Guia ANSSI Active Directory: como aplicar na prática as recomendações de segurança

O cluster de busca guia anssi active directory costuma partir de uma expectativa errada: não existe um único PDF da ANSSI que, sozinho, baste para "colocar o Active Directory em conformidade". Num ambiente AD moderno, a base realmente útil é um conjunto de guias complementares. O documento principal é o guia da ANSSI publicado em 18 de outubro de 2023 sobre a administração segura de sistemas de informação baseados em Active Directory. Mas ele precisa ser lido em conjunto com o guia da ANSSI de 2021 sobre administração segura de sistemas de informação, com o guia de 2022 sobre registo e journalisation do Windows em ambiente Active Directory e com o guia de dezembro de 2023 sobre remediação do Tier 0 quando a questão já não é apenas hardening, mas recuperar o controlo depois de uma compromissão.

Essa distinção muda a forma de trabalhar com o corpus. O guia AD 2023 não cobre tudo. Ele afirma explicitamente que temas cloud e Microsoft Entra ID estão fora do perímetro e remete para o guia geral de administração segura no que diz respeito às estações de administração: acesso à Internet, hardening, cifragem e limitação de usos. Procurar um "guia ANSSI Active Directory" só faz sentido se primeiro se compreender que documento serve para quê antes de o transformar em controlo técnico.

Nota importante: as publicações da ANSSI citadas aqui são guias técnicos. Elas servem como referência metodológica e arquitetural, mas por si só não constituem nem uma obrigação legal automática nem uma "certificação ANSSI para Active Directory". Se o projeto também estiver inserido num contexto NIS2, ISO 27001 ou equivalente, é preciso separar claramente o texto regulatório das medidas técnicas escolhidas para responder a esse quadro.

O que cobre o Guia ANSSI Active Directory?

O guia ANSSI de 2023 sobre a administração segura de sistemas de informação baseados em Active Directory trata do problema central que muitas equipas subestimam: a compromissão da diretoria não decorre apenas de "um parâmetro AD mal configurado", mas frequentemente de uma combinação de más práticas de administração, ausência de segmentação lógica e caminhos de controlo deixados abertos através de outros componentes do sistema de informação.

Por isso, o texto deve ser lido menos como uma checklist de itens a marcar e mais como um verdadeiro modelo de confiança. Ele explica como pensar em zonas de confiança, como identificar o Tier 0, como reduzir caminhos de controlo até à diretoria, porque o uso de NTLM e Kerberos tem impacto direto na segmentação e porque a deteção deve ser concebida como um componente normal da arquitetura AD e não como uma camada acrescentada no fim do projeto.

Este guia não substitui os outros documentos da ANSSI. Ele complementa-os. Também não pretende cobrir toda a componente cloud, a governação jurídica ou todos os detalhes de uma estação de administração segura. É precisamente por isso que um leitor técnico que queira realmente "aplicar a ANSSI ao AD" tem de partir de um corpus de documentos e não de uma única publicação.

Que documentos da ANSSI são de referência hoje

A tabela seguinte é a grelha de leitura mais útil na prática:

O ponto importante é simples: o guia AD de 2014 está hoje obsoleto dentro do corpus público da ANSSI. A base útil atualmente é, portanto, o guia de 2023, complementado conforme necessário pelos guias de 2021, 2022 e 2023 sobre remediação do Tier 0.

Os princípios da ANSSI que estruturam um Active Directory endurecido

A lógica da ANSSI não é "endurecer uma GPO atrás da outra". Ela começa com uma pergunta mais estruturante: que recursos têm um nível comparável de confiança, sensibilidade e exposição, e como impedir que uma compromissão local suba em direção à diretoria ou ao Tier 0?

Nesta abordagem, a segmentação não é um diagrama de rede abstrato. É uma combinação de medidas:

• identificar os recursos mais sensíveis;
• analisar os caminhos de ataque e de controlo até esses recursos;
• categorizar os ativos em níveis ou Tiers;
• aplicar práticas de administração coerentes com essa categorização;
• reduzir a exposição de cada Tier;
• endurecer os sistemas e as ferramentas que suportam a administração;
• construir logging e deteção em coerência com essa arquitetura.

