Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Os sistemas operacionais Windows Server são instalados com contas locais padrão. Além disso, você pode criar contas de usuário para atender aos requisitos da sua organização.
Este artigo de referência descreve as contas locais padrão do Windows Server armazenadas localmente no controlador de domínio e usadas no Ative Directory. Ele não descreve contas de usuário locais padrão para um membro, servidor autônomo ou cliente Windows. Para obter mais informações, consulte Contas locais.
Contas locais padrão no Ative Directory
As contas locais padrão são contas internas que são criadas automaticamente quando um controlador de domínio do Windows Server é instalado e o domínio é criado. Essas contas locais padrão têm contrapartidas no Ative Directory. Eles também têm acesso em todo o domínio e são completamente separados das contas de usuário local padrão para um membro ou servidor autônomo.
Você pode atribuir direitos e permissões a contas locais padrão em um controlador de domínio específico e somente nesse controlador de domínio. Essas contas são locais para o domínio. Depois que as contas locais padrão são instaladas, elas são armazenadas no contêiner Usuários e Computadores do Ative Directory. É uma prática recomendada manter as contas locais padrão no contêiner Usuário e não tentar mover essas contas para, por exemplo, uma unidade organizacional (UO) diferente.
As contas locais padrão no contêiner Usuários incluem: Administrador, Convidado e KRBTGT. A conta HelpAssistant é instalada quando uma sessão de Assistência Remota é estabelecida. As seções a seguir descrevem as contas locais padrão e seu uso no Ative Directory.
As contas locais padrão executam as seguintes ações:
Permita que o domínio represente, identifique e autentique a identidade do usuário atribuído à conta usando credenciais exclusivas (nome de usuário e senha). É uma prática recomendada atribuir a cada usuário uma única conta para garantir a máxima segurança. Vários usuários não têm permissão para compartilhar uma conta. Uma conta de usuário permite que um usuário entre em computadores, redes e domínios com um identificador exclusivo que pode ser autenticado pelo computador, rede ou domínio.
Autorizar (conceder ou negar) acesso aos recursos. Depois que as credenciais de um usuário forem autenticadas, ele será autorizado a acessar os recursos de rede e domínio com base nos direitos explicitamente atribuídos pelo usuário no recurso.
Audite as ações que são realizadas nas contas de usuário.
No Ative Directory, os administradores usam contas locais padrão para gerenciar servidores de domínio e membros diretamente e de estações de trabalho administrativas dedicadas. As contas do Ative Directory fornecem acesso aos recursos da rede. Ative Directory As contas de usuário e de computador podem representar uma entidade física, como um computador ou pessoa, ou atuar como contas de serviço dedicadas para alguns aplicativos.
Cada conta local padrão é atribuída automaticamente a um grupo de segurança pré-configurado com os direitos e permissões apropriados para executar tarefas específicas. Os grupos de segurança do Ative Directory coletam contas de usuário, contas de computador e outros grupos em unidades gerenciáveis. Para obter mais informações, consulte Grupos de segurança do Ative Directory.
Em um controlador de domínio do Ative Directory, cada conta local padrão é chamada de entidade de segurança. Uma entidade de segurança é um objeto de diretório usado para proteger e gerenciar serviços do Ative Directory que fornecem acesso aos recursos do controlador de domínio. Uma entidade de segurança inclui objetos como contas de usuário, contas de computador, grupos de segurança ou os threads ou processos executados no contexto de segurança de uma conta de usuário ou computador. Para obter mais informações, consulte Entidades de segurança.
Uma entidade de segurança é representada por um identificador de segurança exclusivo (SID). Os SIDs relacionados a cada uma das contas locais padrão no Ative Directory são descritos nas próximas seções.
Algumas das contas locais padrão são protegidas por um processo em segundo plano que verifica e aplica periodicamente um descritor de segurança específico. Um descritor de segurança é uma estrutura de dados que contém informações de segurança associadas a um objeto protegido. Esse processo garante que qualquer tentativa não autorizada bem-sucedida de modificar o descritor de segurança em uma das contas ou grupos locais padrão seja substituída pelas configurações protegidas.
Este descritor de segurança está presente no objeto AdminSDHolder. Se desejar modificar as permissões em um dos grupos de administradores de serviço ou em qualquer uma de suas contas de membro, modifique o descritor de segurança no objeto AdminSDHolder para garantir que ele seja aplicado de forma consistente. Tenha cuidado ao fazer essas modificações, porque você também está alterando as configurações padrão que são aplicadas a todas as suas contas protegidas.
Conta de administrador
Uma conta de Administrador é uma conta predefinida que é utilizada em todas as versões do sistema operativo Windows em todos os computadores e dispositivos. A conta Administrador é usada pelo administrador do sistema para tarefas que exigem credenciais administrativas. Essa conta não pode ser excluída ou bloqueada, mas pode ser renomeada ou desativada.
