Condividi tramite


Account locali

Questo articolo descrive gli account utente locali predefiniti per i sistemi operativi Windows e come gestire gli account predefiniti.

Informazioni sugli account utente locali

Gli account utente locali sono definiti localmente in un dispositivo e possono essere assegnati diritti e autorizzazioni solo nel dispositivo. Gli account utente locali sono entità di sicurezza usate per proteggere e gestire l'accesso alle risorse in un dispositivo, per servizi o utenti.

Account utente locali predefiniti

Gli account utente locali predefiniti sono account predefiniti creati automaticamente quando viene installato il sistema operativo. Gli account utente locali predefiniti non possono essere rimossi o eliminati e non forniscono l'accesso alle risorse di rete.

Gli account utente locali predefiniti vengono usati per gestire l'accesso alle risorse del dispositivo locale in base ai diritti e alle autorizzazioni assegnati all'account. Gli account utente locali predefiniti e gli account utente locali creati si trovano nella cartella Utenti . La cartella Utenti si trova nella cartella Utenti e gruppi locali in Microsoft Management Console (MMC) di Gestione computer locale. Gestione computer è una raccolta di strumenti di amministrazione che è possibile usare per gestire un dispositivo locale o remoto.

Gli account utente locali predefiniti sono descritti nelle sezioni seguenti. Espandere ogni sezione per altre informazioni.

Amministratore

L'account amministratore locale predefinito è un account utente per l'amministrazione del sistema. Ogni computer ha un account amministratore (SID S-1-5-domain-500, nome visualizzato Amministratore). L'account amministratore è il primo account creato durante l'installazione di Windows.

L'account amministratore ha il controllo completo di file, directory, servizi e altre risorse nel dispositivo locale. L'account amministratore può creare altri utenti locali, assegnare diritti utente e assegnare autorizzazioni. L'account Amministratore può assumere il controllo delle risorse locali in qualsiasi momento modificando i diritti utente e le autorizzazioni.

L'account amministratore predefinito non può essere eliminato o bloccato, ma può essere rinominato o disabilitato.

Il programma di installazione di Windows disabilita l'account amministratore predefinito e crea un altro account locale membro del gruppo Administrators.

I membri dei gruppi Administrators possono eseguire app con autorizzazioni elevate senza usare l'opzione Esegui come amministratore . Il cambio rapido dell'utente è più sicuro rispetto all'uso runas o all'elevazione di utenti diversi.

Appartenenza al gruppo di account

Per impostazione predefinita, l'account amministratore è membro del gruppo Administrators. È consigliabile limitare il numero di utenti nel gruppo Administrators perché i membri del gruppo Administrators dispongono delle autorizzazioni controllo completo nel dispositivo.

L'account amministratore non può essere rimosso dal gruppo Administrators.

Considerazioni sulla sicurezza

Poiché l'account amministratore è noto per esistere in molte versioni del sistema operativo Windows, è consigliabile disabilitare l'account amministratore quando possibile per rendere più difficile per gli utenti malintenzionati ottenere l'accesso al server o al computer client.

È possibile rinominare l'account amministratore. Tuttavia, un account amministratore rinominato continua a usare lo stesso identificatore di sicurezza assegnato automaticamente(SID), che può essere individuato da utenti malintenzionati. Per altre informazioni su come rinominare o disabilitare un account utente, vedere Disabilitare o attivare un account utente locale e Rinominare un account utente locale.

Come procedura consigliata per la sicurezza, usare l'account locale (non amministratore) per accedere e quindi usare Esegui come amministratore per eseguire attività che richiedono un livello di diritti superiore rispetto a un account utente standard. Non usare l'account Amministratore per accedere al computer, a meno che non sia del tutto necessario. Per altre informazioni, vedere Eseguire un programma con credenziali amministrative.

Criteri di gruppo può essere usato per controllare automaticamente l'uso del gruppo Administrators locale. Per altre informazioni su Criteri di gruppo, vedere Panoramica Criteri di gruppo.

Importante

  • Le password vuote non sono consentite
  • Anche quando l'account Amministratore è disabilitato, può comunque essere usato per ottenere l'accesso a un computer usando la modalità provvisoria. Nella Console di ripristino o in modalità provvisoria l'account amministratore viene abilitato automaticamente. Quando le normali operazioni vengono riprese, viene disabilitata.

