Alert icon Keyboard navigation enabled.
Alert icon TAB or Shift+TAB to navigate across. Down ↓ to open menu. ESC to close menu.
Alert icon Down ↓ to select section. Right → to activate. Up ↑ / Down ↓ / Tab to traverse all. ESC to exit.
BeyondTrust
Skip to content Use space or enter to skip.

O que podemos ajudá-lo a encontrar hoje?

Resultados instantâneos
  • Resultados do site
  • Documentação Técnica

Opções de filtro

Refine sua pesquisa

Filtrando por

Suas pesquisas recentes:

  • English
  • Deutsch
  • français
  • español
  • 한국어
  • português
  • Home
  • Conteúdos
  • Blog
  • Contas de Superusuários: o que são e como protegê-las current page
Link copied

Contas de Superusuários: o que são e como protegê-las

3 de jan. de 2019
Author:
Matt Miller
Content Marketing Manager, BeyondTrust
Blog banner default
Contas de Superusuários: o que são e como protegê-las
Matt Miller
Content Marketing Manager, BeyondTrust



As contas “superusers” ou de superusuário são aquelas altamente privilegiadas, usadas principalmente pela equipe de TI. Um superusuário é um usuário que aproveita os benefícios de uma conta desse tipo. Em teoria, esses superusuários / contas podem ter privilégios ilimitados sobre um sistema. Os privilégios de conta de superusuário permitem:

  • Privilégios totais de leitura / gravação / execução
  • Criação ou instalação de arquivos ou softwares
  • Modificação de arquivos e configurações
  • Exclusão de usuários e dados

Neste blog, abordarei alguns tipos comuns de contas de superusuário, as implicações de segurança dessas contas altamente privilegiadas, as práticas recomendadas para protegê-las e as principais tecnologias para gerenciar e protegê-las.

Contas de Superusuário em sistemas Windows, Linux e Unix / Unix

Nos sistemas Windows, a conta “Administrador” possui privilégios de superusuário. Cada computador com sistema Windows possui pelo menos uma conta de administrador. Essa conta permite que o usuário instale softwares e altere configurações, parâmetros locais, além de outros recursos. Já os usuários padrão têm restrição de privilégios e as contas de usuários convidados (guest) são normalmente limitadas ainda mais, permitindo apenas o acesso básico a aplicativos e a navegação na Internet.

Nos sistemas Linux e Unix, a conta de superusuário, denominada “root”, possibilita acesso irrestrito a todos os comandos, arquivos, diretórios e outros recursos. Além disso, a conta root pode conceder e eliminar quaisquer permissões para outros usuários. No caso do ambiente Mac OS X, ao contrário do Unix e Linux, ele raramente é implementado como servidor. Como padrão, os usuários Mac são executados com acesso root – no entanto, uma boa prática de segurança é criar e usar uma conta não privilegiada como rotina a fim de reduzir as ameaças privilegiadas.

Implicações de segurança nas contas de superusuários

Quando mal utilizadas, inadvertidamente (por exemplo, o erro de digitação de um comando ou exclusão acidental de um arquivo importante) ou com intenção maliciosa, as contas de superusuário podem causar danos catastróficos em um sistema ou em toda a organização.

A maioria das plataformas de segurança é incapaz de proteger contas superusuários porque tais tecnologias foram desenvolvidas para proteger o perímetro – e os superusuários já estão no interior do perímetro. Os superusuários podem alterar configurações de firewall, criar backdoors e substituir configurações de segurança, enquanto apagam rastros de suas atividades.

Políticas e controles insuficientes em relação ao provisionamento, à segregação e ao monitoramento de superusuários aumentam ainda mais os riscos. Por exemplo, administradores de banco de dados, engenheiros de rede e desenvolvedores de aplicativos recebem frequentemente acesso completo no nível de superusuário. O compartilhamento de contas de superusuário entre vários indivíduos também é uma prática desenfreada, o que confunde a trilha de auditoria. E, no caso de PCs com Windows, os usuários geralmente fazem login com privilégios de conta administrativa.

Os atacantes cibernéticos, independentemente dos motivos, buscam ativamente contas de superusuários, sabendo que, uma vez que comprometem essas contas, eles se tornam altamente privilegiados. Além disso, o malware que infecta uma conta de superusuário pode aproveitar os mesmos direitos de privilégio dessa conta para propagar, infligir danos e roubar dados.

Em um dos mais infames casos de invasão desonesta, Edward Snowden, um terceirizado de TI da NSA, abusou de seus privilégios de superusuário para acessar, copiar e vazar mais de 1 milhão de arquivos altamente sensíveis da NSA. Logo após o incidente, a NSA estabeleceu um modelo de segurança com restrição de privilégios para 90% dos administradores de sistemas.