A conta de Administrador dá ao usuário acesso completo (permissões de Controle Total) aos arquivos, diretórios, serviços e outros recursos que estão nesse servidor local. Você pode usar a conta de administrador para criar usuários locais e atribuir direitos de usuário e permissões de controle de acesso. Você também pode usar a conta para assumir o controle dos recursos locais a qualquer momento, simplesmente alterando os direitos e permissões do usuário. Embora os arquivos e diretórios possam ser protegidos da conta de Administrador temporariamente, a conta pode assumir o controle desses recursos a qualquer momento, alterando as permissões de acesso.
Filiação em grupos de contas
A conta de Administrador é membro dos grupos de segurança padrão, conforme descrito na tabela Atributos da conta de Administrador mais adiante neste artigo.
Os grupos de segurança garantem que você possa controlar os direitos de administrador sem ter que alterar cada conta de administrador. Na maioria dos casos, não é necessário alterar as configurações básicas dessa conta. No entanto, talvez seja necessário alterar suas configurações avançadas, como associação a grupos específicos.
Considerações de segurança
Após a instalação do sistema operacional do servidor, sua primeira tarefa é configurar as propriedades da conta de administrador com segurança. Isso inclui configurar uma senha especialmente longa e forte e proteger as configurações de perfil do Controle remoto e dos Serviços de Área de Trabalho Remota.
A conta de Administrador também pode ser desativada quando não é necessária. Renomear ou desativar a conta de Administrador torna mais difícil para usuários mal-intencionados tentarem obter acesso à conta. No entanto, mesmo quando a conta de administrador está desativada, ela ainda pode ser usada para obter acesso a um controlador de domínio usando o modo de segurança.
Em um controlador de domínio, a conta de administrador torna-se a conta de administrador de domínio. A conta de Administrador de Domínio é utilizada para iniciar sessão no controlador de domínio e esta conta requer uma palavra-passe forte. A conta de administrador de domínio dá-lhe acesso aos recursos do domínio.
Observação
Quando o controlador de domínio é instalado inicialmente, você pode entrar e usar o Gerenciador do Servidor para configurar uma conta de Administrador local, com os direitos e permissões que deseja atribuir. Por exemplo, você pode usar uma conta de administrador local para gerenciar o sistema operacional quando instalá-lo pela primeira vez. Usando essa abordagem, você pode configurar o sistema operacional sem ficar bloqueado. Geralmente, você não precisa usar a conta após a instalação. Você pode criar contas de usuário locais no controlador de domínio somente antes da instalação dos Serviços de Domínio Ative Directory, e não depois.
Quando o Ative Directory é instalado no primeiro controlador de domínio do domínio, a conta de Administrador é criada para o Ative Directory. A conta de administrador é a conta mais poderosa do domínio. É concedido acesso ao domínio inteiro e direitos administrativos para gerir o computador e o domínio, possuindo os direitos e permissões mais amplos sobre o domínio. A pessoa que instala os Serviços de Domínio Ative Directory no computador cria a senha para essa conta durante a instalação.
Atributos da conta de administrador
| Atributo | Valor |
|---|---|
| Bem conhecido SID/RID | S-1-5-<domain>-500 |
| Tipo | Utilizador |
| Contêiner padrão | CN=Utilizadores, DC=<domain>, DC= |
| Membros padrão | N/A |
| Membro padrão do | Administradores, Administradores de Domínio, Administradores Empresariais, Utilizadores de Domínio (o ID de Grupo Principal de todas as contas de utilizador é Utilizadores de Domínio) Proprietários do Criador de Políticas de Grupo e Administradores do Esquema no grupo de Usuários do Domínio do Active Directory |
| Protegido por AdminSdHolder? | Sim |
| É seguro sair do contentor padrão? | Sim |
| É seguro delegar o gerenciamento desse grupo a administradores que não são de serviço? | Não |
Conta de convidado
A conta Convidado é uma conta local padrão que tem acesso limitado ao computador e está desabilitada por padrão. Por padrão, a senha da conta de convidado é deixada em branco. Uma senha em branco permite que a conta de convidado seja acessada sem exigir que o usuário insira uma senha.
A conta Convidado permite que usuários ocasionais ou únicos, que não têm uma conta individual no computador, entrem no servidor ou domínio local com direitos e permissões restritos. A conta Convidado pode ser ativada e a palavra-passe pode ser configurada, se necessário, mas apenas por um membro do grupo Administrador no domínio.
Associação ao grupo de contas de convidado
A conta Convidado é membro dos grupos de segurança padrão descritos na tabela de atributos da conta de convidado a seguir. Por padrão, a conta Convidado é o único membro do grupo padrão Convidados, que permite que um usuário entre em um servidor, e o grupo global Convidados do Domínio, que permite que um usuário entre em um domínio.