Este ponto é essencial para o Active Directory, porque o perímetro de risco não se limita aos controladores de domínio. O guia AD 2023 insiste no facto de outras componentes do sistema de informação poderem tornar-se caminhos de controlo para a diretoria: virtualização, armazenamento, backup, ferramentas de administração, trusts, contas integradas, contentores de configuração ou qualquer sistema capaz de recuperar ou reutilizar segredos de autenticação.

Na prática, um AD "endurecido" no espírito da ANSSI não é apenas uma diretoria com bons parâmetros. É um ambiente em que as relações de confiança são explícitas, os privilégios são separados e se consegue demonstrar que um administrador ou uma máquina de nível inferior não dispõe de um caminho simples até ao núcleo de confiança.

Segmentação, zonas de confiança e administração dedicada

A palavra-chave aqui é zona de confiança. No guia AD 2023, a ANSSI apoia-se nesta lógica para estruturar a segmentação do sistema de informação. A ideia não é isolar tudo de forma uniforme, mas agrupar logicamente recursos que partilham um nível comparável de sensibilidade e exposição, e depois impedir que uma compromissão local se propague livremente até às zonas mais críticas.

No terreno, isso obriga a tratar a administração como uma atividade separada. O guia ANSSI de 2021 sobre administração segura dos sistemas de informação é muito claro em vários pontos:

• as contas de administração devem ser reservadas apenas para ações de administração;
• não devem servir para produtividade diária nem para iniciar sessão em estações não dedicadas à administração;
• as contas built-in nativas não devem sustentar o funcionamento corrente;
• devem ser privilegiadas contas individuais de administração para garantir rastreabilidade e segregação de direitos;
• a estação de administração deve ser tratada como um ativo sensível;
• Internet e correio eletrónico ligado à Internet não devem estar acessíveis a partir desse ambiente.

Se as contas privilegiadas ainda iniciam sessão em postos de trabalho normais, se os segredos administrativos circulam em máquinas polivalentes ou se os saltos administrativos passam por ambientes menos confiáveis, a arquitetura já contradiz o modelo ANSSI, mesmo que as GPO e as ACL pareçam limpas.

Um bastion pode fazer parte da resposta, mas a ANSSI trata-o como um caso arquitetural, não como uma solução mágica. As estações de administração dedicadas só têm valor se os usos forem coerentes: nada de navegação web, nada de e-mail, nada de software desnecessário, nenhuma mistura entre exploração e produtividade.

Se quiser traduzir estes princípios em controlos concretos, a abordagem certa não é começar pelas ferramentas. É primeiro verificar quem administra o quê, a partir de que máquina, com que conta, por que caminho de rede e em direção a que zona de confiança. É nesse ponto que uma checklist prática para auditar a segurança do Active Directory se torna útil, porque permite transformar os princípios ANSSI em verificações observáveis.

Tier 0, contas privilegiadas e caminhos de administração

O guia AD 2023 retoma a lógica histórica de segmentação por Tiers e recorda que o Tier 0 representa o núcleo de confiança da organização. Os recursos deste nível permitem, direta ou indiretamente, conceder privilégios sobre os outros Tiers e, portanto, controlar a diretoria.

O erro clássico consiste em reduzir o Tier 0 apenas aos controladores de domínio. A ANSSI vai mais longe. Na lógica da segmentação como na da remediação, é necessário olhar também para objetos privilegiados, trusts, contentores de sistema e configuração, contas integradas, segredos de autenticação e as máquinas onde esses segredos podem estar expostos. O guia de remediação do Tier 0 insiste num ponto muito concreto: estações de administração seguras e sistemas capazes de conter segredos de contas privilegiadas fazem parte do problema, porque um atacante que mantenha um ponto de apoio nesses sistemas consegue frequentemente reencontrar um caminho de regresso ao núcleo de confiança.

Outro ponto técnico importante: no contexto da remediação, a ANSSI lembra que o limite de segurança é a floresta e não o domínio isolado. Os objetivos técnicos só são considerados atingidos quando forem realizados em paralelo em todos os domínios de uma floresta comprometida. Caso contrário, um domínio já tratado pode voltar a ser comprometido a partir de outro que ainda não foi saneado.

