Compartilhar via

Apêndice H: Proteger contas e grupos de administrador local

  • Artigo

Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 e Windows Server 2012

Apêndice H: Proteger contas e grupos de administrador local

Em todas as versões do Windows atualmente com o suporte base, a conta de Administrador local está desabilitada por padrão, o que torna a conta inutilizável para ataques de roubo de credenciais e Pass-the-Hash. No entanto, em ambientes que contêm sistemas operacionais herdados ou em que as contas de Administrador locais foram habilitadas, essas contas podem ser usadas conforme já descrito para propagar o comprometimento entre servidores membro e estações de trabalho. Cada grupo e conta de Administrador local deve ser protegido, conforme descrito nas instruções passo a passo a seguir.

Para obter informações detalhadas sobre as considerações sobre como proteger grupos BA (Administrador Interno), confira Como implementar modelos administrativos com menos privilégios.

Controles para contas de Administrador local

Para a conta de Administrador local em cada domínio da floresta, você deve definir as seguintes configurações:

  • Configurar GPOs para restringir o uso da conta de Administrador do domínio em sistemas ingressados no domínio

    • Em um ou mais GPOs que você cria e vincula às UOs de servidor membro e de estação de trabalho em cada domínio, adicione a conta de Administrador aos seguintes direitos de usuário em Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuições de Direitos do Usuário:

      • Negar acesso a este computador pela rede

      • Negar o logon como um trabalho em lotes

      • Negar o logon como um serviço

      • Negar o logon por meio dos Serviços de Área de Trabalho Remota

Instruções passo a passo para proteger os grupos locais Administradores

Como configurar os GPOs para restringir a conta de Administrador em sistemas ingressados no domínio

  1. No Gerenciador do Servidor, clique em Ferramentas e em Gerenciamento de Política de Grupo.

  2. Na árvore do console, expanda <Floresta>\Domínios\<Domínio> e Objetos de Política de Grupo (em que <Floresta> é o nome da floresta e <Domínio> é o nome do domínio em que você deseja definir a Política de Grupo).

  3. Na árvore do console, clique com o botão direito do mouse em Objetos de Política de Grupo e clique em Novo.

    Screenshot that shows the Members tab for configuring GPOs to restrict the administrator account on domain-joined systems.

  4. Na caixa de diálogo Novo GPO, digite <Nome do GPO> e clique em OK (em que <Nome do GPO> é o nome desse GPO).

    Screenshot that shows where to name the GPO so you can configure GPOs to restrict the administrator account on domain-joined systems.

  5. No painel de detalhes, clique com o botão direito do mouse em <Nome do GPO> e clique em Editar.

  6. Navegue até Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais e clique em Atribuição de Direitos de Usuário.

    Screenshot that shows where to navigate so you can configure GPOs to restrict the administrator account on domain-joined systems.

  7. Configure os direitos de usuário para impedir que a conta de Administrador local acesse os servidores membro e as estações de trabalho pela rede fazendo o seguinte:

    1. Clique duas vezes em Negar acesso a este computador pela rede e selecione Definir estas configurações de política.

    2. Clique em Adicionar Usuário ou Grupo, digite o nome de usuário da conta de Administrador local e clique em OK. Esse nome de usuário será Administrador, o padrão quando o Windows for instalado.

      Screenshot that shows how to verify that you've configured the user rights to prevent the local Administrator account from accessing members servers and workstations over the network.

    3. Clique no OK.

      Importante

      Ao adicionar a conta de Administrador a essas configurações, você especifica se está configurando uma conta Administrador local ou uma conta Administrador de domínio pela forma como rotula as contas. Por exemplo, para adicionar a conta de Administrador do domínio TAILSPINTOYS a esses direitos de negação, navegue até a conta de Administrador do domínio TAILSPINTOYS, que será exibida como TAILSPINTOYS\Administrador. Se você digitar Administrador nessas configurações de direitos de usuário no Editor de Objeto de Política de Grupo, restringirá a conta de Administrador local em cada computador ao qual o GPO é aplicado, conforme já descrito.

  8. Configure os direitos de usuário para impedir que a conta de Administrador local faça logon como um trabalho em lotes fazendo o seguinte:

    1. Clique duas vezes em Negar logon como um trabalho em lotes e selecione Definir estas configurações de política.

    2. Clique em Adicionar Usuário ou Grupo, digite o nome de usuário da conta de Administrador local e clique em OK. Esse nome de usuário será Administrador, o padrão quando o Windows for instalado.

      Screenshot that shows how to verify that you've configured the user rights to prevent the local Administrator account from logging on as a batch job.