Guest

L'account Guest consente agli utenti occasionali o occasionali, che non dispongono di un account nel computer, di accedere temporaneamente al server locale o al computer client con diritti utente limitati. Per impostazione predefinita, l'account Guest è disabilitato e ha una password vuota. Poiché l'account guest può fornire l'accesso anonimo, viene considerato un rischio per la sicurezza. Per questo motivo, è consigliabile lasciare disabilitato l'account Guest, a meno che non sia necessario usarlo.

Appartenenza al gruppo di account guest

Per impostazione predefinita, l'account guest è l'unico membro del gruppo SID S-1-5-32-546Guest predefinito , che consente a un utente di accedere a un dispositivo.

Considerazioni sulla sicurezza dell'account guest

Quando si abilita l'account Guest, concedere solo diritti e autorizzazioni limitati. Per motivi di sicurezza, l'account guest non deve essere usato in rete e reso accessibile ad altri computer.

Inoltre, l'utente guest nell'account guest non dovrebbe essere in grado di visualizzare i log eventi. Dopo aver abilitato l'account guest, è consigliabile monitorare l'account guest di frequente per assicurarsi che altri utenti non possano usare servizi e altre risorse. Sono incluse le risorse che sono state involontariamente lasciate disponibili da un utente precedente.

Helpassistant

L'account HelpAssistant è un account locale predefinito abilitato quando viene eseguita una sessione di Assistenza remota. Questo account viene disabilitato automaticamente quando non sono in sospeso richieste di Assistenza remota.

HelpAssistant è l'account principale usato per stabilire una sessione di Assistenza remota. La sessione di Assistenza remota viene usata per connettersi a un altro computer che esegue il sistema operativo Windows e viene avviata tramite invito. Per assistenza remota richiesta, un utente invia un invito dal proprio computer, tramite posta elettronica o come file, a una persona che può fornire assistenza. Dopo l'accettazione dell'invito dell'utente per una sessione di Assistenza remota, viene creato automaticamente l'account HelpAssistant predefinito per concedere all'utente che fornisce assistenza l'accesso limitato al computer. L'account HelpAssistant viene gestito dal servizio Gestione sessione Guida di Desktop remoto.

Considerazioni sulla sicurezza degli account HelpAssistant

I SID relativi all'account HelpAssistant predefinito includono:

  • SID: S-1-5-<domain>-13, nome visualizzato Utente terminal server. Questo gruppo include tutti gli utenti che accedono a un server con Servizi Desktop remoto abilitato.
  • SID: S-1-5-<domain>-14, nome visualizzato Accesso interattivo remoto. Questo gruppo include tutti gli utenti che si connettono al computer tramite una connessione desktop remoto. Questo gruppo è un subset del gruppo Interattivo. I token di accesso che contengono il SID accesso interattivo remoto contengono anche il SID interattivo.

Per il sistema operativo Windows Server, Assistenza remota è un componente facoltativo che non è installato per impostazione predefinita. È necessario installare Assistenza remota prima che possa essere usata.

Per informazioni dettagliate sugli attributi dell'account HelpAssistant, vedere la tabella seguente.

Attributi dell'account HelpAssistant

Attributo Valore
Well-Known SID/RID S-1-5-<domain>-13 (Terminal Server User), S-1-5-<domain>-14 (Remote Interactive Logon)
Tipo Utente
Contenitore predefinito CN=Users, DC=<domain>
Membri predefiniti Nessuno
Membro predefinito di Guest di dominio

Guest
Protetto da ADMINSDHOLDER? No
È possibile uscire dal contenitore predefinito in modo sicuro? Può essere spostato, ma non è consigliabile.
Delegare in modo sicuro la gestione di questo gruppo agli amministratori non del servizio? No

DefaultAccount

L'account DefaultAccount, noto anche come DSMA (Default System Managed Account), è un tipo di account utente noto. DefaultAccount può essere usato per eseguire processi che sono compatibili con più utenti o indipendenti dall'utente.

Il DSMA è disabilitato per impostazione predefinita nelle edizioni desktop e nei sistemi operativi server con l'esperienza desktop.

DSMA dispone di un rid noto di 503. L'identificatore di sicurezza (SID) del DSMA avrà quindi un SID noto nel formato seguente: S-1-5-21-\<ComputerIdentifier>-503.

DSMA è un membro del gruppo noto System Managed Accounts Group, che ha un SID noto di S-1-5-32-581.

All'alias DSMA può essere concesso l'accesso alle risorse durante la gestione temporanea offline anche prima della creazione dell'account stesso. L'account e il gruppo vengono creati durante il primo avvio del computer all'interno di Security Accounts Manager (SAM).

