Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Uma conta de computador, ou conta localsystem, é altamente privilegiada com acesso a quase todos os recursos no computador local. A conta não está associada a contas de usuário assinadas. Os serviços são executados como recursos de rede de acesso do LocalSystem apresentando as credenciais do computador para servidores remotos no formato <domain_name>\\<computer_name>$. O nome predefinido da conta do computador é NT AUTHORITY\SYSTEM. Você pode iniciar um serviço e fornecer contexto de segurança para esse serviço.
Benefícios de usar uma conta de computador
Uma conta de computador tem os seguintes benefícios:
- Acesso local irrestrito – a conta de computador fornece acesso completo aos recursos locais do computador
- Gerenciamento automático de senha – remove a necessidade de senhas alteradas manualmente. A conta é membro do Active Directory e sua senha é alterada automaticamente. Com uma conta de computador, não é necessário registrar o nome principal do serviço.
- Direitos de acesso limitados fora do computador – a lista de controle de acesso padrão no AD DS (Active Directory Domain Services) permite acesso mínimo a contas de computador. Durante o acesso de um usuário não autorizado, o serviço tem acesso limitado aos recursos de rede.
Avaliação de postura de segurança da conta de computador
Use a tabela a seguir para examinar possíveis problemas e mitigações da conta de computador.
| Problema de conta de computador | Atenuação |
|---|---|
| As contas de computador estão sujeitas à exclusão e à recriação quando o computador sai e volta ao domínio. | Confirme o requisito de adicionar um computador a um grupo do Active Directory. Para verificar as contas de computador adicionadas a um grupo, use os scripts na seção a seguir. |
| Se você adicionar uma conta de computador a um grupo, os serviços executados como LocalSystem nesse computador obterão direitos de acesso de grupo. | Seja seletivo ao escolher associações de grupos de contas de computador. Não torne uma conta de computador um membro de um grupo de administradores de domínio. O serviço associado tem acesso completo ao AD DS. |
| Padrões de rede imprecisos para LocalSystem. | Não suponha que a conta de computador tenha o acesso limitado padrão aos recursos de rede. Em vez disso, confirme as associações de grupo para a conta. |
| Serviços desconhecidos que são executados como LocalSystem. | Verifique se os serviços executados na conta LocalSystem são serviços da Microsoft ou serviços confiáveis. |
Localizar serviços e contas de computador
Para localizar os serviços executados na conta de computador, use o seguinte cmdlet do PowerShell:
Get-WmiObject win32_service | select Name, StartName | Where-Object {($_.StartName -eq "LocalSystem")}
Para localizar contas de computador que são membros de um grupo específico, execute o seguinte cmdlet do PowerShell:
Get-ADComputer -Filter {Name -Like "*"} -Properties MemberOf | Where-Object {[STRING]$_.MemberOf -like "Your_Group_Name_here*"} | Select Name, MemberOf
Para localizar contas de computador que são membros de grupos de administradores de identidade (administradores de domínio, administradores corporativos e administradores), execute o seguinte cmdlet do PowerShell:
Get-ADGroupMember -Identity Administrators -Recursive | Where objectClass -eq "computer"
Recomendações para contas de computador
Importante
As contas de computador são altamente privilegiadas, portanto, use-as se o serviço exigir acesso irrestrito aos recursos locais, no computador, e você não puder usar uma MSA (conta de serviço gerenciada).
- Confirme se o serviço do proprietário do serviço é executado com uma MSA
- Use uma conta de serviço gerenciada de grupo (gMSA) ou uma sMSA (conta de serviço gerenciada autônoma), se o serviço der suporte a ela
- Usar uma conta de usuário de domínio com as permissões necessárias para executar o serviço
Próximas etapas
Para saber mais sobre contas de serviço de segurança, confira os seguintes artigos: