Reforçando a segurança de acesso no Entra ID

Reforçando a segurança de acesso no Entra ID

Para as empresas que estão completamente na nuvem, a primeira camada de defesa é a camada de acesso, pois não tem que se preocupar com a proteção do ambiente físico. Hoje vamos falar de alguns recursos que nos permitem reforçar a segurança dos acessos através de políticas de senha, múltiplos fatores de autenticação e também autenticação passwordless.

Dentro do Portal do Entra, na seção “Proteção” temos a opção “Métodos de Autenticação”. Neste recurso, utilizaremos as diversas funcionalidades fornecidas pelo Entra para reforçar a segurança de acesso do nosso ambiente.


Introdução

Como comentado no início do texto, a segurança de acesso é a primeira camada de proteção que podemos utilizar para nosso ambiente em nuvem (para saber mais sobre segurança em profundidade, clique aqui). Na realidade, antes da camada de acesso nós temos a camada física, porém para ambientes em nuvem a responsabilidade sob esse nível é completamente da provedora de serviços. Para empresas que contém seus próprios ambientes (on-premise) essa responsabilidade entra em jogo.

Existem diferentes maneiras de incrementarmos a segurança de acesso em nosso ambiente, podemos utilizar ferramentas de detecção de ameaças que monitorarão as contas para identificar atividades suspeitas, podemos impor políticas de senha, de dispositivo, exigir autenticações “mais fortes” de acordo com a necessidade, e além das possibilidades apresentadas, temos diversas outras que podem ser adotadas pela sua empresa.

Hoje vamos falar especificamente de algumas das funcionalidades fornecidas pelo Entra para fortalecer os acessos às plataformas.

Ao longo do texto você se irá se deparar algumas vezes com o termo passwordless, então para evitar confusão, vou explicar brevemente o conceito.

Passwordless (ou “sem senha” em português) é o método de autenticação que não exige que o usuário digite uma senha. A autenticação será feita utilizando outros recursos como um aplicativo autenticador (Google Authenticator, Microsoft Authenticator, etc.), identificação biométrica, identificação por voz, OTPs (one-time passwords) e até tokens físicos (padrão FIDO). Esse método é altamente recomendado pois traz mais conforto aos usuários por retirar a necessidade da senha e oferece mais segurança, visto que a superfície de ataque é reduzida pois você estará utilizando algo que você tem, impedindo que o atacante use o recurso.


Proteção por senha

Mesmo sendo um método de autenticação “fraco” devido sua superfície de ataques (engenharia social, password spray, man in the middle, etc.) grande parte das empresas ao redor do mundo ainda tem o processo de autenticação de seus funcionários baseado em senhas. Isso se dá não apenas pelo desejo de manter este método, mas também pela inexperiência das equipes de segurança e tecnologia e pela inefetividade na implementação de fatores mais seguros.

Mesmo esse método sendo desencorajado hoje, não é correto que as equipes de segurança realizem uma mudança radical de uma hora para outra, implementando modelos e ferramentas mais modernas sem treinar suas equipes de suporte, segurança e principalmente os funcionários “comuns” (entende-se como comuns as pessoas fora da área de tecnologia, que não necessariamente entendem todas as motivações pelas trocas), que utilizarão as ferramentas no dia a dia de trabalho. Além do extenso estudo, para entender as ferramentas que melhor se adequam à sua empresa, os testes e as releases progressivas serão as principais garantidoras do sucesso da nova estratégia de segurança adotada pela empresa.

Agora, não é porquê o método tem seu uso desencorajado que não é possível melhorar sua segurança para evitar problemas causados pelos ataques mais conhecidos e mencionados anteriormente.

Dentro da seção “Proteção por senha” dos métodos de autenticação, podemos impor regras personalizadas para as senhas cadastradas pelos usuários no Entra ID.

Formulário de configuração das políticas restritivas de senhas

Nas duas primeiras linhas podemos controlar a quantidade de tentativas permitidas antes de um bloqueio e também a duração do bloqueio. Não é recomendado deixar o número de tentativas tão alto, pois dessa maneira deixamos abertura para que atacantes tentem uma maior quantidade de senhas possível antes do bloqueio. Outro ponto é a duração do bloqueio, 60 segundos é um tempo curto e que habilita que o atacante volte a tentar possíveis senhas após o bloqueio. Sua empresa provavelmente tem um administrador ou até uma equipe de suporte, avalie se é necessário permitir que os usuários tentem tantas vezes suas senhas. Restringir essas duas propriedades pode salvar sua equipe de segurança de dores de cabeça consideráveis.