Um membro do grupo Administradores ou do grupo Administradores do Domínio pode configurar um utilizador com uma conta de Convidado num ou mais computadores.
Considerações sobre a segurança da conta de convidado
Como a conta Convidado pode fornecer acesso anônimo, é um risco de segurança. Tem também um SID bem conhecido. Por esse motivo, é uma prática recomendada deixar a conta de convidado desativada, a menos que seu uso seja necessário e, em seguida, apenas com direitos e permissões restritos por um período de tempo muito limitado.
Quando a conta de convidado é necessária, um administrador no controlador de domínio é necessário para habilitar a conta de convidado. A conta de convidado pode ser ativada sem exigir uma senha ou pode ser ativada com uma senha forte. O Administrador também concede direitos e permissões restritos para a conta de Convidado. Para ajudar a impedir o acesso não autorizado:
Não conceda à conta de convidado o direito de usuário Desligar o sistema . Quando um computador é desligado ou inicializado, é possível que um usuário convidado ou qualquer pessoa com acesso local, como um usuário mal-intencionado, possa obter acesso não autorizado ao computador.
Não forneça à conta de convidado a capacidade de visualizar os logs de eventos. Depois que a conta de convidado estiver habilitada, é uma prática recomendada monitorar essa conta com frequência para garantir que outros usuários não possam usar serviços e outros recursos, como recursos que foram deixados involuntariamente disponíveis por um usuário anterior.
Não use a conta Convidado quando o servidor tiver acesso à rede externa ou a outros computadores.
Se decidir ativar a conta de convidado, certifique-se de que restringe a sua utilização e de altera a palavra-passe regularmente. Tal como acontece com a conta de Administrador, poderá pretender mudar o nome da conta como precaução de segurança adicional.
Além disso, um administrador é responsável por gerenciar a conta de convidado. O administrador monitoriza a conta de Convidado, desativa a conta de Convidado quando já não está a ser utilizada e altera ou remove a palavra-passe conforme necessário.
Para obter detalhes sobre os atributos da conta de convidado, consulte a tabela a seguir:
Atributos da conta de convidado
| Atributo | Valor |
|---|---|
| Bem conhecido SID/RID | S-1-5-<domain>-501 |
| Tipo | Utilizador |
| Contêiner padrão | CN=Utilizadores, DC=<domain>, DC= |
| Membros padrão | Nenhum |
| Membro padrão do | Convidados, Hóspedes do Domínio |
| Protegido por AdminSdHolder? | Não |
| É seguro sair do contentor padrão? | Pode ser removido, mas não o recomendamos. |
| É seguro delegar a gestão deste grupo a administradores que não são administradores de serviços? | Não |
Conta HelpAssistant (instalada com uma sessão de Assistência Remota)
A conta do HelpAssistant é uma conta local padrão que é habilitada quando uma sessão de Assistência Remota é executada. Esta conta é automaticamente desativada quando não há pedidos de Assistência Remota pendentes.
O HelpAssistant é a conta principal usada para estabelecer uma sessão de Assistência Remota. A sessão de Assistência Remota é utilizada para ligar a outro computador com o sistema operativo Windows e é iniciada por convite. Para assistência remota solicitada, um usuário envia um convite de seu computador, por e-mail ou como um arquivo, para uma pessoa que pode fornecer assistência. Depois que o convite do usuário para uma sessão de Assistência Remota for aceito, a conta padrão do Assistente de Ajuda será criada automaticamente para dar à pessoa que fornece assistência acesso limitado ao computador. A conta HelpAssistant é gerida pelo serviço Gestor de Sessão de Ajuda do Ambiente de Trabalho Remoto.
Considerações de segurança do HelpAssistant
Os SIDs que pertencem à conta padrão do HelpAssistant incluem:
SID: S-1-5-
<domain>-13, nome de exibição Usuário do Terminal Server. Este grupo inclui todos os utilizadores que iniciam sessão num servidor com os Serviços de Ambiente de Trabalho Remoto ativados. No Windows Server 2008, os Serviços de Área de Trabalho Remota são chamados de Serviços de Terminal.SID: S-1-5-
<domain>-14, nome de exibição Remote Interactive Logon. Esse grupo inclui todos os usuários que se conectam ao computador usando uma conexão de área de trabalho remota. Este grupo é um subconjunto do grupo Interativo. Os tokens de acesso que contêm o SID de Logon Interativo Remoto também contêm o SID Interativo.
Para o sistema operacional Windows Server, a Assistência Remota é um componente opcional que não é instalado por padrão. Tem de instalar a Assistência Remota antes de a poder utilizar.
