundância, uma vez que vários controladores de domínio podem alojar os mesmos dados DNS.

O DNS integrado no AD também suporta atualizações dinâmicas seguras, que permitem que os computadores e controladores de domínio autenticados registem e atualizem os seus próprios registos A/AAAA e de serviço, impedindo alterações não autorizadas. A integração adequada exige que os controladores de domínio apontem para os servidores DNS do AD (localmente em primeiro lugar), que os encaminhadores (forwarders) estejam configurados para a resolução externa de nomes e que os registos SRV e msdcs sejam monitorizados para garantir que os clientes podem descobrir os serviços de domínio e os parceiros de replicação.

É possível testar o seu servidor DNS (neste caso, em execução no Controlador de Domínio DC-01) utilizando o seguinte cmdlet PowerShell:

Test-NetConnection -ComputerName DC-01 -Port 53

Testar um servidor DNS
2 sistemas testados

O Active Directory depende do DNS. No Active Directory, os registos SRV (de serviço) DNS localizam os controladores de domínio e outros serviços AD mapeando um serviço e protocolo (por exemplo, _ldap._tcp) para um host e porta de destino; o AD utiliza registos SRV (com campos de prioridade, peso, porta e destino) para que os clientes encontrem LDAP, Kerberos, Catálogo Global e outras funções em diferentes sites, permitindo a seleção de controladores de domínio com reconhecimento de site através de registos SRV adicionais específicos do site e regras de prioridade/peso; As atualizações dinâmicas permitem que os controladores de domínio registem e atualizem os seus registos SRV automaticamente, e a configuração adequada do SRV (incluindo os registos A/AAAA correspondentes para os destinos e a replicação correta de _msdcs e zonas de domínio) é essencial para a autenticação, replicação e integridade geral do domínio Active Directory.

Registos SRV do DNS
Registos SRV criados por defeito

Executar diagnósticos

O dcdiag é uma ferramenta de diagnóstico de linha de comandos da Microsoft que testa a integridade e a funcionalidade dos controladores de domínio e serviços relacionados, incluindo o DNS. Está incluído nas ferramentas de função do Active Directory (AD DS) do Windows Server e nas Ferramentas de Administração do Servidor Remoto (RSAT) para clientes Windows.

Casos de utilização comuns:

Verificar o registo de DNS e a resolução de nomes para os controladores de domínio.
Testar a replicação da AD e a integridade do Active Directory.
Diagnosticar problemas de configuração do servidor DNS e de zona que afetem o AD.
Realizar verificações direcionadas (testes específicos) ou uma bateria completa de verificações.

Um exemplo prático seria redirecionar a saída para um ficheiro de texto:

dcdiag /test:DNS /v > c:\dnstest.txt

Replicação e Topologia de Sites

A replicação e a topologia de sites do Active Directory garantem a consistência dos dados do diretório e a eficiência da autenticação em redes distribuídas. A replicação sincroniza as partições de domínio, de configuração, de esquema e de aplicação entre controladores de domínio usando um modelo de replicação multi‑master; a replicação intra‑site assume ligações de alta largura de banda e baixa latência e é frequente e quase em tempo real, enquanto a replicação inter‑site é otimizada para WANs com intervalos programados, compressão e site links configuráveis. O Knowledge Consistency Checker (KCC) cria automaticamente topologias de ligação intra‑site e coordena servidores bridgehead para a replicação entre sites; os administradores controlam o comportamento da topologia através de sites, sub‑redes, site links (custos, horários) e atribuições de bridgeheads preferenciais para equilibrar latência e utilização de largura de banda.

Uma replicação robusta depende do mapeamento correto de sites e sub‑redes, de DNS e sincronização de tempo saudáveis, e de monitorização proativa com ferramentas como repadmin, dcdiag e os cmdlets PowerShell Get-ADReplication*. A resolução de conflitos usa versionamento de atributos e carimbos de tempo (último a gravar vence), com tombstones a protegê‑los contra objetos persistentes após eliminações; erros como tempos prolongados de inatividade de DCs ou restaurações não suportadas podem causar objetos persistentes ou USN rollback, exigindo limpeza de metadados ou reconstrução. Boas práticas incluem desenhar sites para refletir a topologia real da rede, ajustar custos e horários dos site links conforme as necessidades do negócio, colocar RODCs em locais inseguros e testar regularmente a recuperação de desastre e a integridade da replicação.

Autenticação e Relações de Confiança (Trusts)

A autenticação no Active Directory baseia‑se em protocolos como Kerberos (padrão para autenticação de utilizadores e computadores) e NTLM (retrocompatibilidade). Quando um utilizador inicia sessão, o DC do domínio valida as credenciais e emite bilhetes Kerberos que permitem acesso a recursos sem retransmissão de palavra‑passe; os controladores de domínio mantêm políticas de palavra‑passe, bloqueio e Kerberos (tempo de vida de bilhetes, relógio sincronizado). A autenticação também envolve a resolução de identidade através de contas de máquina, grupos e ACLs em objetos do AD, bem como serviços como LDAP para consultas e Smart Card/PKI para autenticação baseada em certificados. A sincronização de tempo (NTP) e a integridade do DNS são críticas: diferenças de tempo ou problemas de resolução impedem a emissão/ validação de bilhetes e resultam em falhas de autenticação.

