Windows Vista e o Fim da Conta de Administrador Local

Desde sempre (ou desde o NT) o Windows teve uma conta de usuário de administrador criada por default em cada nova instalação. Essa conta, chamada de administrator nos Windows em inglês ou administrador em português, tem poderes para fazer qualquer atividade do sistema, e a intenção é que você a use para configurar o sistema e criar as contas dos demais usuários.

Mas o que acontece depois disso? Na maioria das vezes essa conta de administrador continua lá, repousando esquecida. Depois que você cria as suas próprias contas de usuário locais, a conta de administrador nunca mais é usada. E mesmo em ambientes corporativos, onde as contas são criadas no domínio, a senha de administrador local só era eventualmente usada se o computador perdia a rede e nenhum usuário com credenciais em cache tinha privilégios administrativos.

Uma conta de usuário que tem todos os privilégios, uma senha normalmente fraca e imutável, e que nunca é usada é um convite para os atacantes. Não é sem motivo que boa parte dos worms tenta se espalhar fazendo ataques de força bruta contra essa conta. Essa conta também era um dos principais caminhos para o comprometimento de PCs corporativos, principalmente servidores que eram instalados com uma senha default que jamais era alterada.

No Windows XP a Microsoft já havia introduzido duas mudanças para melhorar a segurança dessa conta: você pode disabilitar a conta de administrador local através de uma política de grupo, e também contas com senha em branco não podem ser usados para validar conexões remotas. Este último ponto em especial faz com que, para usuários caseiros, deixar a senha em branco possa ser mais seguro do que colocar uma senha para o administrador.

Agora no Windows Vista o comportamento finalmente vai mudar e a conta de administrador local será desabilitada por default. Ao ser instalado, o sistema irá pedir para você criar suas contas locais e a conta de administrador ficará desabilitada no sistema. Mesmo em um upgrade de um Windows XP já existente, o Vista verifica se já não existe uma outra conta com privilégios administrativos, e a conta de administrador só não é desabilitada se nenhuma outra existir.

Quando eu converso sobre isso com alguns clientes, três perguntas inevitavelmente surgem:

• E se eu esquecer a minha senha? O Windows Vista tem a opção de mostrar uma "dica" da senha quando você erra o logon, ou você pode salvar um disco ou USB de reset de senha.
• E se o apagar sem querer as outras contas de administrador? Você pode usar a conta local de administrador para entrar em "Safe Mode", se ela for a última conta de administrador do sistema. É o único caso em que o "Safe Mode" aceita logar com essa conta.
• E se a máquina estiver no domínio e eu precisar do "Safe Mode"? Neste caso você terá que iniciar o sistema no modo "Safe Mode com Rede" e tentar logar com uma conta de domínio, ou usar alguma conta de administrador que tenha as credenciais em cache. A conta de administrador local não poderá ser usada em "Safe Mode", mesmo que não exista nenhuma outra conta local com privilégios administrativos.

No geral a minha opinião é que essa mudança é um excelente balanço entre segurança e usabilidade, e o fim de uma enorme avenida de ataques a sistemas caseiros e corporativos.

Comments

• Anonymous
  July 23, 2007
  ola bomdia eutenho um cpu e o sistema op e win vista quero coloca en umdominio mas não concigo pos a opção dominio não tem como poço resouver esta cituação