Compartilhar via

Proibindo grupos de altos privilégios de acessarem as estações do domínio

  • Artigo

Salve comunidade Microsoft, no artigo passado, mencionei algumas dicas sobre as melhores práticas para proteger seu Active Directory. Uma delas, foi restringir o acesso de administradores do domínio, esquema e empresa de acessarem as estações e servidores membros do seu ambiente e ainda desativar o administrador local das estações. Isso porque, uma vez um vírus instalado na estação, ele tem como objetivo, roubar credenciais de usuários em que estão nos grupos de altos privilégios do AD para fazerem alterações no ambiente, deixando muita vezes inseguro ou até excluí-lo.

Nessa dica, mostraremos como proibir os usuários que estão nos mais altos grupos de privilégios de conseguirem logarem nas estações do seu domínio e/ou servidores membros.

Dica

1. Acesse o Gerenciamento de Política de Grupo.

http://www.andersonpatricio.org/wp-content/uploads/2016/05/1-Gerenciamento-de-Poltica-de-Grupo.png

2. Com a interface aberta, crie uma GPO em que esteja acima das OUs em que estão as estações e servidores membros do seu ambiente. No exemplo abaixo, estou criando uma GPO acima da OU-Várzea Alegre, OU esta em que contém os servidores membros e estações do meu AD. Selecione a OU e com o botão direito do mouse, clique em “Criar um GPO neste domínio e … “.

http://www.andersonpatricio.org/wp-content/uploads/2016/05/2.png

3. Dê o nome a GPO, no meu caso, coloquei o nome “ConfigEstaçõesLocais”.

**4. Após dado o nome, clicaremos com o botão direito do mouse na diretiva e selecionaremos Editar.

http://www.andersonpatricio.org/wp-content/uploads/2016/05/3.png

5. Navegue em: *Configurações do Computador / Políticas / Configurações do Windows / Configurações de Segurança / Políticas Locais / Atribuição de direitos de usuário.

*

http://www.andersonpatricio.org/wp-content/uploads/2016/05/4.png

**6. *Após chegar em atribuição de direitos de usuário, ***procure as diretivas:

http://www.andersonpatricio.org/wp-content/uploads/2016/05/5.png

**7. **Iremos agora negar que grupos administradores do domínio, esquema, empresa e local acessem estas estações, **seja acessando localmente, pela rede, como um serviço, lotes ou pelo serviços de trabalho de área remota. **Iremos clicar primeiro em http://www.andersonpatricio.org/wp-content/uploads/2016/05/5.1.png

8. Acesse as propriedades da diretiva e insira os grupos: Administradores, administradores do domínio, empresa e esquema. Clique em* “Adicionar usuário ou grupo”. *Inserido os grupos clicamos em **Aplicar **e depois Ok.

http://www.andersonpatricio.org/wp-content/uploads/2016/05/6.png

**Observação: **Ao inserir os grupos administradores de empresa, esquema e domínio, verifique se o nome do domínio vem antes do nome do grupo. Por exemplo, na figura acima, observamos que os mesmos possuem o *DIEGO\ *antes do nome do grupo. Escrevo isso porque podemos digitar os nomes dos grupos e ficar sem o nome do domínio antes e não dar certo ao testar.

9. Verificando se o computador receberá a diretiva

Com a diretiva criada, iremos abrir a interface gráfica do no ADDS. Observamos em que o computador **TI01 **esta inserido na OU-Teste. OU-Teste que tá dentro da OU-Várzea Alegre em que receberá a diretiva. Este passo é mais para verificar se anda tudo certo. Caso o computador não esteja em uma OU em que irá receber a diretiva, temos que move-lo até a OU que recebe a configuração.

http://www.andersonpatricio.org/wp-content/uploads/2016/05/8.png

**10. **Ainda com o ADDS aberto, iremos agora em dois usuários para verificarmos as permissões dos mesmos. O primeiro usuário é o Diego Lima. Observamos conforme a figura abaixo, em que o mesmo tem permissões de administradores do domínio.

http://www.andersonpatricio.org/wp-content/uploads/2016/05/9.png

Este é um usuário, em que não é para dar certo conseguir logar na estações e servidores membros.

Agora iremos no segundo usuário. O segunda usuário é a user Diana Lima. Conforme a figura abaixo,  a mesma tem permissões apenas de usuários do domínio.

http://www.andersonpatricio.org/wp-content/uploads/2016/05/10.png

Já este é um usuário, em que é para dar certo conseguir logar na estações.

**11. **Agora iremos testar o primeiro usuário, Diego Lima. Digitando o usuário e senha dele:.

http://www.andersonpatricio.org/wp-content/uploads/2016/05/11.png

http://www.andersonpatricio.org/wp-content/uploads/2016/05/12.png

Opa, observamos aqui que recebemos uma mensagem. A mensagem é avisando em que o método de logon(no caso local) não é permitida para o computador em questão. Diretiva funcionou.

Agora iremos acessar a mesma estação com a usuária Diana Lima, usuária mostrado passos acima em que não tá vinculada a nenhum grupo de alto privilégio que foi bloqueado.

http://www.andersonpatricio.org/wp-content/uploads/2016/05/13.png

http://www.andersonpatricio.org/wp-content/uploads/2016/05/14.png

Opa, observamos aqui em que não recebemos uma mensagem.

Observações Importantes, caso a diretiva não funcione:

- Após criar a GPO, verifique se a estação está inserida em uma OU em que recebe a diretiva. (Conforme passo 9)

  • Depois de criada a GPO, **reinicie a estação **ou insira o comando GPUPDATE /FORCE em que irá receber a diretiva. No nosso exemplo, a estação que recebe a diretiva é a TI01. Isto porque, diretivas aplicadas em configurações do computador, precisam estes computadores serem reiniciados ou receber o comando para receber a diretiva de imediato.

  • Verifique, caso passos acima não derem certo, olhar se não existe outra diretiva abaixo da diretiva de bloqueio que permite o acesso de administradores a estação. Podemos dar o comando* gpresult /r* , no CMD no modo de administrador e verificar se a estação recebe a diretiva em configurações do computador.