Para obter detalhes sobre os atributos da conta do HelpAssistant, consulte a tabela a seguir:
Atributos da conta do HelpAssistant
| Atributo | Valor |
|---|---|
| Bem conhecido SID/RID | S-1-5-<domain>-13 (Usuário do Terminal Server), S-1-5-<domain>-14 (Logon Interativo Remoto) |
| Tipo | Utilizador |
| Contêiner padrão | CN=Utilizadores, DC=<domain>, DC= |
| Membros padrão | Nenhum |
| Membro padrão do | Convidados do Domínio Convidados |
| Protegido por AdminSdHolder? | Não |
| É seguro sair do contentor padrão? | Pode ser removido, mas não o recomendamos. |
| É seguro delegar a gestão deste grupo a administradores que não são administradores de serviços? | Não |
Conta KRBTGT
A conta KRBTGT é uma conta padrão local que atua como uma conta de serviço para o serviço Centro de Distribuição de Chaves (KDC - Key Distribution Center). Essa conta não pode ser excluída e o nome da conta não pode ser alterado. A conta KRBTGT não pode ser ativada no Ative Directory.
KRBTGT também é o nome principal de segurança usado pelo KDC para um domínio do Windows Server, conforme especificado pela RFC 4120. A conta KRBTGT é referente ao principal de segurança KRBTGT e é criada automaticamente quando um novo domínio é criado.
A autenticação Kerberos do Windows Server é conseguida através do uso de um bilhete de concessão de bilhetes Kerberos (TGT) especial, cifrado com uma chave simétrica. Essa chave é derivada da senha do servidor ou serviço ao qual o acesso é solicitado. A senha TGT da conta KRBTGT é conhecida apenas pelo serviço Kerberos. Para solicitar um bilhete de sessão, o utilizador deve apresentar o TGT ao KDC. O Ticket de Concessão de Serviços (TGT) é emitido para o cliente Kerberos do KDC.
Considerações sobre a manutenção da conta KRBTGT
Uma palavra-passe forte é atribuída automaticamente ao KRBTGT e às contas fiduciárias. Você deve alterar essas senhas em um cronograma regular, como faria com qualquer conta de serviço privilegiada. A senha da conta KDC é usada para derivar uma chave secreta para criptografar e descriptografar as solicitações TGT que são emitidas. A senha de uma conta confiável de domínio é usada para derivar uma chave entre reinos para criptografar tíquetes de referência.
Para redefinir a senha, você precisa ser membro do grupo Administradores do Domínio ou receber a autoridade apropriada. Além disso, você deve ser membro do grupo Administradores local ou receber a autoridade apropriada.
Depois de redefinir a senha KRBTGT, verifique se a ID de evento 9 na fonte de eventos Key-Distribution-Center (Kerberos) está gravada no log de eventos do sistema.
Considerações sobre a segurança da conta KRBTGT
Também é uma prática recomendada redefinir a senha da conta KRBTGT para evitar que um controlador de domínio recém-restaurado seja replicado por um controlador de domínio comprometido. Nesse caso, em uma recuperação de floresta grande espalhada por vários locais, você não pode garantir que todos os controladores de domínio sejam desligados e, se forem desligados, que não possam ser reinicializados novamente antes que todas as etapas de recuperação apropriadas sejam executadas. Depois de redefinir a conta KRBTGT, outro controlador de domínio não pode replicar essa senha de conta usando uma senha antiga.
Uma organização que suspeite de comprometimento do domínio da conta KRBTGT deve considerar o uso de serviços profissionais de resposta a incidentes. O impacto para restaurar a propriedade da conta é abrangente, intenso em termos de trabalho, e deve ser realizado como parte de um maior esforço de recuperação.
A senha KRBTGT é a chave da qual dependem todas as cadeias de confiança do Kerberos. Redefinir a senha KRBTGT é semelhante a renovar o certificado de autoridade de certificação raiz com uma nova chave e imediatamente não confiar na chave antiga, resultando em quase todas as operações Kerberos subsequentes sendo afetadas.
Para todos os tipos de conta (utilizadores, computadores e serviços):
Todos os TGTs já emitidos e distribuídos serão inválidos porque os DCs os rejeitarão. Esses bilhetes são criptografados com o KRBTGT para que qualquer DC possa validá-los. Quando a senha muda, os bilhetes se tornam inválidos.
Todas as sessões autenticadas atualmente que os usuários conectados estabeleceram (com base em seus tíquetes de serviço) para um recurso (como um compartilhamento de arquivos, site do SharePoint ou servidor Exchange) são válidas até que o tíquete de serviço seja necessário para autenticar novamente.
As conexões autenticadas NTLM não são afetadas.
Como é impossível prever os erros específicos que ocorrerão para qualquer usuário em um determinado ambiente operacional de produção, você deve assumir que todos os computadores e usuários serão afetados.
