Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve as contas de utilizador local predefinidas para sistemas operativos Windows e como gerir as contas incorporadas.
Acerca das contas de utilizador local
As contas de utilizador local são definidas localmente num dispositivo e só podem ser atribuídos direitos e permissões no dispositivo. As contas de utilizador local são principais de segurança que são utilizadas para proteger e gerir o acesso aos recursos num dispositivo, para serviços ou utilizadores.
Contas de utilizador local predefinidas
As contas de utilizador local predefinidas são contas incorporadas que são criadas automaticamente quando o sistema operativo é instalado. As contas de utilizador local predefinidas não podem ser removidas ou eliminadas e não fornecem acesso aos recursos de rede.
As contas de utilizador local predefinidas são utilizadas para gerir o acesso aos recursos do dispositivo local com base nos direitos e permissões atribuídos à conta. As contas de utilizador local predefinidas e as contas de utilizador local que criar estão localizadas na pasta Utilizadores . A pasta Utilizadores está localizada na pasta Utilizadores e Grupos Locais na Consola de Gestão de Computadores da Microsoft (MMC) local. A Gestão de Computadores é uma coleção de ferramentas administrativas que pode utilizar para gerir um dispositivo local ou remoto.
As contas de utilizador local predefinidas são descritas nas secções seguintes. Expanda cada secção para obter mais informações.
Administrador
A conta de Administrador local predefinida é uma conta de utilizador para a administração do sistema. Cada computador tem uma conta de Administrador (SID S-1-5-domain-500, nome a apresentar Administrador). A conta de Administrador é a primeira conta que é criada durante a instalação do Windows.
A conta de Administrador tem controlo total dos ficheiros, diretórios, serviços e outros recursos no dispositivo local. A conta de Administrador pode criar outros utilizadores locais, atribuir direitos de utilizador e atribuir permissões. A conta de Administrador pode assumir o controlo dos recursos locais em qualquer altura ao alterar os direitos de utilizador e as permissões.
A conta de Administrador predefinida não pode ser eliminada ou bloqueada, mas pode ser renomeada ou desativada.
A configuração do Windows desativa a conta de Administrador incorporada e cria outra conta local que seja membro do grupo Administradores.
Os membros dos grupos administradores podem executar aplicações com permissões elevadas sem utilizar a opção Executar como Administrador . A Mudança rápida de utilizadores é mais segura do que a utilização runas
ou a elevação de utilizadores diferentes.
Associação ao grupo de contas
Por predefinição, a conta de Administrador é membro do grupo Administradores. É uma melhor prática limitar o número de utilizadores no grupo Administradores porque os membros do grupo Administradores têm permissões de Controlo Total no dispositivo.
Não é possível remover a conta de Administrador do grupo Administradores.
Considerações de segurança
Uma vez que a conta de Administrador é conhecida por existir em muitas versões do sistema operativo Windows, é melhor prática desativar a conta de Administrador sempre que possível para dificultar o acesso de utilizadores maliciosos ao servidor ou computador cliente.
Pode mudar o nome da conta de Administrador. No entanto, uma conta de Administrador cujo nome foi mudado continua a utilizar o mesmo identificador de segurança (SID) atribuído automaticamente, que pode ser detetado por utilizadores maliciosos. Para obter mais informações sobre como mudar o nome ou desativar uma conta de utilizador, consulte Desativar ou ativar uma conta de utilizador local e Mudar o nome de uma conta de utilizador local.
Como melhor prática de segurança, utilize a sua conta local (não Administrador) para iniciar sessão e, em seguida, utilize Executar como administrador para realizar tarefas que exijam um nível de direitos mais elevado do que uma conta de utilizador padrão. Não utilize a conta de Administrador para iniciar sessão no seu computador, a menos que seja totalmente necessário. Para obter mais informações, veja Executar um programa com credenciais administrativas.
Política de Grupo podem ser utilizadas para controlar automaticamente a utilização do grupo administradores local. Para obter mais informações sobre Política de Grupo, consulte Descrição Geral do Política de Grupo.
Importante
- Não são permitidas palavras-passe em branco
- Mesmo quando a conta de Administrador está desativada, ainda pode ser utilizada para obter acesso a um computador através do modo de segurança. Na Consola de Recuperação ou no modo de segurança, a conta de Administrador é ativada automaticamente. Quando as operações normais são retomadas, esta é desativada.
