Condividi tramite

Appendice H: Protezione degli account Administrator locali e i gruppi

  • Articolo

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Appendice H: Protezione degli account Administrator locali e i gruppi

In tutte le versioni di Windows attualmente in supporto "Mainstream", l'account Administrator locale è disabilitato per impostazione predefinita, che rende inutilizzabile per pass-the-hash e altri attacchi contro il furto di credenziali dell'account. Tuttavia, in ambienti che contengono sistemi operativi legacy o in cui sono stati abilitati account di amministratore locali, questi account possono essere utilizzati come descritto in precedenza per propagare i compromessi tra workstation e server membri. Ogni account e gruppo amministratore locale deve essere protetto come descritto nelle istruzioni dettagliate che seguono.

Per informazioni dettagliate sulla protezione dei gruppi di account predefinito Administrator, vedere Implementazione di modelli amministrativi con privilegi minimi.

Controlli per gli account di amministratore locale

Per l'account di amministratore locale in ogni dominio della foresta, è necessario configurare le impostazioni seguenti:

  • Configurare gli oggetti Criteri di gruppo per limitare l'utilizzo dell'account Administrator del dominio nei sistemi a cui si è aggiunto il dominio:

    • In uno o più oggetti Criteri di Gruppo, creati e collegati alle unità organizzative delle workstation e dei server membri in ciascun dominio, aggiungere l'account Administrator ai diritti utente seguenti in Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni sicurezza\Criteri locali\Assegnazione diritti utente:

      • Nega accesso al computer dalla rete

      • Negare l'accesso come processo batch

      • Nega accesso come servizio

      • Nega accesso tramite Servizi Desktop remoto

Istruzioni dettagliate per proteggere i gruppi di amministratori locali

Configurazione di oggetti Criteri di gruppo per limitare l'account Administrator in sistemi appartenenti a un dominio

  1. In Server Manager, fare clic su Strumenti, quindi su Gestione Criteri di gruppo.

  2. Nell'albero della console, espandere <Foresta>\Domini\<Dominio>, quindi Oggetti Criteri di gruppo (in cui <Foresta> è il nome della foresta e <Dominio> è il nome del dominio in cui si desidera impostare i Criteri di gruppo).

  3. Nell'albero della console, fare clic con il pulsante destro del mouse su Oggetti Criteri di gruppo, quindi fare clic su Nuovo.

    Screenshot that shows the Members tab for configuring GPOs to restrict the administrator account on domain-joined systems.

  4. Nella finestra di dialogo Nuovo oggetto Criteri di gruppo digitare <Nome oggetto Criteri di gruppo>e fare clic su OK (dove <Nome oggetto Criteri di gruppo> è il nome dell'oggetto Criteri di gruppo).

    Screenshot that shows where to name the GPO so you can configure GPOs to restrict the administrator account on domain-joined systems.

  5. Nel riquadro dei dettagli, fare clic con il pulsante destro del mouse su <Nome oggetto Criteri di gruppo> e fare clic su Modifica.

  6. Passare a Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali, quindi fare clic su Assegnazione diritti utente.

    Screenshot that shows where to navigate so you can configure GPOs to restrict the administrator account on domain-joined systems.

  7. Configurare i diritti utente per impedire all'account Administrator locale di accedere ai server e alle workstation dei membri sulla rete eseguendo le seguenti operazioni:

    1. Fare doppio clic su Nega accesso a questo computer dalla rete e selezionare Definisci queste impostazioni dei criteri.

    2. Fare clic su Aggiungi utente o gruppo, digitare il nome utente dell'account amministratore locale e fare clic su OK. Questo nome utente sarà Administrator, l'impostazione predefinita quando Windows è installato.

      Screenshot that shows how to verify that you've configured the user rights to prevent the local Administrator account from accessing members servers and workstations over the network.