Esta visão obriga a sair de uma auditoria demasiado "objeto a objeto". Num AD real, é preciso analisar:

• grupos e contas privilegiadas ainda ativas;
• delegações demasiado amplas;
• caminhos de controlo não documentados;
• segredos privilegiados presentes fora do Tier 0;
• dependências técnicas com backup, virtualização, PKI ou outras componentes capazes de recuperar direitos AD;
• contas antigas ou sobreprivilegiadas sem justificação clara.

Esta leitura cruza-se diretamente com temas como contas obsoletas e superprivilegiadas no AD, ataques ADCS de ESC1 a ESC8 ou ataques de delegação Kerberos da não restrita até RBCD. O ponto da ANSSI não é empilhar alertas. É reduzir, documentar e depois monitorizar os caminhos reais que permitem retomar o controlo da diretoria.

Logging e capacidade de deteção em ambiente AD

Outro equívoco frequente consiste em tratar a deteção como uma camada SIEM independente, desligada do projeto Active Directory. O guia ANSSI de 2022 sobre journalisation em ambiente Microsoft Active Directory mostra o contrário: logging útil é uma questão de arquitetura.

O documento cobre a implementação das políticas de auditoria Windows, o armazenamento local e a rotação de logs, a recolha centralizada de eventos, a seleção das fontes de log úteis, o uso de Sysmon para telemetria avançada e uma recolha baseada em Windows Event Forwarding (WEF) e Windows Event Collector (WEC). A mensagem não é "ativem tudo". É antes esta: escolham os logs que realmente suportam deteção e investigação, centralizem-nos num perímetro coerente e segmentem também os servidores de recolha.

Além disso, este guia é operacional. Não se limita a dizer que é preciso registar; desce aos mecanismos Windows e à organização da recolha. Também recorda um limite útil: o seu perímetro visa sistemas ligados de forma regular. Sistemas isolados ou muito pouco ligados exigem mecanismos adaptados.

Para um AD endurecido no espírito da ANSSI, a deteção deve conseguir responder a perguntas concretas:

• que ações administrativas privilegiadas ocorreram;
• a partir de que estações e com que contas foram executadas;
• que alterações afetam objetos privilegiados, GPO e caminhos de controlo;
• que segredos ainda podem circular fora dos ambientes de confiança;
• que eventos críticos chegam efetivamente aos coletores;
• que profundidade investigativa é possível se o Tier 0 for afetado.

O objetivo não é substituir todo o ecossistema de deteção. É estabelecer uma base de logging suficiente para monitorizar administração, autenticação, alterações estruturais da diretoria e o estado dos ativos críticos. É também neste ponto que temas como assinatura LDAP desativada ou Kerberoasting em contas de serviço se tornam úteis: mostram o tipo de exposição que deve surgir nos controlos preventivos ou na capacidade de deteção.

Como aplicar estas recomendações num AD real

O método correto não é converter um guia ANSSI em mil tarefas atómicas. Numa diretoria real, é preferível avançar em sete etapas.

1. Fixar o corpus de referência

Decida que guia suporta que decisão. O guia AD 2023 para segmentação e Tier 0. O guia Administração 2021 para contas, estações e redes de administração. O guia Logging 2022 para recolha e retenção. O guia Tier-0 Remediation 2023 para cenários pós-compromisso.

2. Mapear zonas de confiança e Tiers

Liste os recursos que controlam a diretoria ou a podem influenciar: controladores de domínio, PKI, backup, hipervisores, ferramentas de administração, contas privilegiadas, GPO críticas, trusts e sistemas administrativos. Uma comparação de ferramentas de auditoria AD torna-se útil se precisar de objetivar estes caminhos de controlo em escala.

3. Documentar os caminhos de administração

Um administrador Tier 0 inicia sessão a partir de uma máquina dedicada? De que rede? Com que conta individual? Ainda existem usos mistos entre produtividade e administração? As contas privilegiadas permanecem confinadas ao seu perímetro ou os seus segredos reaparecem em sistemas de nível inferior?

4. Rever protocolos e mecanismos que quebram a segmentação

O guia AD 2023 dedica um capítulo inteiro aos riscos de NTLM e Kerberos para a segmentação. É, portanto, necessário verificar mecanismos que permitam reutilização de segredos, ampla difusão de material de identidade ou delegações demasiado abertas. É o momento de cruzar os controlos com temas como delegação Kerberos, conformidade AD e Azure para NIS2, ISO 27001 e CIS ou exposições ADCS, se a PKI tiver um papel nos caminhos de controlo.