Convidado
A Conta de convidado permite que utilizadores ocasionais ou únicos, que não têm uma conta no computador, iniciem sessão temporariamente no servidor local ou no computador cliente com direitos de utilizador limitados. Por predefinição, a Conta de convidado está desativada e tem uma palavra-passe em branco. Uma vez que a conta de Convidado pode fornecer acesso anónimo, é considerada um risco de segurança. Por este motivo, é melhor prática deixar a conta de Convidado desativada, a menos que a utilização seja necessária.
Associação ao grupo de contas de convidado
Por predefinição, a Conta de convidado é o único membro do grupo SID S-1-5-32-546
Convidados predefinido, o que permite que um utilizador inicie sessão num dispositivo.
Considerações de segurança da conta de convidado
Ao ativar a conta de Convidado, conceda apenas direitos e permissões limitados. Por motivos de segurança, a conta de Convidado não deve ser utilizada através da rede e tornar-se acessível a outros computadores.
Além disso, o utilizador convidado na conta de Convidado não deve conseguir ver os registos de eventos. Depois de ativar a conta de Convidado, é melhor prática monitorizar a conta de Convidado com frequência para garantir que outros utilizadores não podem utilizar serviços e outros recursos. Isto inclui recursos que foram deixados involuntariamente disponíveis por um utilizador anterior.
Suporte Técnico Resistente
A conta HelpAssistant é uma conta local predefinida que é ativada quando é executada uma sessão de Assistência Remota. Esta conta é desativada automaticamente quando não existem pedidos de Assistência Remota pendentes.
HelpAssistant é a conta principal que é utilizada para estabelecer uma sessão de Assistência Remota. A sessão de Assistência Remota é utilizada para ligar a outro computador com o sistema operativo Windows e é iniciada por convite. Para assistência remota solicitada, um utilizador envia um convite a partir do respetivo computador, através de e-mail ou como ficheiro, a uma pessoa que possa prestar assistência. Após o convite do utilizador para uma sessão de Assistência Remota ser aceite, a conta HelpAssistant predefinida é criada automaticamente para fornecer à pessoa que fornece assistência acesso limitado ao computador. A conta HelpAssistant é gerida pelo serviço Gestor de Sessões de Ajuda do Ambiente de Trabalho Remoto.
Considerações de segurança da conta HelpAssistant
Os SIDs relativos à conta HelpAssistant predefinida incluem:
- SID:
S-1-5-<domain>-13
, nome a apresentar Utilizador do Servidor de Terminais. Este grupo inclui todos os utilizadores que iniciam sessão num servidor com os Serviços de Ambiente de Trabalho Remoto ativados. - SID:
S-1-5-<domain>-14
, nome a apresentar Início de Sessão Interativo Remoto. Este grupo inclui todos os utilizadores que se ligam ao computador através de uma ligação de ambiente de trabalho remoto. Este grupo é um subconjunto do grupo Interativo. Os tokens de acesso que contêm o SID de Início de Sessão Interativo Remoto também contêm o SID Interativo.
Para o sistema operativo Windows Server, a Assistência Remota é um componente opcional que não está instalado por predefinição. Tem de instalar a Assistência Remota antes de poder utilizá-la.
Para obter detalhes sobre os atributos da conta HelpAssistant, veja a tabela seguinte.
Atributos da conta HelpAssistant
Atributo | Valor |
---|---|
Well-Known SID/RID | S-1-5-<domain>-13 (Terminal Server User), S-1-5-<domain>-14 (Remote Interactive Logon) |
Tipo | Usuário |
Contentor predefinido | CN=Users, DC=<domain> |
Membros predefinidos | Nenhum |
Membro predefinido de | Convidados de Domínio Convidados |
Protegido por ADMINSDHOLDER? | Não |
É seguro sair do contentor predefinido? | Pode ser movido para fora, mas não o recomendamos. |
É seguro delegar a gestão deste grupo a administradores que não são de Serviço? | Não |
DefaultAccount
A conta DefaultAccount, também conhecida como Conta Gerida do Sistema Predefinida (DSMA), é um tipo de conta de utilizador conhecido. A DefaultAccount pode ser utilizada para executar processos com deteção de vários utilizadores ou de utilizador agnóstico.
O DSMA está desativado por predefinição nas edições de ambiente de trabalho e nos Sistemas operativos do servidor com a experiência de ambiente de trabalho.
O DSMA tem um RID bem conhecido de 503
. Assim, o identificador de segurança (SID) do DSMA terá um SID bem conhecido no seguinte formato: S-1-5-21-\<ComputerIdentifier>-503
.