Protegendo e Monitorando as Contas de Superusuários

As organizações que desejam controlar e proteger as contas de superusuário devem implementar algumas ou todas as práticas recomendadas a seguir:

  • Imponha o acesso com privilégios mínimos: limite as contas de superusuário para o mínimo de pessoas. Certifique-se de que cada usuário tenha os privilégios mínimos absolutos de que precisa para realizar seu trabalho. Isso pode significar elevação de privilégios temporariamente quando necessário (como em uma aplicação), mas sem conceder direitos totais de superusuário à qualquer conta. Nos sistemas Unix e Linux, o comando sudo (superuser do) permite que um usuário normal aumente temporariamente privilégios para o nível-raiz, mas sem ter acesso direto à conta raiz ou senha.
  • Segmente sistemas e redes: Ao particionar usuários e processos com base em diferentes níveis de confiança, necessidades e privilégios, você pode restringir onde e como um superusuário pode agir.
  • Imponha a separação de privilégios: isso implicará na separação das funções de superusuário dos requisitos de conta padrão, na separação dos recursos de auditoria/registro nas contas administrativas, e na separação das funções do sistema (leitura, edição, gravação, execução, etc.)
  • Imponha a segurança e troca dinâmica de senhas de superusuários: as senhas devem atender a rigorosos padrões de segurança, bem como devem ser rotacionadas regularmente, inclusive após cada uso no caso das contas mais “poderosas”
  • Monitore e audite todas as sessões de superusuário: Grave, registre, audite e controle todas as atividades de sessão das contas de superusuário para atender às demandas de compliance.

Tecnologias para Gerenciar / Garantir a Segurança das Contas de Superusuário

A tecnologia de gestão de contas privilegiadas ou (Privilege Access Management (PAM)), também chamada de gestão de identidade privilegiada (Privileged Identity Management (PIM)) ou apenas gerenciamento de privilégios (Privilege Management), envolve a criação e a implantação de soluções e estratégias para gerenciar o superusuário e outros tipos de contas / acessos privilegiados em um ambiente de TI. As soluções PAM:

  • Identificam todas as contas de superusuário e privilegiadas;
  • Impõem privilégios mínimos (removem direitos de administrador)
  • Implementam o gerenciamento de privilégios de superusuário (SUPM) para obter controle granular sobre a elevação de privilégios
  • Impõem práticas recomendadas de segurança de senha para contas de superusuário
  • Auditam todas as atividades da sessão de superusuários

Para saber como a BeyondTrust pode ajudá-lo na gestão de contas de superusuários e amadurecer seu programa de segurança de acesso privilegiado, entre em contato conosco.

Temas Relacionados

  • Aprenda a gerenciar e monitorar sessões para contas de superusuário (página de soluções)
  • Aprenda a gerenciar senhas para contas de superusuário (página de soluções)
  • Aprenda como controlar e auditar contas de superusuários e outros acessos privilegiados com o PAM (white paper)
  • Leia o Gartner Market Guide de Gestão de Contas Privilegiadas(Pesquisa de analistas)


Últimas postagens
  • Principais Previsões de Tendências de Segurança Cibernética para 2024
    out. 30, 2023 Principais Previsões de Tendências de Segurança Cibernética para 2024
    Blog
    1m
  • Como uma simples recomendação de segurança ajuda a resolver um grande problema antigo
    mai. 4, 2023 Como uma simples recomendação de segurança ajuda a resolver um grande problema antigo
    Blog
    1m
  • BeyondTrust Aponta Tendências em Cibersegurança para os Próximos 5 Anos
    out. 19, 2021 BeyondTrust Aponta Tendências em Cibersegurança para os Próximos 5 Anos
    Blog
    1m
  • O Trabalho Remoto Chegou para Ficar: seu Service Desk está Preparado?
    jul. 28, 2020 O Trabalho Remoto Chegou para Ficar: seu Service Desk está Preparado?
    Blog
    1m
  • Acesso remoto, Computação em Nuvem e Transformação Digital Chegaram para Ficar: o PAM é a chave para protegê-los
    jul. 23, 2020 Acesso remoto, Computação em Nuvem e Transformação Digital Chegaram para Ficar: o PAM é a chave para protegê-los
    Blog
    1m
Relacionado
  • Rotação versus reutilização de senhas: uma é melhor prática; a outra, tabu
    fev. 19, 2019 Rotação versus reutilização de senhas: uma é melhor prática; a outra, tabu
    Blog
    1m
  • Fui alvo de phishing!
    fev. 6, 2019 Fui alvo de phishing!
    Blog
    1m
Compartilhar este artigo
  • Link
Mantenha-se atualizado
Receba as últimas notícias, ideias e táticas da BeyondTrust. Você pode cancelar a inscrição a qualquer momento.

Fique atualizado

Suporte ao cliente Entre em contato com vendas
  • LinkedIn
  • X
  • Facebook
  • Instagram
  • Add BeyondTrust as a preferred source on Google
  • Privacidade
  • Security
  • Gerenciar configurações de cookies
  • Do Not Sell My Data
  • WEEE Compliance

Copyright © 2003 — 2023 BeyondTrust Corporation. All rights reserved. Other trademarks identified on this page are owned by their respective owners. BeyondTrust Corporation is not a chartered bank or trust company, or depository institution. It is not authorized to accept deposits or trust accounts and is not licensed or regulated by any state or federal banking authority.

Prefers reduced motion setting detected. Animations will now be reduced as a result.