Modalità di utilizzo di DefaultAccount da parte di Windows

Dal punto di vista delle autorizzazioni, DefaultAccount è un account utente standard. DefaultAccount è necessario per eseguire app con più manifesti utente (app MUMA). Le app MUMA vengono eseguite continuamente e reagiscono agli utenti che accorrono e disconnettono i dispositivi. A differenza di Windows Desktop in cui le app vengono eseguite nel contesto dell'utente e vengono terminate quando l'utente si disconnette, le app MUMA vengono eseguite tramite DSMA.

Le app MUMA funzionano negli SKU della sessione condivisa, ad esempio Xbox. Ad esempio, Xbox Shell è un'app MUMA. Oggi Xbox accede automaticamente come account guest e tutte le app vengono eseguite in questo contesto. Tutte le app sono compatibili con più utenti e rispondono agli eventi generati da user manager. Le app vengono eseguite come account guest.

Analogamente, Phone auto accede come account DefApps , che è simile all'account utente standard in Windows, ma con alcuni privilegi aggiuntivi. Broker, alcuni servizi e app vengono eseguiti come questo account.

Nel modello utente convergente, le app con supporto utente multiutente e i broker con supporto per più utenti dovranno essere eseguiti in un contesto diverso da quello degli utenti. A questo scopo, il sistema crea DSMA.

Come viene creato DefaultAccount nei controller di dominio

Se il dominio è stato creato con controller di dominio che eseguono Windows Server 2016, DefaultAccount esiste in tutti i controller di dominio del dominio. Se il dominio è stato creato con controller di dominio che eseguono una versione precedente di Windows Server, defaultaccount viene creato dopo il trasferimento del ruolo emulatore PDC a un controller di dominio che esegue Windows Server 2016. DefaultAccount viene quindi replicato in tutti gli altri controller di dominio nel dominio.

Consigli per la gestione dell'account predefinito (DSMA)

Microsoft non consiglia di modificare la configurazione predefinita, in cui l'account è disabilitato. Non c'è alcun rischio per la sicurezza con l'account nello stato disabilitato. La modifica della configurazione predefinita potrebbe ostacolare scenari futuri basati su questo account.

Account di sistema locali predefiniti

SISTEMA

L'account SYSTEM viene usato dal sistema operativo e dai servizi in esecuzione in Windows. Nel sistema operativo Windows sono presenti molti servizi e processi che richiedono la funzionalità di accesso interno, ad esempio durante un'installazione di Windows. L'account SYSTEM è stato progettato a tale scopo e Windows gestisce i diritti utente dell'account SYSTEM. Si tratta di un account interno che non viene visualizzato in User Manager e non può essere aggiunto ad alcun gruppo.

D'altra parte, l'account SYSTEM viene visualizzato in un volume del file system NTFS in Gestione file nella parte Autorizzazioni del menu Sicurezza . Per impostazione predefinita, all'account SYSTEM vengono concesse le autorizzazioni controllo completo a tutti i file in un volume NTFS. In questo caso, l'account SYSTEM dispone degli stessi diritti funzionali e delle stesse autorizzazioni dell'account amministratore.

Nota

Per concedere all'account le autorizzazioni del file di gruppo Administrators non concede in modo implicito l'autorizzazione all'account SYSTEM. Le autorizzazioni dell'account SYSTEM possono essere rimosse da un file, ma non è consigliabile rimuoverle.

SERVIZIO DI RETE

L'account SERVIZIO DI RETE è un account locale predefinito usato da Gestione controllo servizi (SCM). Un servizio eseguito nel contesto dell'account DEL SERVIZIO DI RETE presenta le credenziali del computer ai server remoti. Per altre informazioni, vedere Account NetworkService.

SERVIZIO LOCALE

L'account DEL SERVIZIO LOCALE è un account locale predefinito usato da Gestione controllo servizi. Dispone di privilegi minimi nel computer locale e presenta credenziali anonime nella rete. Per altre informazioni, vedere Account LocalService.

Come gestire gli account utente locali

Gli account utente locali predefiniti e gli account utente locali creati si trovano nella cartella Utenti. La cartella Utenti si trova in Utenti e gruppi locali. Per altre informazioni sulla creazione e la gestione degli account utente locali, vedere Gestire gli utenti locali.