O DSMA é um membro do conhecido grupo System Managed Accounts Group, que tem um SID conhecido de S-1-5-32-581
.
O alias DSMA pode ter acesso aos recursos durante o teste offline mesmo antes da própria conta ser criada. A conta e o grupo são criados durante o primeiro arranque do computador no Gestor de Contas de Segurança (SAM).
Como o Windows utiliza a DefaultAccount
Do ponto de vista da permissão, a DefaultAccount é uma conta de utilizador padrão. A DefaultAccount é necessária para executar aplicações com manifesto de vários utilizadores (aplicações MUMA). As aplicações MUMA são sempre executadas e reagem aos utilizadores que iniciam sessão e terminaram sessão nos dispositivos. Ao contrário do Ambiente de Trabalho do Windows, onde as aplicações são executadas no contexto do utilizador e terminam quando o utilizador termina sessão, as aplicações MUMA são executadas com o DSMA.
As aplicações MUMA são funcionais em SKUs de sessão partilhada, como a Xbox. Por exemplo, a shell xbox é uma aplicação MUMA. Atualmente, a Xbox inicia sessão automaticamente como Conta de convidado e todas as aplicações são executadas neste contexto. Todas as aplicações têm conhecimento de vários utilizadores e respondem a eventos acionados pelo gestor de utilizadores. As aplicações são executadas como conta de Convidado.
Da mesma forma, o Phone inicia sessão automaticamente como uma conta de DefApps , que é semelhante à conta de utilizador padrão no Windows, mas com alguns privilégios adicionais. Os mediadores, alguns serviços e aplicações são executados como esta conta.
No modelo de utilizador convergido, as aplicações com deteção de vários utilizadores e os mediadores com deteção de vários utilizadores terão de ser executadas num contexto diferente do dos utilizadores. Para esta finalidade, o sistema cria o DSMA.
Como a DefaultAccount é criada nos controladores de domínio
Se o domínio tiver sido criado com controladores de domínio em execução Windows Server 2016, a DefaultAccount existe em todos os controladores de domínio no domínio. Se o domínio tiver sido criado com controladores de domínio a executar uma versão anterior do Windows Server, a DefaultAccount é criada depois de a função emulador PDC ser transferida para um controlador de domínio que executa Windows Server 2016. Em seguida, a DefaultAccount é replicada para todos os outros controladores de domínio no domínio.
Recomendações para gerir a Conta Predefinida (DSMA)
A Microsoft não recomenda alterar a configuração predefinida, em que a conta está desativada. Não existe qualquer risco de segurança em ter a conta no estado desativada. Alterar a configuração predefinida pode dificultar cenários futuros que dependem desta conta.
Contas de sistema local predefinidas
SISTEMA
A conta SYSTEM é utilizada pelo sistema operativo e por serviços em execução no Windows. Existem muitos serviços e processos no sistema operativo Windows que precisam da capacidade de iniciar sessão internamente, como durante uma instalação do Windows. A conta SYSTEM foi concebida para esse fim e o Windows gere os direitos de utilizador da conta SYSTEM. É uma conta interna que não aparece no Gestor de Utilizadores e não pode ser adicionada a nenhum grupo.
Por outro lado, a conta SYSTEM aparece num volume de sistema de ficheiros NTFS no Gestor de Ficheiros na parte Permissões do menu Segurança . Por predefinição, é concedida à conta SYSTEM permissões de Controlo Total para todos os ficheiros num volume NTFS. Aqui, a conta SYSTEM tem os mesmos direitos e permissões funcionais que a conta de Administrador.
Observação
Para conceder permissões de ficheiro de grupo administradores de conta não dá implicitamente permissão à conta SYSTEM. As permissões da conta SYSTEM podem ser removidas de um ficheiro, mas não recomendamos removê-las.
SERVIÇO DE REDE
A conta de SERVIÇO DE REDE é uma conta local predefinida utilizada pelo gestor de controlo de serviço (SCM). Um serviço que é executado no contexto da conta SERVIÇO DE REDE apresenta as credenciais do computador aos servidores remotos. Para obter mais informações, veja Conta NetworkService.
SERVIÇO LOCAL
A conta DE SERVIÇO LOCAL é uma conta local predefinida utilizada pelo gestor de controlo de serviço. Tem privilégios mínimos no computador local e apresenta credenciais anónimas na rede. Para obter mais informações, veja Conta LocalService.
