Capítulo 4: Identity & Access Management (IAM)

4.1 Modelos de Controle de Acesso

Princípios Fundamentais

• Menor Privilégio (Least Privilege): Conceder apenas as permissões mínimas necessárias para realizar as tarefas. Minimiza danos em caso de comprometimento.
• Segregação de Funções (Separation of Duties): Dividir tarefas críticas entre múltiplas pessoas para prevenir fraudes e erros. Ex: quem aprova um pagamento não pode executá-lo.
• Need to Know: Conceder acesso apenas às informações estritamente necessárias para a função do usuário, mesmo que ele tenha autorização de acesso mais ampla.
• Job Rotation: Prática de rotacionar periodicamente as funções dos funcionários para prevenir fraudes, detectar irregularidades e promover treinamento cruzado.
• Férias Obrigatórias (Mandatory Vacation): Exigir que funcionários tirem férias consecutivas para detectar fraudes que exigem a presença constante do fraudador.

Modelos de Controle de Acesso

• DAC (Discretionary Access Control): O proprietário do recurso define as permissões. Flexível mas menos seguro. Ex: NTFS do Windows.
• MAC (Mandatory Access Control): O sistema define permissões através de rótulos (labels) e níveis de autorização (clearance). Alta segurança. Ex: SELinux, sistemas militares.
• RBAC (Role-Based Access Control): Permissões baseadas em funções ou cargos. Mais comum em empresas. Ex: Admin, Usuário, Gerente.
• ABAC (Attribute-Based Access Control): Políticas baseadas em atributos como horário, localização, dispositivo. Mais granular e dinâmico.

4.2 Autenticação

Fatores de Autenticação

• Algo que você sabe (Tipo 1): Senha, PIN, resposta a pergunta secreta
• Algo que você tem (Tipo 2): Smart card, token, celular, token USB
• Algo que você é (Tipo 3): Biometria (impressão digital, íris, face, voz)
• Algum lugar onde você está (Tipo 4): Localização geográfica, geofencing
• Algo que você faz (Tipo 5): Padrão de comportamento (digitação, assinatura)

Autenticação Multifator (MFA)

• Combina 2 ou mais fatores de categorias DIFERENTES
• Senha + SMS NÃO é MFA forte? (SMS é algo que você tem, senha é algo que você sabe → são fatores diferentes ✓)
• Senha + biometria = MFA forte (fatores diferentes: conhecimento + inerência)

Métodos de Autenticação

• Senha: Mais comum, porém vulnerável se fraca
• PIN: Numérico, geralmente mais curto que senha
• Biometria: Impressão digital, íris, retina, face, voz, geometria da mão
• Smart Card: Cartão com chip que armazena certificado digital
• Token: Dispositivo físico (RSA SecureID) ou software (Google Authenticator)
• TOTP (Time-based One-Time Password): Código temporário baseado em tempo. Ex: Google Authenticator, Microsoft Authenticator
• HOTP (HMAC-based One-Time Password): Código baseado em contador
• Notificação Push: Aprovação no celular (Duo, Microsoft Authenticator)

Biometria - Métricas

• FAR (False Acceptance Rate): Taxa de aceitar um impostor como legítimo. É a mais GRAVE.
• FRR (False Rejection Rate): Taxa de rejeitar um usuário legítimo. Frustrante, mas menos grave.
• CER (Crossover Error Rate): Ponto onde FAR = FRR. Quanto menor o CER, melhor o sistema biométrico.

Single Sign-On (SSO)

• Autentica-se uma única vez e ganha acesso a múltiplos sistemas
• Vantagem: Conveniência, menos senhas para lembrar
• Risco: Se a conta SSO for comprometida, todos os sistemas ficam acessíveis
• Tecnologias: Kerberos, SAML, OAuth, OpenID Connect

4.3 Autorização

Conceitos

• Autorização: Define o que um usuário autenticado pode fazer
• Permissões: Direitos específicos sobre recursos (ler, escrever, executar)
• Direitos (Rights): Ações no sistema (desligar, fazer backup)
• Token de Acesso: Identifica o usuário e seus grupos após a autenticação

Permissões Cumulativas no Windows

• As permissões NTFS são cumulativas (soma das permissões do usuário + grupos)
• Negar (Deny) sempre prevalece sobre Permitir (Allow)
• Permissão efetiva = soma das permissões do usuário e de todos os grupos

4.4 Active Directory (AD)

Componentes

• Domínio (Domain): Unidade administrativa principal
• OU (Organizational Unit): Container para organizar objetos (usuários, computadores)
• Floresta (Forest): Conjunto de domínios com relações de confiança
• Árvore (Tree): Hierarquia de domínios
• Controlador de Domínio (DC - Domain Controller): Servidor que autentica usuários

Objetos do AD

• Conta de Usuário: Representa uma pessoa
• Conta de Computador: Representa um computador no domínio
• Grupo: Agrupa usuários para facilitar a atribuição de permissões
• GPO (Group Policy Object): Define configurações centralizadas