Importante
Reinicializar um computador é a única maneira confiável de recuperar a funcionalidade, porque isso fará com que a conta do computador e as contas de usuário entrem novamente. Iniciar sessão novamente irá solicitar novos TGTs que sejam válidos com o novo KRBTGT, o que corrigirá quaisquer problemas operacionais relacionados com o KRBTGT nesse computador.
Controladores de domínio somente leitura e a conta KRBTGT
O RODC é anunciado como o Centro de Distribuição de Chaves (KDC) para a filial. O RODC utiliza uma conta KRBTGT e uma palavra-passe diferentes daquelas do KDC em um controlador de domínio gravável quando assina ou encripta solicitações TGT. Depois que uma conta é autenticada com êxito, o RODC determina se as credenciais de um usuário ou de um computador podem ser replicadas do controlador de domínio gravável para o RODC usando a Política de Replicação de Senha.
Depois que as credenciais são armazenadas em cache no RODC, o RODC pode aceitar as solicitações de entrada do usuário até que as credenciais sejam alteradas. Quando um TGT é assinado com a conta KRBTGT do RODC, o RODC reconhece que tem uma cópia em cache das credenciais. Se outro controlador de domínio assinar o TGT, o RODC irá encaminhar as solicitações para um controlador de domínio gravável.
Atributos da conta KRBTGT
Para obter detalhes sobre os atributos da conta KRBTGT, consulte a tabela a seguir:
| Atributo | Valor |
|---|---|
| Bem conhecido SID/RID | S-1-5-<domain>-502 |
| Tipo | Utilizador |
| Contêiner padrão | CN=Utilizadores, DC=<domain>, DC= |
| Membros padrão | Nenhum |
| Membro padrão do | Grupo Usuários do Domínio. (O ID de Grupo Principal de todas as contas de usuário é Usuários do Domínio.) |
| Protegido por AdminSdHolder? | Sim |
| É seguro sair do contentor padrão? | Pode ser removido, mas não o recomendamos. |
| É seguro delegar a gestão deste grupo a administradores que não são administradores de serviços? | Não |
Configurações para contas locais padrão no Ative Directory
Cada conta local padrão no Ative Directory tem várias configurações de conta que você pode usar para definir configurações de senha e informações específicas de segurança, conforme descrito na tabela a seguir:
| Configuração da conta | Descrição |
|---|---|
| O usuário deve alterar a senha no próximo logon | Força uma alteração de senha na próxima vez que o usuário entrar na rede. Use esta opção quando quiser garantir que o usuário seja a única pessoa que sabe sua senha. |
| O utilizador não pode alterar a palavra-passe | Impede que o usuário altere a senha. Use essa opção quando quiser manter o controle sobre uma conta de usuário, como uma conta de convidado ou temporária. |
| A palavra-passe nunca expira | Impede que uma senha de usuário expire. É uma prática recomendada habilitar essa opção com contas de serviço e usar senhas fortes. |
| Armazene senhas usando criptografia reversível | Fornece suporte para aplicativos que usam protocolos que exigem conhecimento da forma de texto sem formatação da senha do usuário para fins de autenticação. Essa opção é necessária quando você estiver usando o CHAP (Challenge Handshake Authentication Protocol) nos Serviços de Autenticação da Internet (IAS) e quando estiver usando a autenticação digest no IIS (Serviços de Informações da Internet). |
| A conta está desativada | Impede que o usuário entre com a conta selecionada. Como administrador, você pode usar contas desabilitadas como modelos para contas de usuário comuns. |
| O cartão inteligente é necessário para o logon interativo | Requer que um usuário tenha um cartão inteligente para entrar na rede interativamente. O usuário também deve ter um leitor de cartão inteligente conectado ao seu computador e um número de identificação pessoal (PIN) válido para o cartão inteligente. Quando esse atributo é aplicado na conta, o efeito é o seguinte: |
| A conta é confiável para delegação | Permite que um serviço executado sob essa conta execute operações em nome de outras contas de usuário na rede. Um serviço executado sob uma conta de usuário (também conhecida como conta de serviço) confiável para delegação pode representar um cliente para obter acesso a recursos, seja no computador onde o serviço está sendo executado ou em outros computadores. Por exemplo, em uma floresta definida para o nível funcional do Windows Server 2003, essa configuração é encontrada na guia Delegação. Ele está disponível apenas para contas às quais foram atribuídos SPNs (nomes principais de serviço), que são definidos usando o setspn comando das Ferramentas de Suporte do Windows. Essa configuração é sensível à segurança e deve ser atribuída com cautela. |
| A conta é confidencial e não pode ser delegada | Dá controle sobre uma conta de usuário, como uma conta de convidado ou uma conta temporária. Esta opção pode ser utilizada se esta conta não puder ser atribuída para delegação por outra conta. |
| Usar tipos de criptografia DES para esta conta | Fornece suporte para o Data Encryption Standard (DES). O DES suporta vários níveis de encriptação, incluindo Microsoft Point-to-Point Encryption (MPPE) Standard (40 bits e 56 bits), MPPE standard (56 bits), MPPE Strong (128 bits), Internet Protocol Security (IPSec) DES (40 bits), IPSec 56-bit DES e IPSec Triple DES (3DES). |
| Não requer pré-autenticação Kerberos | Fornece suporte para implementações alternativas do protocolo Kerberos. Como a pré-autenticação fornece segurança adicional, tenha cuidado ao ativar essa opção. Os controladores de domínio que executam o Windows 2000 ou o Windows Server 2003 podem usar outros mecanismos para sincronizar o tempo. |
Observação
O DES não está habilitado por padrão nos sistemas operacionais Windows Server (a partir do Windows Server 2008 R2) ou nos sistemas operacionais cliente Windows (a partir do Windows 7). Para esses sistemas operacionais, os computadores não usarão DES-CBC-MD5 ou DES-CBC-CRC pacotes de codificação por padrão. Se o seu ambiente requer DES, essa configuração pode afetar a compatibilidade com computadores clientes ou serviços e aplicativos em seu ambiente.