Como gerir contas de utilizador local
As contas de utilizador local predefinidas e as contas de utilizador local que criar estão localizadas na pasta Utilizadores. A pasta Utilizadores está localizada em Utilizadores e Grupos Locais. Para obter mais informações sobre como criar e gerir contas de utilizador locais, veja Gerir Utilizadores Locais.
Pode utilizar Utilizadores e Grupos Locais para atribuir direitos e permissões apenas no servidor local para limitar a capacidade de utilizadores e grupos locais realizarem determinadas ações. Um direito autoriza um utilizador a efetuar determinadas ações num servidor, como criar cópias de segurança de ficheiros e pastas ou encerrar um servidor. Uma permissão de acesso é uma regra que está associada a um objeto, normalmente um ficheiro, pasta ou impressora. Regula os utilizadores que podem ter acesso a um objeto no servidor e de que forma.
Não pode utilizar Utilizadores e Grupos Locais num controlador de domínio. No entanto, pode utilizar Utilizadores e Grupos Locais num controlador de domínio para direcionar computadores remotos que não são controladores de domínio na rede.
Observação
Utiliza Usuários e Computadores do Active Directory para gerir utilizadores e grupos no Active Directory.
Também pode gerir utilizadores locais com NET.EXE UTILIZADOR e gerir grupos locais com NET.EXE LOCALGROUP ou com vários cmdlets do PowerShell e outras tecnologias de scripting.
Restringir e proteger contas locais com direitos administrativos
Um administrador pode utilizar várias abordagens para impedir que utilizadores maliciosos utilizem credenciais roubadas, como uma palavra-passe roubada ou um hash de palavra-passe, para que uma conta local num computador seja utilizada para autenticar noutro computador com direitos administrativos. Isto também é denominado movimento lateral.
A abordagem mais simples é iniciar sessão no seu computador com uma conta de utilizador padrão, em vez de utilizar a conta de Administrador para tarefas. Por exemplo, utilize uma conta padrão para navegar na Internet, enviar e-mail ou utilizar um processador de palavras. Quando quiser realizar tarefas administrativas, como instalar um novo programa ou alterar uma definição que afete outros utilizadores, não tem de mudar para uma conta de Administrador. Pode utilizar o Controlo de Conta de Utilizador (UAC) para lhe pedir permissão ou uma palavra-passe de administrador antes de executar a tarefa, conforme descrito na secção seguinte.
As outras abordagens que podem ser utilizadas para restringir e proteger contas de utilizador com direitos administrativos incluem:
- Impor restrições de conta local para acesso remoto
- Negar início de sessão de rede a todas as contas de Administrador local
- Criar palavras-passe exclusivas para contas locais com direitos administrativos
Cada uma destas abordagens é descrita nas secções seguintes.
Observação
Estas abordagens não se aplicam se todas as contas locais administrativas estiverem desativadas.
Impor restrições de conta local para acesso remoto
O Controlo de Conta de Utilizador (UAC) é uma funcionalidade de segurança que o informa quando um programa efetua uma alteração que requer permissões administrativas. O UAC funciona ao ajustar o nível de permissão da sua conta de utilizador. Por predefinição, o UAC está definido para notificá-lo quando as aplicações tentam fazer alterações ao seu computador, mas pode alterar quando o UAC o notifica.
O UAC permite que uma conta com direitos administrativos seja tratada como uma conta não administrativa padrão do utilizador até que os direitos totais, também denominados elevação, sejam pedidos e aprovados. Por exemplo, o UAC permite que um administrador introduza credenciais durante a sessão de utilizador de um não administrador para realizar tarefas administrativas ocasionais sem ter de mudar de utilizador, terminar sessão ou utilizar o comando Executar como .
Além disso, o UAC pode exigir que os administradores aprovem especificamente as aplicações que efetuam alterações ao nível do sistema antes de essas aplicações serem autorizadas a serem executadas, mesmo na sessão de utilizador do administrador.
Por exemplo, uma funcionalidade predefinida do UAC é apresentada quando uma conta local inicia sessão a partir de um computador remoto através do Início de sessão de rede (por exemplo, utilizando NET.EXE USE). Neste caso, é emitido um token de utilizador padrão sem direitos administrativos, mas sem a capacidade de pedir ou receber elevação. Consequentemente, as contas locais que iniciam sessão com o Início de sessão de rede não podem aceder a partilhas administrativas, como C$, ou ADMIN$, nem efetuar qualquer administração remota.
Para obter mais informações sobre o UAC, veja Controlo de Conta de Utilizador.