As relações de confiança (trusts) ligam domínios e florestas para permitir autenticação e autorização cruzada entre espaços administrativos distintos. Existem tipos de trusts: transitivos (ex.: trusts entre domínios na mesma floresta ou entre florestas quando configuradas) e não transitivos; uni‑direcionais e bi‑direcionais; trusts externos, realm trusts (para Kerberos entre AD e Kerberos MIT/Heimdal), e forest trusts (confiança entre florestas inteiras). A escolha do tipo de trust determina quem pode solicitar autenticação e como os SID filtering, selective authentication e inbound/outbound trust transações são aplicados para segurança. Boas práticas incluem usar trusts mínimos necessários, aplicar filtragem de SIDs quando confiar com domínios não geridos, monitorizar eventos de confiança e garantir canais seguros (VPN/links confiáveis) entre sites para reduzir risco de abuso de credenciais.

Monitorização, auditoria e logs

A monitorização, auditoria e registo no Active Directory oferecem visibilidade sobre a integridade do diretório, alterações de configuração, eventos de autenticação e incidentes de segurança. Fontes de telemetria chave incluem os logs do Windows Security, System e Directory Service nos controladores de domínio; logs de replicação do Active Directory e do DNS; e registos de auditoria recolhidos via Advanced Audit Policy (por exemplo, account logon, account management, directory service access, policy change). A recolha centralizada com um SIEM ou agregador de logs (Windows Event Forwarding, gateways Syslog ou soluções comerciais) permite correlação, alerta e retenção a longo prazo. A monitorização regular da saúde deve também incluir o estado da replicação (repadmin/Get-ADReplication*), verificações do serviço/estado dos DCs (dcdiag), sincronização de tempo e integridade do DNS, e contadores de desempenho para atividade LDAP, Kerberos e NTLM.

A configuração de auditoria e a análise de logs devem seguir o princípio de recolher eventos necessários enquanto se gere o volume e a privacidade: ativar categorias de auditoria direcionadas (validação de credenciais, uso de contas privilegiadas, alterações de pertença a grupos, modificações de esquema/configuração), ativar auditoria do serviço de diretório e do Global Catalog quando necessário, e configurar SACLs em objetos sensíveis para auditoria a nível de objeto. Proteger os logs e garantir transporte e armazenamento seguros, implementar alertas para eventos críticos (falhas Kerberos pre‑auth, bloqueios excessivos de contas, falhas de replicação, criação de novas contas privilegiadas, alterações de trusts) e rever periodicamente o comportamento base e padrões de acesso para detetar anomalias. Reter logs conforme a política para investigações e conformidade, testar alertas/playbooks com runbooks de resposta a incidentes, e rever e afinar regularmente as políticas de auditoria para equilibrar cobertura com desempenho e ruído.

Migração e atualizações (nível intermédio)

A migração e as atualizações no Active Directory exigem planeamento cuidadoso para preservar os dados de identidade, manter a continuidade da autenticação e minimizar o tempo de inatividade. Cenários comuns incluem elevações do nível funcional de domínio ou floresta, migração de domínios entre florestas (migração com ADMT), consolidação ou reestruturação de domínios e atualização do sistema operativo Windows Server nos controladores de domínio. As etapas de preparação incluem inventariar contas, grupos, GPOs, aplicações e serviços dependentes do AD, verificar níveis funcionais suportados e compatibilidade de aplicações, garantir replicação saudável e backups, e documentar a topologia de sites, DNS e configuração de tempo existentes. Teste a migração/atualização num laboratório que espelhe a produção, crie planos de rollback e agende alterações em janelas de manutenção; para atualizações do SO, prefira introduzir novos DCs com a versão alvo, transferir funções FSMO conforme necessário, despromover e descomissionar os DCs antigos, e só elevar os níveis funcionais após todos os DCs executarem versões suportadas.

As ferramentas e tarefas pós‑migração concentram‑se na consistência, segurança e limpeza. Use ADMT ou ferramentas de terceiros para migrações de contas/objetos (planeando SIDHistory, migração de palavras‑passe e remapeamento de perfis), utilize repadmin, dcdiag e Get‑ADReplication* para verificar a saúde da replicação e execute limpeza de metadados para DCs descomissionados. Após migrações/atualizações, valide a autenticação (Kerberos/NTLM), as políticas de grupo, a resolução DNS, os trusts e a conectividade das aplicações; atualize a documentação, os destinos de monitorização/alertas e os backups. Aplique verificações de segurança: confirme permissões delegadas, remova contas/objetos de computador órfãos, reveja privilégios e contas de serviço, e execute auditorias de baseline para detetar anomalias.

Leituras adicionais e próximos passos

Depois de dominar estes tópicos intermédios, prepare-se para os assuntos avançados da parte 3 desta série: PKI e serviços de certificados, políticas de palavras-passe refinadas, AD FS e federação, Azure AD Connect e identidade híbrida, técnicas avançadas de recuperação (restaurações autorizadas, limpeza de metadados) e reforço da segurança do AD. Sugestão prática: construa um laboratório com vários sites e múltiplos DCs, pratique falhas de replicação e recuperação, e simule restaurações autoritativas.