Para mais informações, consulte Como Vencer o DES para Implementar Kerberos com Segurança.
Gerir contas locais padrão no Active Directory
Depois que as contas locais padrão são instaladas, essas contas residem no contêiner Usuários e Computadores do Ative Directory. Você pode criar, desativar, redefinir e excluir contas locais padrão usando o Console de Gerenciamento Microsoft (MMC) de Usuários e Computadores do Active Directory e ferramentas de linha de comando.
Você pode usar Usuários e Computadores do Ative Directory para atribuir direitos e permissões em um controlador de domínio local especificado, e somente nesse controlador de domínio, para limitar a capacidade de usuários e grupos locais executarem determinadas ações. Um direito autoriza um usuário a executar determinadas ações em um computador, como fazer backup de arquivos e pastas ou desligar um computador. Por outro lado, uma permissão de acesso é uma regra associada a um objeto, geralmente um arquivo, pasta ou impressora, que regula quais usuários podem ter acesso ao objeto e de que maneira.
Para obter mais informações sobre como criar e gerenciar contas de usuário locais no Ative Directory, consulte Gerenciar usuários locais.
Você também pode usar Usuários e Computadores do Ative Directory em um controlador de domínio para direcionar computadores remotos que não são controladores de domínio na rede.
Você pode obter recomendações da Microsoft para configurações de controlador de domínio que você pode distribuir usando a ferramenta Security Compliance Manager (SCM). Para obter mais informações, consulte Microsoft Security Compliance Manager.
Algumas das contas de usuário local padrão são protegidas por um processo em segundo plano que verifica e aplica periodicamente um descritor de segurança específico, que é uma estrutura de dados que contém informações de segurança associadas a um objeto protegido. Este descritor de segurança está presente no objeto AdminSDHolder.
Isso significa que, quando você deseja modificar as permissões em um grupo de administradores de serviço ou em qualquer uma de suas contas de membro, também é necessário modificar o descritor de segurança no objeto AdminSDHolder. Essa abordagem garante que as permissões sejam aplicadas de forma consistente. Tenha cuidado ao fazer essas modificações, pois essa ação também pode afetar as configurações padrão que são aplicadas a todas as suas contas administrativas protegidas.
Restrinja e proteja contas de domínio confidenciais
Restringir e proteger contas de domínio em seu ambiente de domínio exige que você adote e implemente a seguinte abordagem de práticas recomendadas:
Limite estritamente a associação aos grupos Administradores, Administradores de Domínio e Administradores de Empresa.
Controle rigorosamente onde e como as contas de domínio são usadas.
As contas de membro nos grupos Administradores, Administradores de Domínio e Administradores de Empresa em um domínio ou floresta são alvos de alto valor para usuários mal-intencionados. Para limitar qualquer exposição, é uma prática recomendada limitar estritamente a associação a esses grupos de administradores ao menor número de contas. Restringir a associação a esses grupos reduz a possibilidade de que um administrador possa usar involuntariamente essas credenciais, criando uma vulnerabilidade que usuários mal-intencionados podem explorar.
Além disso, é uma prática recomendada controlar rigorosamente onde e como as contas de domínio confidenciais são usadas. Restrinja o uso de contas de Administradores de Domínio e outras contas de Administrador para impedir que elas sejam usadas para entrar em sistemas de gerenciamento e estações de trabalho protegidos no mesmo nível dos sistemas gerenciados. Quando as contas de administrador não são restritas dessa maneira, cada estação de trabalho a partir da qual um administrador de domínio entra fornece outro local que usuários mal-intencionados podem explorar.