    3. Fare clic su OK.

      Importante

      Quando si aggiunge l'account Administrator a queste impostazioni, si specifica se si sta configurando un account Administrator locale o un account Administrator di dominio in base a come si etichettano gli account. Ad esempio, per aggiungere l'account Administrator del dominio TAILSPINTOYS a questi diritti di negazione, è necessario accedere all'account Administrator del dominio TAILSPINTOYS, che verrà visualizzato come TAILSPINTOYS\Administrator. Se si digita Administrator in queste impostazioni dei diritti utente nell'editor oggetti Criteri di gruppo, si limiterà l'account Administrator locale nei computer a cui è applicato l'oggetto Criteri di gruppo, come descritto in precedenza.

  8. Configurare i diritti utente per impedire all'account amministratore locale di accedere come processo batch effettuando le seguenti operazioni:

    1. Fare doppio clic su Nega accesso come processo batch e selezionare Definisci queste impostazioni dei criteri.

    2. Fare clic su Aggiungi utente o gruppo, digitare il nome utente dell'account amministratore locale e fare clic su OK. Questo nome utente sarà Administrator, l'impostazione predefinita quando Windows è installato.

      Screenshot that shows how to verify that you've configured the user rights to prevent the local Administrator account from logging on as a batch job.

    3. Fare clic su OK.

      Importante

      Quando si aggiunge l'account Administrator a queste impostazioni, si specifica se si sta configurando un account Administrator locale o un account Administrator di dominio in base a come si etichettano gli account. Ad esempio, per aggiungere l'account Administrator del dominio TAILSPINTOYS a questi diritti di negazione, è necessario accedere all'account Administrator del dominio TAILSPINTOYS, che verrà visualizzato come TAILSPINTOYS\Administrator. Se si digita Administrator in queste impostazioni dei diritti utente nell'editor oggetti Criteri di gruppo, si limiterà l'account Administrator locale nei computer a cui è applicato l'oggetto Criteri di gruppo, come descritto in precedenza.

  9. Configurare i diritti utente per impedire all'account Administrator locale di accedere come servizio eseguendo le seguenti operazioni:

    1. Fare doppio clic su Nega accesso come servizio e selezionare Definisci queste impostazioni dei criteri.

    2. Fare clic su Aggiungi utente o gruppo, digitare il nome utente dell'account amministratore locale e fare clic su OK. Questo nome utente sarà Administrator, l'impostazione predefinita quando Windows è installato.

      Screenshot that shows how to verify that you've configured the user rights to prevent the local Administrator account from logging on as a service.

    3. Fare clic su OK.

      Importante

      Quando si aggiunge l'account Administrator a queste impostazioni, si specifica se si sta configurando un account Administrator locale o un account Administrator di dominio in base a come si etichettano gli account. Ad esempio, per aggiungere l'account Administrator del dominio TAILSPINTOYS a questi diritti di negazione, è necessario accedere all'account Administrator del dominio TAILSPINTOYS, che verrà visualizzato come TAILSPINTOYS\Administrator. Se si digita Administrator in queste impostazioni dei diritti utente nell'editor oggetti Criteri di gruppo, si limiterà l'account Administrator locale nei computer a cui è applicato l'oggetto Criteri di gruppo, come descritto in precedenza.

  10. Configurare i diritti utente per impedire all'account Administrator locale di accedere ai server membri e alle workstation tramite Servizi Desktop remoto effettuando le seguenti operazioni:

    1. Fare doppio clic su Nega accesso tramite Servizi Desktop remoto e selezionare Definisci queste impostazioni dei criteri.

    2. Fare clic su Aggiungi utente o gruppo, digitare il nome utente dell'account amministratore locale e fare clic su OK. Questo nome utente sarà Administrator, l'impostazione predefinita quando Windows è installato.

      Screenshot that shows how to verify that you've configured the user rights to prevent the local Administrator account from accessing member servers and workstations via Remote Desktop Services.

    3. Fare clic su OK.

      Importante

      Quando si aggiunge l'account Administrator a queste impostazioni, si specifica se si sta configurando un account Administrator locale o un account Administrator di dominio in base a come si etichettano gli account. Ad esempio, per aggiungere l'account Administrator del dominio TAILSPINTOYS a questi diritti di negazione, è necessario accedere all'account Administrator del dominio TAILSPINTOYS, che verrà visualizzato come TAILSPINTOYS\Administrator. Se si digita Administrator in queste impostazioni dei diritti utente nell'editor oggetti Criteri di gruppo, si limiterà l'account Administrator locale nei computer a cui è applicato l'oggetto Criteri di gruppo, come descritto in precedenza.

