Skip to main content

Featured

Novo recurso no Microsoft Entra ID: desativar App Registration sem excluir

O Microsoft Entra ID agora permite desativar uma App Registration de forma reversível, sem precisar excluí-la do tenant.  Além de uma maneira de obter maior controle operacional, menor superfície de ataque e maior maturidade em identidade corporativa, esse recurso proporciona segurança, sem que haja  perca de configurações e permissões de aplicações que podem voltar a serem utilizadas. Antes dessa funcionalidade, administradores precisavam optar entre manter o aplicativo ativo durante uma investigação ou removê-lo completamente, o que implicava perda de histórico, permissões de API e configurações. Agora é possível interromper o acesso sem destruir o objeto. O que acontece ao desativar um aplicativo Quando uma App Registration é desativada, n ovos tokens deixam de ser emitidos, u suários não conseguem autenticar, a  aplicação não consegue acessar APIs usando novos tokens e o  Service Principal passa a ter o atributo isDisabled definido como true Se houver tentativa ...
Post a Comment
Read more

Windows Server 2025




O Windows Server 2025 traz avanços significativos em segurança, gerenciamento de contas e Active Directory (AD), atendendo às demandas modernas de ambientes híbridos e de nuvem.

Active Directory no Windows Server 2025: Inovações em Escalabilidade, Desempenho e Segurança

O Active Directory (AD) é um dos pilares dos ambientes corporativos, e o Windows Server 2025 traz a maior evolução desde o nível funcional de domínio de 2016. As mudanças visam ambientes híbridos e de alta escala.

Novos níveis funcionais de floresta e domínio

  • Descrição: Introdução de novos níveis funcionais para domínio e floresta, necessários para habilitar recursos avançados de segurança e replicação.

  • Impacto: Permite o uso de novos algoritmos criptográficos, novos atributos e mecanismos de auditoria e replicação, o que também reforça a integração com o Microsoft Entra ID (Azure AD).

Suporte aprimorado a NUMA (Non-Uniform Memory Access)

  • Descrição: O AD agora suporta controladores de domínio em servidores com múltiplos grupos NUMA.

  • Impacto: Elimina a limitação de uso de até 64 núcleos, comum em versões anteriores. Agora é possível usar todo o poder de máquinas com 128, 192 ou mais núcleos, melhorando a escalabilidade e tempo de resposta.

Aumento no tamanho das páginas do banco de dados (ESE)

  • Descrição: O banco de dados do AD (NTDS.dit) passa a suportar páginas de 32 KB (antes limitado a 8 KB).

  • Impacto: Isso aumenta o número máximo de valores armazenáveis em atributos multivalorados (de ~1.200 para ~3.200), reduz o tempo de leitura/escrita e melhora a compactação.

Replicação com prioridade

  • Descrição: Agora é possível definir prioridades entre controladores de domínio para replicação.

  • Impacto: Controladores em sites críticos ou mais utilizados podem receber atualizações com prioridade. Isso melhora o tempo de convergência de alterações importantes (como bloqueios de contas, GPOs, OU removidas).

Atualizações criptográficas no Kerberos

  • Descrição: Suporte nativo a algoritmos AES com SHA-256 e SHA-384 no Kerberos.

  • Impacto: Atende requisitos de conformidade modernos (por exemplo, FedRAMP, NIST SP 800-57), e permite autenticação mais segura, com redução de risco de spoofing ou downgrade attacks.


Windows LAPS (Local Administrator Password Solution): Redefinido para Ambientes Modernos

O Windows LAPS foi totalmente integrado ao sistema operacional e ampliado para suportar ambientes híbridos e funcionalidades de segurança de última geração.

Geração de senhas em formato de frase (passphrases)

  • Descrição: Permite configurar senhas geradas como frases legíveis, como "CaminhoVermelhoLua77".

  • Impacto: Aumenta a usabilidade sem perder segurança. Ideal para senhas de recuperação local ou cenários em que o técnico precisa digitar manualmente a senha.

Novo atributo msLAPS-CurrentPasswordVersion

  • Descrição: Um atributo no AD que permite identificar se a senha do administrador local foi atualizada ou está defasada.

  • Impacto: Garante que políticas de rotação de senha sejam cumpridas, especialmente em casos de exposição ou uso indevido.

Integração com Microsoft Entra ID (antigo Azure AD)

  • Descrição: Agora é possível armazenar as senhas gerenciadas pelo LAPS no Entra ID.

  • Impacto: Permite recuperação e rotação centralizada de senhas mesmo em dispositivos que não estão unidos a um domínio local, ampliando o alcance do LAPS para ambientes híbridos e Intune-managed.

Gerenciamento de senha do DSRM (Directory Services Restore Mode)

  • Descrição: O LAPS agora também pode rotacionar e armazenar de forma segura a senha da conta DSRM.

  • Impacto: Reduz um dos vetores críticos de ataque em controladores de domínio — uma conta frequentemente negligenciada e raramente rotacionada.


dMSAs (Delegated Managed Service Accounts): Automação Segura de Contas de Serviço

O uso de contas de serviço gerenciadas já é uma boa prática, mas com o Windows Server 2025 surgem novas capacidades que tornam esse recurso ainda mais poderoso e seguro.

Automação completa de senhas com rotação agendada

  • Descrição: As dMSAs permitem que senhas sejam rotacionadas automaticamente, sem intervenção do administrador.

  • Impacto: Isso elimina completamente a necessidade de armazenar senhas de contas de serviço em arquivos de configuração, scripts ou ambientes DevOps.

Delegação de permissões refinada

  • Descrição: Administradores podem conceder permissões específicas para que apenas determinados serviços usem ou atualizem a dMSA.

  • Impacto: Isso aumenta a segurança ao reduzir o escopo de privilégio de cada conta de serviço e fornece melhor segregação de funções (SoD – Separation of Duties).

Suporte a ambientes protegidos com Credential Guard

  • Descrição: As dMSAs agora funcionam em ambientes protegidos por Credential Guard, com as credenciais ligadas diretamente ao host e com uso de Kerberos.

  • Impacto: Oferece proteção contra ataques de extração de hash e pass-the-hash, mesmo em serviços rodando localmente em máquinas Windows Server.




Comments

Post a Comment