A tabela seguinte mostra as definições de Política de Grupo e registo que são utilizadas para impor restrições de conta local para acesso remoto.
Não. | Configuração | Descrição Detalhada |
---|---|---|
Localização da política | Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança | |
1 | Nome da política | Controle de Conta de Usuário: Modo de Aprovação de Administrador para a conta de Administrador Interna |
Definição de política | Habilitado | |
2 | Localização da política | Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Opções de Segurança |
Nome da política | Controle de Conta de Usuário: executar todos os administradores no Modo de Aprovação de Administrador | |
Definição de política | Habilitado | |
3 | Chave do Registro | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System |
Nome do valor do registo | LocalAccountTokenFilterPolicy | |
Tipo de valor de registo | DWORD | |
Dados de valor de registo | 0 |
Observação
Também pode impor a predefinição de LocalAccountTokenFilterPolicy ao utilizar o ADMX personalizado em Modelos de Segurança.
Para impor restrições de conta local para acesso remoto
Iniciar a Consola de Gestão do Política de Grupo (GPMC)
Na árvore da consola, expanda <Forest>\Domains<Domain> e, em seguida, Política de Grupo Objetos em que a floresta é o nome da floresta e o domínio é o nome do domínio onde pretende definir o Objeto de Política de Grupo (GPO)
Na árvore da consola, clique com o botão direito do rato em Política de Grupo Objetos > Novos
Na caixa de diálogo Novo GPO, < escreva gpo_name> e >OK onde gpo_name é o nome do novo GPO. O nome do GPO indica que o GPO é utilizado para impedir que os direitos de administrador local sejam transportados para outro computador
No painel de detalhes, clique < com o botão direito do rato em gpo_name> e >Editar
Certifique-se de que o UAC está ativado e que as restrições de UAC se aplicam à conta de Administrador predefinida ao seguir estes passos:
- Navegue para As OpçõesdeSegurança dasDefinições de Segurança das Definições>>> doWindowsConfiguração do Computador>
- Selecione Controlo de Conta de Utilizador: Executar todos os administradores no Modo> de Aprovação AdministraçãoAtivado>OK
- Selecione Controlo de Conta de Utilizador: Administração Modo de Aprovação para a conta> de Administrador IncorporadaAtivada>OK
Certifique-se de que as restrições de conta local são aplicadas às interfaces de rede ao seguir estes passos:
- Navegue para Configuração do Computador\Preferências e Definições do Windows e >Registo
- Clique com o botão direito do rato em Registo e >em Novo>Item de Registo
- Na caixa de diálogo Novas Propriedades do Registo , no separador Geral , altere a definição na caixa Ação para Substituir
- Certifique-se de que a caixa Hive está definida como HKEY_LOCAL_MACHINE
- Selecione (...), navegue para a seguinte localização paraSelecionarCaminho> da Chave para:
SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- Na área Nome do valor , escreva
LocalAccountTokenFilterPolicy
- Na caixa Tipo de valor, na lista pendente, selecione REG_DWORD para alterar o valor
- Na caixa Dados do valor , certifique-se de que o valor está definido como 0
- Verifique esta configuração e >OK
Ligue o GPO à primeira unidade organizacional (UO) das Estações de Trabalho ao fazer o seguinte:
- Navegar para o
*Forest*\<Domains>\*Domain*\*OU*
caminho - Clique com o botão direito do rato em Workstations Link an existing GPO (Ligar estações > de trabalho a um GPO existente)
- Selecione o GPO que criou e >OK
- Navegar para o
Teste a funcionalidade das aplicações empresariais nas estações de trabalho nessa primeira UO e resolve quaisquer problemas causados pela nova política
Criar ligações para todas as outras UOs que contêm estações de trabalho
Criar ligações para todas as outras UOs que contêm servidores
Negar início de sessão de rede a todas as contas de Administrador local
Negar às contas locais a capacidade de executar inícios de sessão de rede pode ajudar a impedir que um hash de palavra-passe de conta local seja reutilizado num ataque malicioso. Este procedimento ajuda a impedir o movimento lateral ao garantir que as credenciais roubadas para contas locais de um sistema operativo comprometido não podem ser utilizadas para comprometer outros computadores que utilizam as mesmas credenciais.
Observação
Para efetuar este procedimento, primeiro tem de identificar o nome da conta de Administrador local predefinida, que pode não ser o nome de utilizador predefinido "Administrador" e quaisquer outras contas que sejam membros do grupo administradores local.