A implementação dessas práticas recomendadas é separada nas seguintes tarefas:
- Separe as contas de administrador das contas de usuário
- Restringir o acesso de entrada do administrador a servidores e estações de trabalho
- Desativar o direito de delegação de conta para contas confidenciais de Administrador
Para fornecer instâncias em que os desafios de integração com o ambiente de domínio são esperados, cada tarefa é descrita de acordo com os requisitos para uma implementação mínima, melhor e ideal. Como acontece com todas as alterações significativas em um ambiente de produção, certifique-se de testar essas alterações completamente antes de implementá-las e implantá-las. Em seguida, prepare a implantação de forma a permitir uma reversão da alteração se ocorrerem problemas técnicos.
Separe as contas de administrador das contas de usuário
Restrinja as contas de Administradores de Domínio e outras contas confidenciais para impedir que sejam usadas para entrar em servidores e estações de trabalho de menor confiança. Restrinja e proteja as contas de Administrador segregando as contas de Administrador das contas de usuário padrão, separando as tarefas administrativas de outras tarefas e limitando o uso dessas contas. Crie contas dedicadas para o pessoal administrativo que requer credenciais de administrador para executar tarefas administrativas específicas e, em seguida, crie contas separadas para outras tarefas de usuário padrão, de acordo com as seguintes diretrizes:
Conta privilegiada: aloque contas de administrador apenas para executar as seguintes tarefas administrativas:
Mínimo: crie contas separadas para administradores de domínio, administradores empresariais ou equivalentes, com direitos de administrador apropriados no domínio ou floresta. Use contas às quais foram concedidos direitos confidenciais de administrador apenas para administrar dados de domínio e controladores de domínio.
Melhor: crie contas separadas para administradores que tenham direitos administrativos reduzidos, como contas para administradores de estações de trabalho e contas com direitos de usuário sobre unidades organizacionais (OUs) designadas do Ative Directory.
Ideal: crie várias contas separadas para um administrador que tenha várias responsabilidades de trabalho que exijam diferentes níveis de confiança. Configure cada conta de Administrador com diferentes direitos de usuário, como administração de estação de trabalho, administração de servidor e administração de domínio, para permitir que o administrador entre em estações de trabalho, servidores e controladores de domínio especificados com base estritamente em suas responsabilidades de trabalho.
Conta de usuário padrão: conceda direitos de usuário padrão para tarefas de usuário padrão, como email, navegação na Web e uso de aplicativos de linha de negócios (LOB). Essas contas não devem receber direitos de administrador.
Importante
Certifique-se de que as contas confidenciais de Administrador não podem aceder ao correio eletrónico ou navegar na Internet, conforme descrito na secção seguinte.
Para saber mais sobre acesso privilegiado, consulte Dispositivos de acesso privilegiado.
Restringir o acesso de entrada do administrador a servidores e estações de trabalho
É uma prática recomendada impedir que os administradores usem contas confidenciais de Administrador para entrar em servidores e estações de trabalho de baixa confiança. Essa restrição impede que os administradores aumentem inadvertidamente o risco de roubo de credenciais entrando em um computador de baixa confiança.
Importante
Certifique-se de que tem acesso local ao controlador de domínio ou de que criou pelo menos uma estação de trabalho administrativa dedicada.
Restrinja o acesso de entrada a servidores e estações de trabalho de baixa confiança usando as seguintes diretrizes:
Mínimo: Restrinja os administradores de domínio de terem acesso de entrada a servidores e estações de trabalho. Antes de iniciar este procedimento, identifique todas as UOs no domínio que contêm estações de trabalho e servidores. Os computadores nas OUs que não forem identificados não restringirão os administradores com contas confidenciais de entrarem neles.
Melhor: Restrinja os administradores de domínio de servidores e estações de trabalho que não sejam controladores de domínio.
Ideal: Impedir que os administradores de servidor entrem em estações de trabalho, além dos administradores de domínio.
Observação
Para este procedimento, não vincule contas à UO que contenham estações de trabalho para administradores que executam apenas tarefas administrativas e não forneça acesso à Internet ou a email.
Para restringir os administradores de domínio em estações de trabalho (mínimo)
Como administrador de domínio, abra o GPMC (Console de Gerenciamento de Diretiva de Grupo).
Abra o Gerenciamento de Política de Grupo e expanda a <floresta>\Domínios\
<domain>.Clique com o botão direito do mouse em Objetos de Diretiva de Grupo e selecione Novo.
Na janela Novo GPO, nomeie o GPO que restringe os administradores de entrar em estações de trabalho e selecione OK.
Clique com o botão direito do mouse em Novo GPO e selecione Editar.
Configure os direitos de usuário para negar o login localmente para administradores de domínio.
Selecione Configuração do Computador>Políticas>Definições do Windows>Políticas Locais, selecione Atribuição de Direitos de Utilizador e, em seguida, faça o seguinte:
Clique duas vezes em Negar logon localmente e selecione Definir estas configurações de política.