    3. Clique no OK.

      Importante

      Ao adicionar a conta de Administrador a essas configurações, você especifica se está configurando a conta de Administrador local ou a conta de Administrador de domínio pela forma como rotula as contas. Por exemplo, para adicionar a conta de Administrador do domínio TAILSPINTOYS a esses direitos de negação, navegue até a conta de Administrador do domínio TAILSPINTOYS, que será exibida como TAILSPINTOYS\Administrador. Se você digitar Administrador nessas configurações de direitos de usuário no Editor de Objeto de Política de Grupo, restringirá a conta de Administrador local em cada computador ao qual o GPO é aplicado, conforme já descrito.

  9. Configure os direitos de usuário para impedir que a conta de Administrador local faça logon como um serviço fazendo o seguinte:

    1. Clique duas vezes em Negar logon como um serviço e selecione Definir estas configurações de política.

    2. Clique em Adicionar Usuário ou Grupo, digite o nome de usuário da conta de Administrador local e clique em OK. Esse nome de usuário será Administrador, o padrão quando o Windows for instalado.

      Screenshot that shows how to verify that you've configured the user rights to prevent the local Administrator account from logging on as a service.

    3. Clique no OK.

      Importante

      Ao adicionar a conta de Administrador a essas configurações, você especifica se está configurando a conta de Administrador local ou a conta de Administrador de domínio pela forma como rotula as contas. Por exemplo, para adicionar a conta de Administrador do domínio TAILSPINTOYS a esses direitos de negação, navegue até a conta de Administrador do domínio TAILSPINTOYS, que será exibida como TAILSPINTOYS\Administrador. Se você digitar Administrador nessas configurações de direitos de usuário no Editor de Objeto de Política de Grupo, restringirá a conta de Administrador local em cada computador ao qual o GPO é aplicado, conforme já descrito.

  10. Configure os direitos de usuário para impedir que a conta de Administrador local acesse os servidores membro e as estações de trabalho por meio dos Serviços de Área de Trabalho Remota fazendo o seguinte:

    1. Clique duas vezes em Negar logon por meio dos Serviços de Área de Trabalho Remota e selecione Definir estas configurações de política.

    2. Clique em Adicionar Usuário ou Grupo, digite o nome de usuário da conta de Administrador local e clique em OK. Esse nome de usuário será Administrador, o padrão quando o Windows for instalado.

      Screenshot that shows how to verify that you've configured the user rights to prevent the local Administrator account from accessing member servers and workstations via Remote Desktop Services.

    3. Clique no OK.

      Importante

      Ao adicionar a conta de Administrador a essas configurações, você especifica se está configurando a conta de Administrador local ou a conta de Administrador de domínio pela forma como rotula as contas. Por exemplo, para adicionar a conta de Administrador do domínio TAILSPINTOYS a esses direitos de negação, navegue até a conta de Administrador do domínio TAILSPINTOYS, que será exibida como TAILSPINTOYS\Administrador. Se você digitar Administrador nessas configurações de direitos de usuário no Editor de Objeto de Política de Grupo, restringirá a conta de Administrador local em cada computador ao qual o GPO é aplicado, conforme já descrito.

  11. Para sair do Editor de Gerenciamento de Política de Grupo, clique em Arquivo e em Sair.

  12. No Gerenciamento de Política de Grupo, vincule o GPO ao servidor membro e às OUs da estação de trabalho fazendo o seguinte:

    1. Navegue até <Floresta>\Domínios\<Domínio> (em que <Floresta> é o nome da floresta e <Domínio> é o nome do domínio em que você deseja definir a Política de Grupo).

    2. Clique com o botão direito do mouse na OU à qual o GPO será aplicado e clique em Vincular um GPO existente.

      Screenshot that shows the Link an existing GPO menu option when you're attempting to link the GPO to the member server and workstation OUs.

    3. Selecione o GPO criado e clique em OK.

      Screenshot that shows where to select the GPO you just created while you're linking the GPO to the member server and workstation OUs.

    4. Crie vínculos para todas as outras OUs que contêm estações de trabalho.

    5. Crie links para todas as outras UOs que contêm servidores membro.

Etapas de Verificação

Verificar as configurações de GPO "Negar acesso a este computador pela rede"

Em qualquer estação de trabalho ou servidor membro que não seja afetado pelas alterações de GPO (como um jump server), tente acessar um servidor membro ou uma estação de trabalho pela rede afetada pelas alterações de GPO. Para verificar as configurações de GPO, tente mapear a unidade do sistema usando o comando NET USE.

  1. Faça logon em qualquer estação de trabalho ou servidor membro afetado pelas alterações de GPO.

  2. Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra Botões for exibida, clique em Pesquisar.

  3. Na caixa Pesquisar, digite prompt de comando, clique com o botão direito do mouse em prompt de comando e clique em Executar como administrador para abrir um prompt de comandos com privilégios elevados.

  4. Quando for solicitado aprovar a elevação, clique em Sim.

    Screenshot that highlights the User Account Control dialog box you'll see when verifying the GPO settings.