A tabela seguinte mostra as definições de Política de Grupo utilizadas para negar o início de sessão de rede para todas as contas de Administrador local.
Não. | Configuração | Descrição Detalhada |
---|---|---|
Localização da política | Configuração do Computador\Definições do Windows\Definições de Segurança\Políticas Locais\Atribuição de Direitos de Utilizador | |
1 | Nome da política | Negar o acesso a este computador a partir da rede |
Definição de política | Conta local e membro do grupo Administradores | |
2 | Localização da política | Configuração do Computador\Definições do Windows\Definições de Segurança\Políticas Locais\Atribuição de Direitos de Utilizador |
Nome da política | Negar o logon por meio dos Serviços de Área de Trabalho Remota | |
Definição de política | Conta local e membro do grupo Administradores |
Para negar o início de sessão de rede a todas as contas de administrador local
Iniciar a Consola de Gestão do Política de Grupo (GPMC)
Na árvore da consola, expanda <Forest>\Domains<Domain> e, em seguida, Política de Grupo Objetos, em que a floresta é o nome da floresta e o domínio é o nome do domínio onde pretende definir o Objeto de Política de Grupo (GPO)
Na árvore da consola, clique com o botão direito do rato Política de Grupo Objetos e >Em Novo
Na caixa de diálogo Novo GPO, < escreva gpo_name> e, em seguida>, OK onde gpo_name é o nome do novo GPO indica que está a ser utilizado para impedir que as contas administrativas locais iniciem sessão interativamente no computador
No painel de detalhes, clique < com o botão direito do rato em gpo_name> e >Editar
Configure os direitos de utilizador para negar inícios de sessão de rede para contas locais administrativas da seguinte forma:
Navegue para Configuração do Computador\Definições do Windows\Definições de Segurança e >Atribuição de Direitos de Utilizador
Faça duplo clique em Negar acesso a este computador a partir da rede
Selecione Adicionar Utilizador ou Grupo, escreva Conta local e membro do grupo Administradores e >OK
Configure os direitos de utilizador para negar inícios de sessão do Ambiente de Trabalho Remoto (Remote Interactive) para contas locais administrativas da seguinte forma:
Navegue para Configuração do Computador\Políticas\Definições do Windows e Políticas Locais e, em seguida, selecione Atribuição de Direitos de Utilizador
Faça duplo clique em Negar início de sessão através dos Serviços de Ambiente de Trabalho Remoto
Selecione Adicionar Utilizador ou Grupo, escreva Conta local e membro do grupo Administradores e >OK
Ligue o GPO à primeira UO de Estações de Trabalho da seguinte forma:
- Navegue para o < caminho Forest>\Domains<Domain>\UO
- Clique com o botão direito do rato na UO de Estações de Trabalho e >Ligue um GPO existente
- Selecione o GPO que criou e >OK
Teste a funcionalidade das aplicações empresariais nas estações de trabalho nessa primeira UO e resolve quaisquer problemas causados pela nova política
Criar ligações para todas as outras UOs que contêm estações de trabalho
Criar ligações para todas as outras UOs que contêm servidores
Observação
Poderá ter de criar um GPO separado se o nome de utilizador da conta de Administrador predefinida for diferente em estações de trabalho e servidores.
Criar palavras-passe exclusivas para contas locais com direitos administrativos
As palavras-passe devem ser exclusivas por conta individual. Embora seja verdade para contas de utilizador individuais, muitas empresas têm palavras-passe idênticas para contas locais comuns, como a conta de Administrador predefinida. Isto também ocorre quando são utilizadas as mesmas palavras-passe para contas locais durante as implementações do sistema operativo.
As palavras-passe que permanecem inalteradas ou alteradas de forma síncrona para mantê-las idênticas adicionam um risco significativo para as organizações. A aleatorização das palavras-passe mitiga ataques "pass-the-hash" ao utilizar palavras-passe diferentes para contas locais, o que dificulta a capacidade de utilizadores maliciosos utilizarem hashes de palavras-passe dessas contas para comprometer outros computadores.
As palavras-passe podem ser aleatórias por:
- Comprar e implementar uma ferramenta empresarial para realizar esta tarefa. Estas ferramentas são frequentemente referidas como ferramentas de "gestão de palavras-passe privilegiadas"
- Configurar a Solução de Palavra-passe de Administrador Local (LAPS) para realizar esta tarefa
- Criar e implementar um script personalizado ou uma solução para aleatorizar palavras-passe de conta local