Agora vamos falar de uma funcionalidade legal, a lista de senhas personalizadas. É comum que as empresas tenham políticas de renovação de senha (nos melhores casos isso ocorre a cada 30 dias, mas conheço casos de empresas que permitiam a mesma senha por mais de 90 dias) e isso leva os funcionários a certo estresse quando o dia do vencimento da senha está próximo. “Qual senha devo colocar?”, “Já usei a senha … antes?”, “Se eu alterar apenas uma letrinha não terei problema algum.”, essas são frases que todo funcionário já pensou antes de trocar de senha. Esse recurso permite a criação de uma lista personalizada de palavras que deverão ser identificadas nas senhas dos usuários, não permitindo seu cadastramento.

O limite é de até 1000 palavras e não é necessário pensar em variações. O Entra ID identifica automaticamente se uma palavra da lista foi utilizada substituindo caracteres por valores parecidos (como um “a” por “@” ou um “o” por “0”) e também identifica valores que utilizam letras maiúsculas mescladas com minúsculas.

A lista de senha deve conter termos utilizados frequentemente na linha de negócio da sua empresa. A Microsoft já disponibiliza com o Entra ID Identity Protection uma lista global de senhas comumente utilizadas e vazadas nas dark webs, impedindo que os usuários tentem registrá-las.

Para cenários de autenticação híbrida, podemos estender as funcionalidades de proteção às senhas aos Domain Controllers do Active Directory. Ao ativarmos a opção “Proteção de senha para o Windows Server Active Directory” os DCs receberão o reforço das políticas implementadas no Entra ID, desde que os agentes necessários estejam configurados.

Por fim, não esqueça de ativar a execução da sua política. Manter a opção “Auditoria” ativa não implementará nenhum controle, os resultados de execução da política serão apenas logados e não implementados.


Pontos fortes de autenticação

Levando em conta a fragilidade da autenticação por usuário + senha, o Entra ID disponibiliza outros métodos que podem ser configurados e utilizados pela sua empresa. Alguns desses métodos são:

  • Microsoft Authenticator — aplicativo para smartphone;

  • Windows Hello for Business — solução integrada com estações de trabalho que permite autenticação via biometria e PIN (depende da capacidade técnica da estação de trabalho);

  • Autenticação por certificado — utiliza um certificado instalado na máquina para realizar a autenticação;

  • Chave de segurança FIDO — tokens físicos multi-plataforma (smartphones e notebooks).

Na seção “Pontos fortes de autenticação” você pode configurar alguns conjuntos de métodos que serão impostos aos usuários quando configurados através das políticas de acesso condicional (na seção “Conceder” da política de acesso condicional, você pode selecionar a opção “Exigir força de autenticação” e selecionar uma das opções presentes na lista).

Os administradores poderão escolher qualquer um dos métodos existentes e criar combinações de acordo com a necessidade.

Ao acessar o recurso pela primeira vez, você irá se deparar com 3 combinações padrão:

Vamos falar um pouco sobre as três:

  • Multifactor Authentication: pensado para criar uma camada extra de segurança sem um propósito específico, essa configuração contém uma lista de recursos que podem ser utilizados para implementação da política de MFA. Se você clicar sobre ela, verá todos os métodos que poderão ser utilizados pelo usuário;

  • Passwordless MFA: como explicado no início do texto, esse modelo retira a necessidade da senha utilizando outros recursos no lugar. Diferente do modelo anterior, temos apenas 4 recursos disponíveis para serem utilizados pelo usuário;

  • Phishing-resistant MFA: visando evitar o roubo de credenciais, os métodos resistentes à phishing foram atribuídos à essa coleção.

Você também pode criar suas próprias coleções de fatores de autenticação. Se por acaso sua empresa tenha alguma restrição sobre os fatores de autenticação que podem ser utilizados, essa é uma boa maneira de disponibilizar de maneira centralizada para seus usuários os recursos disponíveis.


Mais uma vez, espero que eu tenha conseguido te ajudar a proteger melhor seu ambiente. O Entra ID é uma ferramenta poderosíssima e que contém tantas capacidades de segurança que nós nos surpreendemos sempre com as possibilidades geradas por essa ferramenta.

Torço para que tenha gostado do texto e te vejo em breve.

Até logo!