5. Construir um logging sustentável

Ative os logs úteis, centralize-os, proteja os coletores e sincronize o tempo. Não tente "ver tudo" no primeiro dia. Torne primeiro visíveis as ações administrativas privilegiadas, as alterações críticas e as atividades que podem tocar o núcleo de confiança.

6. Produzir um backlog de remediação estruturado

Nem todas as não conformidades têm o mesmo peso. Uma conta admin antiga ainda ativa, uma delegação excessiva sobre um objeto privilegiado, uma estação de administração não dedicada, um trust mal controlado ou uma recolha de logs inoperante não têm o mesmo impacto. O backlog correto não é ordenado por família tecnológica, mas por impacto sobre segmentação e Tier 0.

7. Saber quando sair do hardening e entrar na remediação

Se já detetar caminhos de compromissão ativos, persistências em ativos privilegiados ou perda de confiança no núcleo de confiança, é necessário mudar de quadro. Nessa altura, o guia de remediação do Tier 0 torna-se mais relevante do que uma simples checklist de hardening.

Validação após o hardening

Um AD não fica "alinhado com a ANSSI" apenas porque existe uma pasta documental. É preciso conseguir responder a perguntas de validação precisas.

Sobre a segmentação

• Ainda é possível atingir o Tier 0 a partir de uma estação, conta ou ferramenta de nível inferior?
• Recursos de backup, virtualização, PKI ou administração de terceiros abrem um caminho de controlo para a diretoria?
• Trusts e delegações foram revistos com lógica de confiança e não apenas de funcionalidade?

Sobre a administração

• As contas privilegiadas são individuais e reservadas exclusivamente a ações de administração?
• As estações de administração são dedicadas, controladas e sem Internet ou correio eletrónico ligado à Internet?
• Os segredos de contas privilegiadas ainda podem surgir na memória de sistemas que não fazem parte do núcleo de confiança?

Sobre a deteção

• Os logs críticos estão realmente ativos e centralizados?
• Os servidores de recolha são eles próprios segmentados e monitorizados?
• Com os dados disponíveis, é realisticamente possível investigar uma alteração de objeto privilegiado, uma administração anómala ou uma possível compromissão do Tier 0?

Sobre a doutrina

• As equipas sabem que guia da ANSSI utilizar para cada tema?
• O guia de 2014 foi realmente retirado do corpus de referência?
• Os requisitos NIS2 ou ISO são tratados como temas relacionados, mas distintos, sem atribuir ao guia AD da ANSSI afirmações que ele não contém?

Como a EtcSec ajuda a verificar estes desvios

A EtcSec não existe para transformar um guia técnico num rótulo de marketing. O valor de uma auditoria especializada está noutro ponto: tornar visíveis os desvios que os textos da ANSSI descrevem, mas que as equipas muitas vezes têm dificuldade em objetivar num ambiente real.

Na prática, uma auditoria alinhada com esta lógica deve permitir:

• mapear os caminhos de controlo até ao Tier 0 e aos objetos privilegiados;
• inventariar contas privilegiadas, direitos delegados e exposições sem justificação clara;
• evidenciar as zonas em que a segmentação lógica é contrariada pelos usos reais;
• verificar se logging e recolha suportam realmente deteção e investigação;
• priorizar remediações que reduzam o risco de retoma do controlo da diretoria.

Nesta lógica, a EtcSec ajuda a verificar desvios técnicos. Não substitui nem as escolhas de arquitetura, nem a governação interna, nem o trabalho de remediação pós-incidente quando o núcleo de confiança já se perdeu.

Referências primárias

• ANSSI - Recommandations pour l'administration sécurisée des SI reposant sur AD (18 octobre 2023)
• ANSSI - Recommandations relatives à l'administration sécurisée des SI (11 mai 2021)
• ANSSI - Sécuriser la journalisation dans un environnement Microsoft Active Directory (28 janvier 2022)
• ANSSI - Cyberattaques et remédiation : la remédiation du Tier 0 Active Directory (version 1.0, décembre 2023)
• ANSSI - Recommandations de sécurité relatives à Active Directory (29 août 2014, obsoleto)
• Microsoft Learn - Use Windows Event Forwarding to help with intrusion detection
• Microsoft Learn - Sysmon Overview