Compartilhar via

[Segurança Microsoft] Desative o administrador local no seu domínio.

  • Artigo

Neste artigo explico o perigo que há quando deixamos  o administrador local ativo nas estações do domínio.

90% das empresas que usam redes baseadas em domínio acabam deixando o administrador local das estações ativo. Muitos são os argumentos:
– Ter um usuário local administrador para tratar a questão de relação de confiança caso a máquina saia domínio;
– Ter um usuário local administrador para não ficar logando com usuários que estão em grupos com altos privilégios;
– Entre outros…

Mas se eu te disser que há como tratar todas essas questões e ainda manter nosso domínio mais seguro? Como fazer isso? Explico já. Vamos debater primeiro dessa falha de segurança.

Imagina você ter na sua empresa cerca de 50 estações e todas essas estaçõesterem o administrador local ativo? Agora imagina ter 50 estações e todas essas estações terem a mesma senha para o administrador local? Parece com o seu cenário?! Não se preocupe. É o da maioria. rs

O administrador local(como os outros administradores locais) é/são o(s) usuário(s) que tem o(s) poder(es) mai(s) elevado(s) dentro daquela estação. Um invasor sabendo a senha desse usuário poderá instalar programas que desconfigure toda a estaçãodesinstalar programas da estação, além de usar de má fé a informação para instalar softwares que capturarem credencias de outros usuários importantes, por exemplo, usuários que estão em grupos de privilégios altos(adm. do domínio, esquema e empresa). Foi uma boa justificativa para desativar ele? Não? Então irei falar mais:

Agora vamos piorar a situação… Agore imagine se este invasor usar um programa para distribuir essa senha para todas as outas estações e consegui êxito? Veja que anteriormente ele tinha acesso apenas em uma estação, agora, ele tem acesso a todas as outras estações pois TODAS compartilham da mesma senha para o administrador local. Se antes o invasor tinha oportunidade de desconfigurar somente uma estação agora ele terá a chance desconfigurar todas as estações. Agora imagina se ele instala um programa que captura as credencias de algum usuário que seja administrador do domínio? Se antes o invasor tinha acesso somente(rs) a todas as estações do domínio e poderia desconfigurar todas, agora, o mesmo tem as credencias de adm do domínio e poderá fazer alterações catastrófica no Active Directory. Mas Diego então qual seria a soluções que você me dava?

A primeira, desative o administrador local. Como pode ser feito isso já que tenho várias estações na empresa? Via GPO. Existe uma em que podemos desativar o administrador local das estações. 

A segunda, **renomeie o administrador local. **Renomeando o administrador local da estação podemos dificultar que uma pessoa consiga acessá-lo, uma vez que, por padrão ela tentará acessar/redefinir a senha do administrador buscando pelo usuário “administrador. Mas como o nome do mesmo está renomeado para outro nome irá dificultar. Como fazer isso? Via GPO. Existe uma diretiva em que podemos renomear o administrador local da estação.

Mas beleza Diego, como irei tratar a questão agora da relação de confiança caso essa estação saía do domínio? Como irei inserir novamente no domínio se não consigo logar um usuário do domínio e o administrador local está desativado pela GPO? Aqui que há o macete:

Você irá criar uma GPO em que desativará o adm local das estações, mas também, criará uma OU livre dessa configuração. Então uma vez a máquina seja necessário inserir no domínio irá mover essa máquina da OU que tem a diretiva(GPO) para a OU em que não contém a diretiva. Quando a estação for reiniciada a mesma irá “subir” sem a diretiva de desativação do administrador local aí é só logar com usuário administrador, inserir no domínio novamente e depois retirar essa estação da OU livre para OU que contém a diretiva de desativação. Outra maneira que podemos reativar o administrador local é pelo DVD ou modo de segurança. Usando o DVD do Windows e dando boot por ele poderíamos entrar no CMD e reativar o administrador local da estação via linha de comando.

A outra questão era ter o usuário administrador local na estação para não ter que ficar logando com usuário com alto privilégio(adm domínio, esquema, empresa, etc). Poderíamos fazer outra GPO em que colocaríamos os usuários da TI como administradores locais das estações, assim, poderíamos logar com estes caso precisasse fazer alguma configuração.