Selecione Adicionar Usuário ou Grupo, selecione Procurar, digite Administradores Corporativos e selecione OK.
Selecione Adicionar Usuário ou Grupo, selecione Procurar, digite Administradores de Domínio e selecione OK.
Sugestão
Opcionalmente, você pode adicionar quaisquer grupos que contenham administradores de servidor que você deseja restringir de entrar em estações de trabalho.
Observação
A conclusão desta etapa pode causar problemas com tarefas de administrador executadas como tarefas agendadas ou serviços com contas no grupo Administradores do Domínio. A prática de usar contas de administrador de domínio para executar serviços e tarefas em estações de trabalho cria um risco significativo de ataques de roubo de credenciais e, portanto, deve ser substituída por meios alternativos para executar tarefas ou serviços agendados.
d. Selecione OK para concluir a configuração.
Vincule o GPO à primeira UO de estações de trabalho. Vá para o <no caminho da floresta>\Domains\
<domain>\OU e depois faça o seguinte:a) Clique com o botão direito do mouse na UO da estação de trabalho e selecione Vincular um GPO existente.
b) Selecione o GPO que você acabou de criar e, em seguida, selecione OK.
Teste a funcionalidade de aplicativos corporativos em estações de trabalho na primeira UO e resolva quaisquer problemas causados pela nova política.
Vincule todas as outras UOs que contêm estações de trabalho.
No entanto, não crie um link para a UO Estação de Trabalho Administrativa se ela for destinada exclusivamente a estações de trabalho administrativas, dedicadas apenas a tarefas administrativas, sem acesso à Internet ou ao email.
Importante
Se você estender essa solução posteriormente, não negue direitos de entrada para o grupo Usuários do Domínio. O grupo Usuários do Domínio inclui todas as contas de usuário no domínio, incluindo Usuários, Administradores de Domínio e Administradores Corporativos.
Desativar o direito de delegação de conta para contas confidenciais de Administrador
Embora as contas de usuário não estejam marcadas para delegação por padrão, as contas em um domínio do Ative Directory podem ser confiáveis para delegação. Isso significa que um serviço ou computador confiável para delegação pode se passar por uma conta que se autentica nele para acessar outros recursos na rede.
Para contas confidenciais, como aquelas pertencentes a membros dos grupos Administradores, Administradores de Domínio ou Administradores de Empresa no Ative Directory, a delegação pode representar um risco substancial de escalonamento de direitos. Por exemplo, se uma conta no grupo Administradores do Domínio for usada para entrar em um servidor membro comprometido confiável para delegação, esse servidor poderá solicitar acesso a recursos no contexto da conta Administradores do Domínio e escalar o comprometimento desse servidor membro para um comprometimento de domínio.
É uma prática recomendada configurar os objetos de usuário para todas as contas confidenciais no Ative Directory marcando a caixa de seleção Conta é confidencial e não pode ser delegada em Opções de conta para impedir que as contas sejam delegadas. Para obter mais informações, consulte Configurações para contas locais padrão no Ative Directory.
Como acontece com qualquer alteração de configuração, teste essa configuração habilitada totalmente para garantir que ela seja executada corretamente antes de implementá-la.
Proteja e gerencie controladores de domínio
É uma prática recomendada impor estritamente restrições aos controladores de domínio em seu ambiente. Isso garante que os controladores de domínio:
- Execute apenas o software necessário.
- Exija que o software seja atualizado regularmente.
- Estão configurados com as configurações de segurança apropriadas.
Um aspeto da proteção e do gerenciamento de controladores de domínio é garantir que as contas de usuário locais padrão estejam totalmente protegidas. É de importância primordial restringir e proteger todas as contas de domínio confidenciais, conforme descrito nas seções anteriores.
Como os controladores de domínio armazenam hashes de senha de credenciais de todas as contas no domínio, eles são alvos de alto valor para usuários mal-intencionados. Quando os controladores de domínio não são bem gerenciados e protegidos usando restrições que são rigorosamente aplicadas, eles podem ser comprometidos por usuários mal-intencionados. Por exemplo, um usuário mal-intencionado pode roubar credenciais confidenciais de administrador de domínio de um controlador de domínio e, em seguida, usar essas credenciais para atacar o domínio e a floresta.
Além disso, os aplicativos instalados e os agentes de gerenciamento em controladores de domínio podem fornecer um caminho para a escalada de direitos que usuários mal-intencionados podem usar para comprometer o serviço de gerenciamento ou os administradores desse serviço. As ferramentas e serviços de gerenciamento que sua organização usa para gerenciar controladores de domínio e seus administradores são igualmente importantes para a segurança dos controladores de domínio e das contas de Administrador de domínio. Certifique-se de que esses serviços e administradores estejam totalmente protegidos com o mesmo esforço.