  5. Na janela Prompt de Comando, digite net use \\<Server Name>\c$ /user:<Server Name>\Administrator, em que <Nome do Servidor> é o nome do servidor membro ou da estação de trabalho que você está tentando acessar pela rede.

    Observação

    As credenciais de Administrador local precisam ser do mesmo sistema que você está tentando acessar pela rede.

  6. A captura de tela a seguir mostra a mensagem de erro que será exibida.

    Screenshot that highlights the logon failure error message when verifying the GPO settings.

Verificar as configurações de GPO "Negar logon como um trabalho em lotes"

Em uma estação de trabalho ou servidor membro afetado pelas alterações de GPO, faça logon localmente.

Criar um arquivo em lotes

  1. Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra Botões for exibida, clique em Pesquisar.

  2. Na caixa Pesquisar, digite Bloco de notas e clique em Bloco de notas.

  3. No Bloco de notas, digite dir c:.

  4. Clique em Arquivo e em Salvar como.

  5. Na caixa Nome do arquivo, digite <Filename>.bat (em que <Nome do arquivo> é o nome do novo arquivo em lotes).

Agendar uma tarefa

  1. Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra Botões for exibida, clique em Pesquisar.

  2. Na caixa Pesquisar, digite agendador de tarefas e clique em Agendador de Tarefas.

    Observação

    Nos computadores que executam o Windows 8, na caixa Pesquisar, digite agendar tarefas e clique em Agendar tarefas.

  3. Clique em Ação e em Criar Tarefa.

  4. Na caixa de diálogo Criar Tarefa, digite <Nome da Tarefa> (em que <Nome da Tarefa> é o nome da nova tarefa).

  5. Clique na guia Ações e em Nova.

  6. No campo Ação, clique em Iniciar um programa.

  7. No campo Programa/script, clique em Procurar, localize e selecione o arquivo em lotes criado na seção Criar um Arquivo em Lote e clique em Abrir.

  8. Clique em OK.

  9. Clique na guia Geral.

  10. No campo Opções de segurança, clique em Alterar Usuário ou Grupo.

  11. Digite o nome da conta de Administrador local do sistema, clique em Verificar Nomes e em OK.

  12. Selecione Executar estando o usuário conectado ou não e Não armazenar senha. A tarefa terá acesso somente aos recursos do computador local.

  13. Clique em OK.

  14. Uma caixa de diálogo será exibida, solicitando as credenciais da conta de usuário para executar a tarefa.

  15. Depois de inserir as credenciais, clique em OK.

  16. Uma caixa de diálogo semelhante à mostrada a seguir será exibida.

    Screenshot that highlights the Task Scheduler dialog box that appears when scheduling a task.

Verificar as configurações de GPO "Negar logon como um serviço"

  1. Em uma estação de trabalho ou servidor membro afetado pelas alterações de GPO, faça logon localmente.

  2. Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra Botões for exibida, clique em Pesquisar.

  3. Na caixa Pesquisar, digite serviços e clique em Serviços.

  4. Localize e clique duas vezes em Spooler de Impressão.

  5. Clique na guia Logon.

  6. No campo Fazer logon como, clique em Esta conta.

  7. Clique em Procurar, digite a conta de Administrador local do sistema, clique em Verificar Nomes e clique em OK.

  8. Nos campos Senha e Confirmar senha, digite a senha da conta selecionada e clique em OK.

  9. Clique em OK mais três vezes.

  10. Clique com o botão direito do mouse em Spooler de Impressão e clique em Reiniciar.

  11. Quando o serviço for reiniciado, uma caixa de diálogo semelhante à mostrada a seguir será exibida.

    Screenshot that shows a message indicating that Windows could not start the Print Spooler on the Local Computer.

Reverter as alterações no Serviço de Spooler de Impressão

  1. Em uma estação de trabalho ou servidor membro afetado pelas alterações de GPO, faça logon localmente.

  2. Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra Botões for exibida, clique em Pesquisar.

  3. Na caixa Pesquisar, digite serviços e clique em Serviços.

  4. Localize e clique duas vezes em Spooler de Impressão.

  5. Clique na guia Logon.

  6. No campo Fazer logon como:, selecione Conta do Sistema Local e clique em OK.

Verificar as configurações de GPO "Negar logon por meio dos Serviços de Área de Trabalho Remota"

  1. Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra Botões for exibida, clique em Pesquisar.

  2. Na caixa Pesquisar, digite conexão de área de trabalho remota e clique em Conexão de Área de Trabalho Remota.

  3. No campo Computador, digite o nome do computador ao qual deseja se conectar e clique em Conectar. (Você também pode digitar o endereço IP em vez do nome do computador.)

  4. Quando solicitado, forneça credenciais da conta Administrador local do sistema.

  5. Uma caixa de diálogo semelhante à mostrada a seguir será exibida.

    secure local admin accounts and groups