È possibile usare utenti e gruppi locali per assegnare diritti e autorizzazioni solo sul server locale per limitare la capacità di utenti e gruppi locali di eseguire determinate azioni. Un diritto autorizza un utente a eseguire determinate azioni in un server, ad esempio il backup di file e cartelle o l'arresto di un server. Un'autorizzazione di accesso è una regola associata a un oggetto, in genere un file, una cartella o una stampante. Regola gli utenti che possono accedere a un oggetto nel server e in che modo.

Non è possibile usare utenti e gruppi locali in un controller di dominio. Tuttavia, è possibile usare utenti e gruppi locali in un controller di dominio per i computer remoti che non sono controller di dominio nella rete.

Nota

È possibile usare Utenti e computer di Active Directory per gestire utenti e gruppi in Active Directory.

È anche possibile gestire gli utenti locali usando NET.EXE USER e gestire i gruppi locali usando NET.EXE LOCALGROUP o usando vari cmdlet di PowerShell e altre tecnologie di scripting.

Limitare e proteggere gli account locali con diritti amministrativi

Un amministratore può usare molti approcci per impedire agli utenti malintenzionati di usare credenziali rubate, ad esempio una password rubata o un hash della password, per consentire a un account locale in un computer di eseguire l'autenticazione in un altro computer con diritti amministrativi. Questo è anche chiamato movimento laterale.

L'approccio più semplice consiste nell'accedere al computer con un account utente standard, anziché usare l'account amministratore per le attività. Ad esempio, usare un account standard per esplorare Internet, inviare messaggi di posta elettronica o usare un word processor. Quando si desidera eseguire attività amministrative, ad esempio l'installazione di un nuovo programma o la modifica di un'impostazione che interessa altri utenti, non è necessario passare a un account amministratore. È possibile usare controllo dell'account utente per richiedere l'autorizzazione o una password di amministratore prima di eseguire l'attività, come descritto nella sezione successiva.

Gli altri approcci che possono essere usati per limitare e proteggere gli account utente con diritti amministrativi includono:

  • Applicare restrizioni dell'account locale per l'accesso remoto
  • Negare l'accesso alla rete a tutti gli account amministratore locali
  • Creare password univoche per gli account locali con diritti amministrativi

Ognuno di questi approcci è descritto nelle sezioni seguenti.

Nota

Questi approcci non si applicano se tutti gli account locali amministrativi sono disabilitati.

Applicare restrizioni dell'account locale per l'accesso remoto

Controllo dell'account utente è una funzionalità di sicurezza che informa quando un programma apporta una modifica che richiede autorizzazioni amministrative. Il controllo dell'account utente funziona modificando il livello di autorizzazione dell'account utente. Per impostazione predefinita, Controllo dell'account utente è impostato per notificare quando le applicazioni tentano di apportare modifiche al computer, ma è possibile modificare quando controllo dell'account utente invia una notifica.

Controllo dell'account utente consente di trattare un account con diritti amministrativi come account utente standard non amministratore fino a quando non vengono richiesti e approvati i diritti completi, detti anche elevazione. Ad esempio, Controllo dell'account utente consente a un amministratore di immettere le credenziali durante la sessione utente di un non amministratore per eseguire attività amministrative occasionali senza dover cambiare utente, disconnettersi o usare il comando Esegui come .

Il controllo dell'account utente può inoltre richiedere agli amministratori di approvare in modo specifico le applicazioni che apportano modifiche a livello di sistema prima che a tali applicazioni venga concessa l'autorizzazione per l'esecuzione, anche nella sessione utente dell'amministratore.

Ad esempio, una funzionalità predefinita di Controllo dell'account utente viene visualizzata quando un account locale accede da un computer remoto usando l'accesso di rete (ad esempio, usando NET.EXE USE). In questa istanza viene emesso un token utente standard senza diritti amministrativi, ma senza la possibilità di richiedere o ricevere l'elevazione. Di conseguenza, gli account locali che accedono tramite l'accesso alla rete non possono accedere a condivisioni amministrative come C$o ADMIN$, né eseguire alcuna amministrazione remota.

Per altre informazioni su Controllo dell'account utente, vedere Controllo dell'account utente.

La tabella seguente illustra le impostazioni Criteri di gruppo e del Registro di sistema usate per applicare le restrizioni dell'account locale per l'accesso remoto.

