Desative o administrador local no seu domínio!

Neste artigo explico o perigo que há quando deixamos  o administrador local ativo nas estações do domínio.


90% das empresas que usam redes baseadas em domínio acabam deixando o administrador local das estações ativo. Muitos são os argumentos:
– Ter um usuário local administrador para tratar a questão de relação de confiança caso a máquina saia domínio;
– Ter um usuário local administrador para não ficar logando com usuários que estão em grupos com altos privilégios;
– Entre outros…

Mas se eu te disser que há como tratar todas essas questões e ainda manter nosso domínio mais seguro? Como fazer isso? Explico já. Vamos debater primeiro dessa falha de segurança.

Imagina você ter na sua empresa cerca de 50 estações e todas essas estações terem o administrador local ativo? Agora imagina ter 50 estações e todas essas estações terem a mesma senha para o administrador local? Parece com o seu cenário?! Não se preocupe. É o da maioria. rs

O administrador local(como os outros administradores locais) é/são o(s) usuário(s) que tem o(s) poder(es) mai(s) elevado(s) dentro daquela estação. Um invasor sabendo a senha desse usuário poderá instalar programas que desconfigure toda a estação, desinstalar programas da estação, além de usar de má fé a informação para instalar softwares que capturarem credencias de outros usuários importantes, por exemplo, usuários que estão em grupos de privilégios altos(adm. do domínio, esquema e empresa). Foi uma boa justificativa para desativar ele? Não? Então irei falar mais:

Agora vamos piorar a situação… Agore imagine se este invasor usar um programa para distribuir essa senha para todas as outas estações e consegui êxito? Veja que anteriormente ele tinha acesso apenas em uma estação, agora, ele tem acesso a todas as outras estações pois TODAS compartilham da mesma senha para o administrador local. Se antes o invasor tinha oportunidade de desconfigurar somente uma estação agora ele terá a chance desconfigurar todas as estações. Agora imagina se ele instala um programa que captura as credencias de algum usuário que seja administrador do domínio? Se antes o invasor tinha acesso somente(rs) a todas as estações do domínio e poderia desconfigurar todas, agora, o mesmo tem as credencias de adm do domínio e poderá fazer alterações catastrófica no Active Directory. Mas Diego então qual seria a soluções que você me dava?

A primeira, desative o administrador local. Como pode ser feito isso já que tenho várias estações na empresa? Via GPO. Existe uma em que podemos desativar o administrador local das estações. 

A segunda, renomeie o administrador local. Renomeando o administrador local da estação podemos dificultar que uma pessoa consiga acessá-lo, uma vez que, por padrão ela tentará acessar/redefinir a senha do administrador buscando pelo usuário “administrador. Mas como o nome do mesmo está renomeado para outro nome irá dificultar. Como fazer isso? Via GPO. Existe uma diretiva em que podemos renomear o administrador local da estação.

Mas beleza Diego, como irei tratar a questão agora da relação de confiança caso essa estação saía do domínio? Como irei inserir novamente no domínio se não consigo logar um usuário do domínio e o administrador local está desativado pela GPO? Aqui que há o macete:

Você irá criar uma GPO em que desativará o adm local das estações, mas também, criará uma OU livre dessa configuração. Então uma vez a máquina seja necessário inserir no domínio irá mover essa máquina da OU que tem a diretiva(GPO) para a OU em que não contém a diretiva. Quando a estação for reiniciada a mesma irá “subir” sem a diretiva de desativação do administrador local aí é só logar com usuário administrador, inserir no domínio novamente e depois retirar essa estação da OU livre para OU que contém a diretiva de desativação. Outra maneira que podemos reativar o administrador local é pelo DVD ou modo de segurança. Usando o DVD do Windows e dando boot por ele poderíamos entrar no CMD e reativar o administrador local da estação via linha de comando.

A outra questão era ter o usuário administrador local na estação para não ter que ficar logando com usuário com alto privilégio(adm domínio, esquema, empresa, etc). Poderíamos fazer outra GPO em que colocaríamos os usuários da TI como administradores locais das estações, assim, poderíamos logar com estes caso precisasse fazer alguma configuração.

Diego, você já testou tudo isso? Já sim meus amigos. E essa é uma dica de ouro e que pouca gente sabe.

Gostou do artigo? Então, segue o link da venda dos meus livros: Tudo Sobre GPOs no Windows Server 2008, 2012 e 2016 e Administrando O Active Directory Com O PowerShell. Neles tem inúmeras dicas úteis e práticas, demonstradas passo a passo e sem complicações, de como usar o Windows PowerShell para administrar o Active Directory e como trabalhar com políticas de grupo na administração de um domínio. 

Link da venda do livro: Administrando o Active Directory com o PowerShell:

https://juliobattisti.com.br/loja/detalheproduto.asp?CodigoLivro=LIV0001545.

– Link da venda do livro: Tudo sobre GPOs no Windows Server 2008, 2012 e 2016.

https://juliobattisti.com.br/loja/detalheproduto.asp?CodigoLivro=LIV0001525

Anúncios
The following two tabs change content below.
Diego é graduado em Sistemas, MTAC (Multi-Plataform Tecnical Audience Contributor) e possui diversos cursos de qualificações nas áreas de Tecnologia da Informação. É autor também dos livros: Tudo Sobre GPOs no Windows Server e Administrando o Active Directory com o PowerShell.

3 comentários sobre “Desative o administrador local no seu domínio!

  1. Diego, post muito bom!

    Mas tenho uma dúvida, inclusive aconteceu comigo! Sou do grupo de Admins. do domínio e meu usuário esta inserido no grupo de administradores locais das estações. Acontece que uma estação de trabalho ocorreu o problema de relação de confiança com domínio. Na hora de logar localmente, a conta administrador estava desativada, e ao tentar logar com meu usuário, não foi possivel porque não encontrou um servidor de logon disponível, justamente porque havia o erro de relação de confiança. Mas por que isso ocorreu? Porque eu nunca tinha ‘logado’ nesta estação antes do problema, então não havia o ‘cache de logon’ que é criado localmente quando se loga utilizando uma conta de domínio. Então neste caso o procedimento não iria funcionar.
    Outra dúvida, se a máquina não consegue ‘carregar’ ou ‘localizar’ o domínio devido a falha de relação de confiança, como ela chegará ao próprio domínio e carregar a GPO alterada (habilitando a conta de Admin local)?

    Anderson Hoffmann do Carmo
    MCP | MTA | MCDST | MCTS | MCSA | MS | MOS |
    ITIL-F | ISFS | CLOUDF | CI-SCS | VCA-DCV |

Deixe uma resposta