Desative o administrador local no seu domínio!

Neste artigo explico o perigo que há quando deixamos  o administrador local ativo nas estações do domínio.


90% das empresas que usam redes baseadas em domínio acabam deixando o administrador local das estações ativo. Muitos são os argumentos:
– Ter um usuário local administrador para tratar a questão de relação de confiança caso a máquina saia domínio;
– Ter um usuário local administrador para não ficar logando com usuários que estão em grupos com altos privilégios;
– Entre outros…

Mas se eu te disser que há como tratar todas essas questões e ainda manter nosso domínio mais seguro? Como fazer isso? Explico já. Vamos debater primeiro dessa falha de segurança.

Imagina você ter na sua empresa cerca de 50 estações e todas essas estações terem o administrador local ativo? Agora imagina ter 50 estações e todas essas estações terem a mesma senha para o administrador local? Parece com o seu cenário?! Não se preocupe. É o da maioria. rs

O administrador local(como os outros administradores locais) é/são o(s) usuário(s) que tem o(s) poder(es) mai(s) elevado(s) dentro daquela estação. Um invasor sabendo a senha desse usuário poderá instalar programas que desconfigure toda a estação, desinstalar programas da estação, além de usar de má fé a informação para instalar softwares que capturarem credencias de outros usuários importantes, por exemplo, usuários que estão em grupos de privilégios altos(adm. do domínio, esquema e empresa). Foi uma boa justificativa para desativar ele? Não? Então irei falar mais:

Agora vamos piorar a situação… Agore imagine se este invasor usar um programa para distribuir essa senha para todas as outas estações e consegui êxito? Veja que anteriormente ele tinha acesso apenas em uma estação, agora, ele tem acesso a todas as outras estações pois TODAS compartilham da mesma senha para o administrador local. Se antes o invasor tinha oportunidade de desconfigurar somente uma estação agora ele terá a chance desconfigurar todas as estações. Agora imagina se ele instala um programa que captura as credencias de algum usuário que seja administrador do domínio? Se antes o invasor tinha acesso somente(rs) a todas as estações do domínio e poderia desconfigurar todas, agora, o mesmo tem as credencias de adm do domínio e poderá fazer alterações catastrófica no Active Directory. Mas Diego então qual seria a soluções que você me dava?

A primeira, desative o administrador local. Como pode ser feito isso já que tenho várias estações na empresa? Via GPO. Existe uma em que podemos desativar o administrador local das estações. 

A segunda, renomeie o administrador local. Renomeando o administrador local da estação podemos dificultar que uma pessoa consiga acessá-lo, uma vez que, por padrão ela tentará acessar/redefinir a senha do administrador buscando pelo usuário “administrador. Mas como o nome do mesmo está renomeado para outro nome irá dificultar. Como fazer isso? Via GPO. Existe uma diretiva em que podemos renomear o administrador local da estação.

Mas beleza Diego, como irei tratar a questão agora da relação de confiança caso essa estação saía do domínio? Como irei inserir novamente no domínio se não consigo logar um usuário do domínio e o administrador local está desativado pela GPO? Aqui que há o macete:

Você irá criar uma GPO em que desativará o adm local das estações, mas também, criará uma OU livre dessa configuração. Então uma vez a máquina seja necessário inserir no domínio irá mover essa máquina da OU que tem a diretiva(GPO) para a OU em que não contém a diretiva. Quando a estação for reiniciada a mesma irá “subir” sem a diretiva de desativação do administrador local aí é só logar com usuário administrador, inserir no domínio novamente e depois retirar essa estação da OU livre para OU que contém a diretiva de desativação. Outra maneira que podemos reativar o administrador local é pelo DVD ou modo de segurança. Usando o DVD do Windows e dando boot por ele poderíamos entrar no CMD e reativar o administrador local da estação via linha de comando.

A outra questão era ter o usuário administrador local na estação para não ter que ficar logando com usuário com alto privilégio(adm domínio, esquema, empresa, etc). Poderíamos fazer outra GPO em que colocaríamos os usuários da TI como administradores locais das estações, assim, poderíamos logar com estes caso precisasse fazer alguma configuração.

Diego você já testou tudo isso? Já sim meus amigos. E essa é uma dica de ouro e que pouca gente sabe.

Gostou? Que saber mais sobre segurança e artigos microsoft? Siga minha fan page:
https://www.facebook.com/diegogouveiace

Autor

10492172_880959151956485_6663622487942318291_nNascido e residente de Fortaleza – CE, Diego Lima é graduado em Análise de Sistemas, MTAC (Multi-Plataform Tecnical Audience Contributor) e escreve para diversas comunidades técnicas. Atualmente é técnico em Suporte e busca sempre aprender mais para o seu crescimento profissional.
Redes Sociais:
imagesdownload 144fe2d09e86f4999f70f979161ffd09_400x400

Anúncios

3 comentários sobre “Desative o administrador local no seu domínio!

  1. Diego, post muito bom!

    Mas tenho uma dúvida, inclusive aconteceu comigo! Sou do grupo de Admins. do domínio e meu usuário esta inserido no grupo de administradores locais das estações. Acontece que uma estação de trabalho ocorreu o problema de relação de confiança com domínio. Na hora de logar localmente, a conta administrador estava desativada, e ao tentar logar com meu usuário, não foi possivel porque não encontrou um servidor de logon disponível, justamente porque havia o erro de relação de confiança. Mas por que isso ocorreu? Porque eu nunca tinha ‘logado’ nesta estação antes do problema, então não havia o ‘cache de logon’ que é criado localmente quando se loga utilizando uma conta de domínio. Então neste caso o procedimento não iria funcionar.
    Outra dúvida, se a máquina não consegue ‘carregar’ ou ‘localizar’ o domínio devido a falha de relação de confiança, como ela chegará ao próprio domínio e carregar a GPO alterada (habilitando a conta de Admin local)?

    Anderson Hoffmann do Carmo
    MCP | MTA | MCDST | MCTS | MCSA | MS | MOS |
    ITIL-F | ISFS | CLOUDF | CI-SCS | VCA-DCV |

    Curtir

    1. Anderson, caso a máquina não consiga subir a GPO de habilitação do adm local, você pode usar o DVD do Windows para dar o boot. Ao carregar o boot vai na opção de reparar o Windows e abre a opção de reparar pelo prompt de comando e ativa o administrador local por linha de comando. Ou tente essa alternativa abaixo:

      http://www.techtudo.com.br/dicas-e-tutoriais/noticia/2015/04/esquece-senha-de-administrador-do-windows-saiba-trocar.html

      Eu já testei essa alternativa e funcionou. Teve um dia que o computador perdeu a relação de confiança e o administrador local estava desativado e nem conseguia logar com um usuário do domínio e nem local pois estava desativado. Cenário perfeito para o meu argumento. Testei dar o boot pelo dvd e fazer os passos do tutorial e deu certo reativar o administrador pelo DVD. Depois só inserir a máquina no domínio novamente. Entendeu?

      Curtir

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s