No. Impostazione Descrizione dettagliata
Percorso dei criteri Configurazione computer\Impostazioni Windows\Impostazioni sicurezza\Criteri locali\Opzioni di sicurezza
1 Nome criterio Controllo dell'account utente: modalità Approvazione amministratore per l'account amministratore predefinito
Impostazione dei criteri Enabled
2 Percorso dei criteri Configurazione computer\Impostazioni Windows\Impostazioni sicurezza\Criteri locali\Opzioni di sicurezza
Nome criterio Controllo dell'account utente: esegui tutti gli amministratori in modalità Approvazione amministratore
Impostazione dei criteri Enabled
3 Chiave del Registro di sistema HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Nome del valore del Registro di sistema Localaccounttokenfilterpolicy
Tipo di valore del Registro di sistema DWORD
Dati dei valori del Registro di sistema 0

Nota

È anche possibile applicare il valore predefinito per LocalAccountTokenFilterPolicy usando ADMX personalizzato nei modelli di sicurezza.

Per applicare restrizioni dell'account locale per l'accesso remoto

  1. Avviare Criteri di gruppo Management Console (GPMC)

  2. Nell'albero della console espandere <Foresta>\Domini\<Dominio> e quindi Criteri di gruppo Oggetti dove foresta è il nome della foresta e dominio è il nome del dominio in cui si vuole impostare l'oggetto Criteri di gruppo (oggetto Criteri di gruppo)

  3. Nell'albero della console fare clic con il pulsante destro del mouse su Criteri di gruppo Oggetti > nuovi

  4. Nella finestra di dialogo Nuovo oggetto Criteri di gruppo digitare <gpo_name> e >OK dove gpo_name è il nome del nuovo oggetto Criteri di gruppo. Il nome dell'oggetto Criteri di gruppo indica che l'oggetto Criteri di gruppo viene usato per limitare il passaggio dei diritti di amministratore locale a un altro computer

  5. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse su <gpo_name> e >su Modifica

  6. Assicurarsi che Controllo dell'account utente sia abilitato e che le restrizioni di Controllo dell'account utente si applichino all'account amministratore predefinito seguendo questa procedura:

    • Passare a Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\ e >Opzioni di sicurezza
    • Fare doppio clic su Controllo account utente: eseguire tutti gli amministratori in modalità> di approvazione Amministrazioneabilitata>OK
    • Fare doppio clic su Controllo account utente: Amministrazione modalità di approvazione per l'account> amministratore predefinitoAbilitato>OK
  7. Assicurarsi che le restrizioni dell'account locale vengano applicate alle interfacce di rete seguendo questa procedura:

    • Passare a Configurazione computer\Preferenze e Impostazioni di Windows e >Registro di sistema
    • Fare clic con il pulsante destro del mouse su Registro di sistema e >nuovo>elemento del Registro di sistema
    • Nella scheda Generale della finestra di dialogo Nuove proprietà del Registro di sistema modificare l'impostazione nella casella Azione in Sostituisci
    • Assicurarsi che la casella Hive sia impostata su HKEY_LOCAL_MACHINE
    • Selezionare (...), passare al percorso seguente per Percorso> chiaveSelezionare per:SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
    • Nell'area Nome valore digitare LocalAccountTokenFilterPolicy
    • Nella casella Tipo di valore selezionare REG_DWORD nell'elenco a discesa per modificare il valore
    • Nella casella Dati valore verificare che il valore sia impostato su 0
    • Verificare questa configurazione e >OK
  8. Collegare l'oggetto Criteri di gruppo alla prima unità organizzativa (OU) workstation eseguendo le operazioni seguenti:

    • Passare al *Forest*\<Domains>\*Domain*\*OU* percorso
    • Fare clic con il pulsante destro del mouse sulle workstation Collega > un oggetto Criteri di gruppo esistente
    • Selezionare l'oggetto Criteri di gruppo creato e >OK
  9. Testare le funzionalità delle applicazioni aziendali nelle workstation nella prima unità organizzativa e risolvere eventuali problemi causati dai nuovi criteri

  10. Creare collegamenti a tutte le altre unità organizzative che contengono workstation

  11. Creare collegamenti a tutte le altre unità organizzative che contengono server

Negare l'accesso alla rete a tutti gli account amministratore locali

Negare agli account locali la possibilità di eseguire gli accessi di rete può aiutare a impedire che un hash della password dell'account locale venga riutilizzato in un attacco dannoso. Questa procedura consente di impedire lo spostamento laterale assicurando che le credenziali rubate per gli account locali da un sistema operativo compromesso non possano essere usate per compromettere altri computer che usano le stesse credenziali.