Tipos de Grupos no AD

• Grupo de Segurança: Para atribuir permissões
• Grupo de Distribuição: Para listas de email (Exchange)
• Domínio Local: Membros de qualquer domínio, usado para permissões no domínio local
• Global: Membros de um único domínio, usado em qualquer domínio
• Universal: Membros de qualquer domínio, usado em qualquer domínio (replicado no Catálogo Global)

Group Policy (GPO)

• Define configurações centralizadas para usuários e computadores
• Aplicado a sites, domínios e OUs
• Configuração de Usuário + Configuração de Computador
• Ordem de aplicação: Local → Site → Domínio → OU (a última prevalece)

4.5 Hardening de Autenticação

Políticas de Senha

• Comprimento mínimo: 12-16+ caracteres recomendado
• Complexidade: Exigir maiúsculas, minúsculas, números e símbolos
• Histórico de senhas: Impede o reuso de senhas antigas
• Idade máxima: Forçar troca periódica (60-90 dias)
• Idade mínima: Impede que o usuário troque a senha várias vezes seguidas para voltar à antiga
• Bloqueio de conta (Lockout): Bloquear após X tentativas erradas

Restrições de Conta

• Restrição por horário (Time-of-day): Permitir acesso apenas em determinados horários
• Geofencing: Restringir acesso por localização geográfica
• Restrição por dispositivo: Permitir acesso apenas de dispositivos autorizados
• Viagem impossível (Impossible Travel): Detectar logins de locais geograficamente distantes em curto intervalo

UAC (User Account Control) - Windows

• Separa usuário padrão de administrador
• Solicita elevação para ações administrativas
• Reduz o risco de malware executar com privilégios elevados

Gerenciadores de Senha (Password Managers)

• Armazenam senhas de forma criptografada
• Geram senhas fortes e únicas para cada serviço
• Protegidos por uma senha mestra (master password)

4.6 e 4.7 Linux - Usuários e Grupos

Arquivos Importantes

• /etc/passwd: Informações básicas dos usuários (nome, UID, GID, home, shell)
• /etc/shadow: Senhas criptografadas (hash) e informações de expiração
• /etc/group: Informações dos grupos (nome, GID, membros)

Comandos de Usuário

• useradd: Criar novo usuário
• usermod: Modificar usuário existente
• userdel: Remover usuário
• passwd: Alterar senha
• passwd -l: Travar conta (lock)
• passwd -u: Destravar conta (unlock)

Comandos de Grupo

• groupadd: Criar novo grupo
• groupmod: Modificar grupo
• groupdel: Remover grupo
• usermod -aG: Adicionar usuário a um grupo suplementar

SELinux

• Implementação de MAC (Mandatory Access Control) no Linux
• Modos: Enforcing (aplica), Permissive (apenas registra), Disabled (desativado)

4.8 Acesso Remoto

Protocolos

• RDP (Remote Desktop Protocol): Acesso remoto ao Windows, porta 3389
• SSH (Secure Shell): Acesso remoto criptografado, porta 22, padrão Linux/Unix
• Telnet: Acesso remoto inseguro (texto claro), porta 23 - NÃO USAR
• VNC: Multi-plataforma, várias portas

RADIUS

• Protocolo AAA (Autenticação, Autorização e Auditoria) centralizado
• UDP portas 1812 (autenticação) e 1813 (auditoria)
• Criptografa apenas a senha
• Usado em: Wi-Fi corporativo (802.1X), VPN, acesso discado

TACACS+

• Protocolo AAA proprietário da Cisco
• TCP porta 49
• Criptografa toda a comunicação
• Separa os três componentes AAA (mais granular que RADIUS)
• Usado em: Roteadores e switches Cisco

4.9 Autenticação de Rede

Kerberos

• Protocolo de autenticação usado pelo Active Directory
• Utiliza tickets em vez de transmitir senhas
• KDC (Key Distribution Center): Emite os tickets
• TGT (Ticket Granting Ticket): Ticket inicial obtido após autenticação
• Service Ticket: Ticket para acessar um serviço específico
• Porta 88 (TCP/UDP)
• Requer sincronização de tempo (tolerância de 5 minutos)

LDAP

• Protocolo para acessar e manter diretórios (Active Directory, OpenLDAP)
• Porta 389 (não seguro)
• LDAPS: LDAP sobre SSL/TLS, porta 636
• Estrutura hierárquica: DC (Domain Component), OU (Organizational Unit), CN (Common Name)

SAML

• Padrão baseado em XML para SSO (Single Sign-On)
• Permite federação de identidades
• IdP (Identity Provider): Provedor de identidade que autentica o usuário
• SP (Service Provider): Provedor de serviço que confia no IdP

OAuth 2.0

• Framework de AUTORIZAÇÃO (NÃO é autenticação!)
• Permite delegação de acesso sem compartilhar senha
• "Login com Google/Facebook" usa OAuth

OpenID Connect (OIDC)

• Camada de autenticação construída sobre o OAuth 2.0
• Adiciona um ID token no formato JWT (JSON Web Token)
• SSO moderno para aplicações web e mobile