  11. Per uscire dall'Editor gestione Criteri di gruppo, fare clic su File, quindi su Esci.

  12. In Gestione criteri di gruppo, collegare l'oggetto Criteri di gruppo alle unità organizzative del server membro e della workstation eseguendo le operazioni seguenti:

    1. Passare a <Foresta>\Domini\<Dominio> (in cui <Foresta> è il nome della foresta e <Dominio> è il nome del dominio in cui si vuole impostare i Criteri di gruppo).

    2. Fare clic con il pulsante destro del mouse sull'unità organizzativa a cui verrà applicato l'oggetto Criteri di gruppo e quindi su Collega un oggetto Criteri di gruppo esistente.

      Screenshot that shows the Link an existing GPO menu option when you're attempting to link the GPO to the member server and workstation OUs.

    3. Selezionare l'oggetto Criteri di gruppo creato e fare clic su OK.

      Screenshot that shows where to select the GPO you just created while you're linking the GPO to the member server and workstation OUs.

    4. Creare collegamenti a tutte le altre unità organizzative che contengono workstation.

    5. Creare collegamenti a tutte le altre unità organizzative che contengono server membri.

Passaggi di verifica

Verificare le impostazioni dell'oggetto Criteri di gruppo "Nega accesso al computer dalla rete"

Da qualsiasi server membro o workstation non interessato dalle modifiche dell'oggetto Criteri di gruppo (ad esempio un jump server), provare ad accedere a un server membro o workstation sulla rete interessata dalle modifiche dell'oggetto Criteri di gruppo. Per verificare le impostazioni dell'oggetto Criteri di gruppo, provare a eseguire il mapping dell'unità di sistema utilizzando il comando NET USE.

  1. Accedere localmente a qualsiasi server membro o workstation non interessato dalle modifiche apportate all'oggetto Criteri di gruppo.

  2. Con il mouse, spostare il puntatore nell'angolo in alto a destra o in basso a destra dello schermo. Quando viene visualizzata la barra degli accessi, fare clic su Cerca.

  3. Nella casella Cerca, digitare il prompt dei comandi, fare clic con il pulsante destro del mouse su Prompt dei comandi e quindi su Esegui come amministratore per aprire un prompt dei comandi con privilegi elevati.

  4. Quando viene richiesto di approvare l'elevazione dei privilegi, fare clic su .

    Screenshot that highlights the User Account Control dialog box you'll see when verifying the GPO settings.

  5. Nella finestra Prompt dei comandi, digitare net use \\<Server Name>\c$ /user:<Server Name>\Administrator, dove <Nome server> è il nome del server membro o della workstation a cui si sta tentando di accedere tramite la rete.

    Nota

    Le credenziali di amministratore locale devono trovarsi nello stesso sistema a cui si sta tentando di accedere tramite la rete.

  6. Il seguente screenshot mostra il messaggio di errore che deve essere visualizzato.

    Screenshot that highlights the logon failure error message when verifying the GPO settings.

Verificare le impostazioni dell'oggetto Criteri di gruppo "Nega accesso come processo batch"

Da qualsiasi server membro o workstation interessata dalle modifiche all'oggetto Criteri di gruppo, accedere localmente.

Creare un file batch

  1. Con il mouse, spostare il puntatore nell'angolo in alto a destra o in basso a destra dello schermo. Quando viene visualizzata la barra degli accessi, fare clic su Cerca.

  2. Nella casella Cerca, digitare Blocco note e fare clic su Blocco note.

  3. Nel Blocco note, digitare dir c:.

  4. Fare clic su File, quindi su Salva con nome.

  5. Nella casella Nome File digitare <Filename>.bat, dove <Filename> è il nome del nuovo file batch.

Pianificare un'attività

  1. Con il mouse, spostare il puntatore nell'angolo in alto a destra o in basso a destra dello schermo. Quando viene visualizzata la barra degli accessi, fare clic su Cerca.