Nota

Per eseguire questa procedura, è innanzitutto necessario identificare il nome dell'account amministratore predefinito locale, che potrebbe non essere il nome utente predefinito "Administrator" e qualsiasi altro account membro del gruppo Administrators locale.

La tabella seguente mostra le impostazioni Criteri di gruppo usate per negare l'accesso alla rete per tutti gli account amministratore locali.

No. Impostazione Descrizione dettagliata
Percorso dei criteri Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente
1 Nome criterio Nega accesso al computer dalla rete
Impostazione dei criteri Account locale e membro del gruppo Administrators
2 Percorso dei criteri Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Assegnazione diritti utente
Nome criterio Nega accesso tramite Servizi Desktop remoto
Impostazione dei criteri Account locale e membro del gruppo Administrators

Per negare l'accesso alla rete a tutti gli account amministratore locale

  1. Avviare Criteri di gruppo Management Console (GPMC)

  2. Nell'albero della console espandere <Foresta>\Domini\<Dominio>, quindi Criteri di gruppo Oggetti, dove foresta è il nome della foresta e dominio è il nome del dominio in cui si vuole impostare l'oggetto Criteri di gruppo (oggetto Criteri di gruppo)

  3. Nell'albero della console fare clic con il pulsante destro del mouse su oggetti Criteri di gruppo e >su Nuovo

  4. Nella finestra di dialogo Nuovo oggetto Criteri di gruppo digitare <gpo_name> e quindi >OK dove gpo_name è il nome del nuovo oggetto Criteri di gruppo indica che viene usato per limitare l'accesso interattivo degli account amministrativi locali al computer

  5. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse su <gpo_name> e >su Modifica

  6. Configurare i diritti utente per negare gli accessi di rete per gli account locali amministrativi come indicato di seguito:

  7. Passare a Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\ e >Assegnazione diritti utente

  8. Fare doppio clic su Nega accesso al computer dalla rete

  9. Selezionare Aggiungi utente o gruppo, digitare Account locale e membro del gruppo Administrators e >OK

  10. Configurare i diritti utente per negare gli accessi di Desktop remoto (Interattivo remoto) per gli account locali amministrativi come indicato di seguito:

  11. Passare a Configurazione computer\Criteri\Impostazioni di Windows e Criteri locali e quindi selezionare Assegnazione diritti utente

  12. Fare doppio clic su Nega accesso tramite Servizi Desktop remoto

  13. Selezionare Aggiungi utente o gruppo, digitare Account locale e membro del gruppo Administrators e >OK

  14. Collegare l'oggetto Criteri di gruppo alla prima unità organizzativa workstation come indicato di seguito:

    • Passare al < percorso Forest>\Domains\<Domain>\OU
    • Fare clic con il pulsante destro del mouse sull'unità organizzativa Workstations e >collegare un oggetto Criteri di gruppo esistente
    • Selezionare l'oggetto Criteri di gruppo creato e >OK
  15. Testare le funzionalità delle applicazioni aziendali nelle workstation nella prima unità organizzativa e risolvere eventuali problemi causati dai nuovi criteri

  16. Creare collegamenti a tutte le altre unità organizzative che contengono workstation

  17. Creare collegamenti a tutte le altre unità organizzative che contengono server

Nota

Potrebbe essere necessario creare un oggetto Criteri di gruppo separato se il nome utente dell'account amministratore predefinito è diverso nelle workstation e nei server.

Creare password univoche per gli account locali con diritti amministrativi

Le password devono essere univoche per ogni singolo account. Anche se è vero per i singoli account utente, molte aziende hanno password identiche per gli account locali comuni, ad esempio l'account amministratore predefinito. Ciò si verifica anche quando le stesse password vengono usate per gli account locali durante le distribuzioni del sistema operativo.

Le password lasciate invariate o modificate in modo sincrono per mantenerle identiche aggiungono un rischio significativo per le organizzazioni. La casualizzazione delle password riduce gli attacchi "pass-the-hash" usando password diverse per gli account locali, impedendo agli utenti malintenzionati di usare gli hash delle password di tali account per compromettere altri computer.

Le password possono essere randomizzate da:

  • Acquisto e implementazione di uno strumento aziendale per eseguire questa attività. Questi strumenti sono comunemente definiti strumenti di "gestione delle password con privilegi"
  • Configurazione della soluzione LAPS (Local Administrator Password Solution) per eseguire questa attività
  • Creazione e implementazione di uno script personalizzato o di una soluzione per l'uso casuale delle password dell'account locale