Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O acesso privilegiado situa-se em todo o modelo de acesso empresarial e fornece o único caminho administrativo para o plano de controlo. Define quem pode configurar sistemas, gerir identidades, impor a segurança e, em última análise, moldar o ambiente tecnológico da organização.
Nas empresas modernas, um número relativamente pequeno de identidades – administradores, contas de serviço e funções de plano de controlo – tem poder e acesso à maioria dos ativos empresariais. Estas identidades podem:
- Modificar os controlos de acesso
- Alterar configurações do sistema
- Aceda a dados sensíveis
- Desativar ou contornar as proteções de segurança
Os atacantes reconhecem isto. Em vez de atacar cada sistema individualmente, focam-se em:
- Roubar credenciais.
- Privilégios crescentes.
- Transição lateral para funções de elevado valor.
Uma vez obtido o acesso privilegiado, o atacante pode operar com rapidez e escala.
É por isso que os modelos de segurança modernos tratam o acesso privilegiado de forma diferente:
- Tem de ser explicitamente controlada. Por exemplo, defina papéis privilegiados e integração através da governação de identidade e da gestão de identidade privilegiada (PIM), exigindo aprovação e elevação temporal em vez de atribuições permanentes de funções.
- Deve ser isolado da atividade normal. Por exemplo, usar contas administrativas separadas e dispositivos de acesso privilegiados dedicados (PAWs) para que ações privilegiadas nunca ocorram em sessões de utilizador padrão ou dispositivos não geridos.
- Deve ser monitorizado continuamente. Por exemplo, envie inícios de sessão privilegiados, ativações de funções e alterações de políticas para ferramentas de monitorização, como o Microsoft Sentinel, para detetar padrões de utilização invulgares e acionar alertas ou uma resposta automatizada.
- É preciso reconhecer que o acesso privilegiado é um dos principais alvos de comprometimento. Por exemplo, proteja todas as contas privilegiadas com autenticação multifator forte (MFA), sem acesso permanente atribuído e com controlos para contas de emergência, partindo do princípio de que os atacantes tentarão roubar credenciais e escalar privilégios.
Proteger o acesso privilegiado exige ir além dos papéis e contas para compreender todos os componentes que têm acesso privilegiado. Isto inclui:
- O plano de controlo de identidade.
- Dispositivos, aplicações e interfaces privilegiadas.
- Sistemas intermediários como VPNs, PIM e sistemas de gestão de acessos privilegiados (PAM).
Em conjunto, estas definições definem como o controlo é exercido — e como deve ser protegido.
O gráfico seguinte ilustra a superfície de ataque potencial para o comprometimento do acesso privilegiado.
Plano de controlo de identidade
O plano de controlo de identidade é a camada que define e governa quem pode ocupar papéis privilegiados e como esses privilégios são atribuídos, elevados e revogados em toda a organização. Num contexto de acesso privilegiado, inclui identidades privilegiadas, atribuições de funções e caminhos de elevação aprovados, formando a base da qual todos os outros controlos dependem.
Proteger o plano de controlo de identidade assegura que o privilégio é explícito, com prazo limitado, fortemente autenticado e auditável, impedindo o acesso não autorizado ou descontrolado aos sistemas que, em última análise, controlam todo o ambiente.
O diagrama seguinte mostra que o plano de controlo é gerido centralmente em serviços cloud (Microsoft Entra ID, Intune, Defender for Endpoint) e só pode ser acedido através de uma estação de trabalho de acesso privilegiado (PAW), impondo isolamento, controlo e administração segura de todas as operações privilegiadas.
Funções do plano de controle
O Microsoft Entra ID tem funções e permissões que são identificadas como privilegiadas.
Estas funções e permissões podem ser usadas para delegar a gestão de recursos de diretório a outros utilizadores, para modificar credenciais, políticas de autenticação ou autorização ou para aceder a dados restritos. As atribuições de funções privilegiadas podem levar à elevação de privilégio se não forem usadas de forma segura e pretendida.
- Analise funções privilegiadas do Microsoft Entra.
- Saiba mais sobre visualização e utilização de papéis privilegiados.
Estações de trabalho de acesso privilegiado
Uma Estação de Trabalho de Acesso Privilegiado (PAW) é um dispositivo dedicado e reforçado, utilizado apenas para realizar tarefas administrativas. É separado dos dispositivos normais dos utilizadores e está rigorosamente protegido para reduzir o risco de roubo de credenciais, malware ou movimentos laterais. As PAWs aplicam proteções essenciais tais como:
- Autenticação forte (por exemplo, Windows Hello para Empresas)
- Endurecimento de dispositivos (Guarda de Credenciais, Guarda de Dispositivo, Guarda de Exploração, AppLocker)
- Uso restrito (sem atividade geral de navegação ou produtividade)
O objetivo é garantir que credenciais e ações privilegiadas nunca sejam expostas a ambientes não confiáveis.
O diagrama seguinte mostra como o PAW é o único ponto de acesso fidedigno ao plano de controlo.
Como mostrado no diagrama, todas as ações administrativas fluem através da PAW e são controladas conforme resumido na tabela.
| Control | Execução |
|---|---|
| Controlada explicitamente | O acesso administrativo é concedido apenas através de controlos de identidade baseados em políticas, exigindo autenticação forte e elevação aprovada com prazo limitado. O estado do dispositivo também deve cumprir os requisitos de conformidade antes de ser permitido o acesso. |
| Isolado da atividade normal | As operações privilegiadas estão restritas a um dispositivo PAW dedicado com uso e conectividade rigorosamente controlados. O PAW não é usado para produtividade geral, com acesso à internet restrito e conectividade remota segura a sistemas sensíveis. |
| Monitorizado continuamente | Toda a atividade de identidade, estado do dispositivo e comportamento do endpoint são continuamente recolhidos e analisados, permitindo a deteção de atividade privilegiada anormal e resposta rápida. |
| Assumido como alvo | O ambiente é reforçado e continuamente validado, assumindo que os atacantes visam o acesso privilegiado. Os dispositivos são mantidos atualizados, a inicialização segura é aplicada. |
Passos seguintes
Implemente uma arquitetura de acesso privilegiado.