  2. Nella casella Cerca, digitare Utilità di pianificazione, quindi fare clic su Utilità di pianificazione.

    Nota

    Nei computer che eseguono Windows 8, nella casella Cerca, digitare pianifica attività e fare clic su Pianifica attività.

  3. Fare clic su Azione e quindi su Crea attività.

  4. Nella finestra di dialogo Crea attività, digitare <Nome attività> (in cui <Nome attività> è il nome della nuova attività).

  5. Fare clic sulla scheda Azioni, quindi su Nuova.

  6. Nel campo Azione, fare clic su Avvia un programma.

  7. Nel campo Programma/script, fare clic su Sfoglia, individuare e selezionare il file batch creato nella sezione Crea un file batch e fare clic su Apri.

  8. Fare clic su OK.

  9. Fare clic sulla scheda Generale.

  10. Nel campo Opzioni di sicurezza, fare clic su Cambia utente o gruppo.

  11. Digitare il nome dell'account Administrator locale del sistema, fare clic su Controlla nomi e quindi su OK.

  12. Selezionare Esegui se l'utente è connesso o meno e Non archiviare la password. L'attività avrà accesso solo alle risorse del computer locale.

  13. Fare clic su OK.

  14. Viene visualizzata una finestra di dialogo che richiede le credenziali dell'account utente per l'esecuzione dell'attività.

  15. Dopo aver inserito le credenziali, fare clic su OK.

  16. Verrà visualizzata una finestra di dialogo simile alla seguente.

    Screenshot that highlights the Task Scheduler dialog box that appears when scheduling a task.

Verificare le impostazioni dell'oggetto Criteri di gruppo "Nega accesso come servizio"

  1. Da qualsiasi server membro o workstation interessata dalle modifiche all'oggetto Criteri di gruppo, accedere localmente.

  2. Con il mouse, spostare il puntatore nell'angolo in alto a destra o in basso a destra dello schermo. Quando viene visualizzata la barra degli accessi, fare clic su Cerca.

  3. Nella casella Cerca, digitare servizi e fare clic su Servizi.

  4. Individuare e fare doppio clic su Spooler di stampa.

  5. Fare clic sulla scheda Accedi.

  6. Nel campo Accedi come fare clic su Questo account.

  7. Fare clic su Sfoglia, digitare l'account amministratore locale del sistema, fare clic su Controlla nomie fare clic su OK.

  8. Nei campi Password e Conferma password digitare la password dell'account selezionato e fare clic su OK.

  9. Fare clic su OK altre tre volte.

  10. Fare clic con il pulsante destro del mouse su Spooler di stampa, quindi su Riavvia.

  11. Quando il servizio viene riavviato, verrà visualizzata una finestra di dialogo simile alla seguente.

    Screenshot that shows a message indicating that Windows could not start the Print Spooler on the Local Computer.

Ripristinare le modifiche al servizio di spooler della stampante

  1. Da qualsiasi server membro o workstation interessata dalle modifiche all'oggetto Criteri di gruppo, accedere localmente.

  2. Con il mouse, spostare il puntatore nell'angolo in alto a destra o in basso a destra dello schermo. Quando viene visualizzata la barra degli accessi, fare clic su Cerca.

  3. Nella casella Cerca, digitare servizi e fare clic su Servizi.

  4. Individuare e fare doppio clic su Spooler di stampa.

  5. Fare clic sulla scheda Accedi.

  6. Nel campo Accedi come: selezionare account di sistema localee fare clic su OK.

Verificare le impostazioni dell'oggetto Criteri di gruppo "Nega accesso tramite Servizi Desktop remoto"

  1. Con il mouse, spostare il puntatore nell'angolo in alto a destra o in basso a destra dello schermo. Quando viene visualizzata la barra degli accessi, fare clic su Cerca.

  2. Nella casella Cerca, digitare connessione desktop remoto e fare clic su Connessione desktop remoto.

  3. Nel campo Computer, digitare il nome del computer a cui connettersi e fare clic su Connetti. È anche possibile digitare l'indirizzo IP al posto del nome del computer.

  4. Quando richiesto, specificare le credenziali per l'account di amministratore locale del sistema.

  5. Verrà visualizzata una finestra di dialogo simile alla seguente.

    secure local admin accounts and groups