Contas do Active Directory
Aplicável ao
- Windows Server 2016
Os sistemas operacionais Windows Server são instalados com contas locais padrão. Além disso, você pode criar contas de usuário para atender aos requisitos da sua organização. Este tópico de referência para o profissional de TI descreve as contas locais padrão do Windows Server que são armazenadas localmente no controlador de domínio e são usadas no Active Directory.
Este tópico de referência não descreve as contas de usuário locais padrão para um membro ou servidor autônomo ou para um cliente Windows. Para obter mais informações, consulte Contas Locais.
Sobre este tópico
Este tópico descreve o seguinte:
Contas locais padrão no Active Directory
As contas locais padrão são contas internas que são criadas automaticamente quando um controlador de domínio do Windows Server é instalado e o domínio é criado. Essas contas locais padrão têm equivalentes no Active Directory. Essas contas também têm acesso em todo o domínio e são completamente separadas das contas de usuário local padrão para um membro ou servidor autônomo.
Você pode atribuir direitos e permissões a contas locais padrão em um controlador de domínio específico e somente nesse controlador de domínio. Essas contas são locais para o domínio. Depois que as contas locais padrão são instaladas, elas são armazenadas no contêiner Usuários Usuários e Computadores do Active Directory. É uma prática recomendada manter as contas locais padrão no contêiner de usuário e não tentar mover essas contas, por exemplo, para uma UO (unidade organizacional) diferente.
As contas locais padrão no contêiner Usuários incluem: Administrador, Convidado e KRBTGT. A conta HelpAssistant é instalada quando uma sessão de Assistência Remota é estabelecida. As seções a seguir descrevem as contas locais padrão e seu uso no Active Directory.
Principalmente, as contas locais padrão fazem o seguinte:
Permita que o domínio represente, identifique e autentique a identidade do usuário atribuído à conta usando credenciais exclusivas (nome de usuário e senha). É uma prática recomendada atribuir cada usuário a uma única conta para garantir a segurança máxima. Vários usuários não têm permissão para compartilhar uma conta. Uma conta de usuário permite que um usuário entre em computadores, redes e domínios com um identificador exclusivo que possa ser autenticado pelo computador, rede ou domínio.
Autorizar (conceder ou negar) acesso aos recursos. Depois que as credenciais de um usuário forem autenticadas, o usuário estará autorizado a acessar os recursos de rede e domínio com base nos direitos explicitamente atribuídos do usuário no recurso.
Audite as ações executadas em uma conta de usuário.
No Active Directory, as contas locais padrão são usadas pelos administradores para gerenciar servidores de domínio e membro diretamente e de estações de trabalho administrativas dedicadas. As contas do Active Directory fornecem acesso aos recursos de rede. Contas de usuário do Active Directory e contas de computador podem representar uma entidade física, como um computador ou uma pessoa, ou atuar como contas de serviço dedicadas para alguns aplicativos.
Cada conta local padrão é atribuída automaticamente a um grupo de segurança pré-configurado com os direitos e permissões apropriados para executar tarefas específicas. Os grupos de segurança do Active Directory coletam contas de usuário, contas de computador e outros grupos em unidades gerenciáveis. Para obter mais informações, consulte Grupos de Segurança do Active Directory.
Em um controlador de domínio do Active Directory, cada conta local padrão é conhecida como uma entidade de segurança. Uma entidade de segurança é um objeto de diretório usado para proteger e gerenciar serviços do Active Directory que fornecem acesso aos recursos do controlador de domínio. Uma entidade de segurança inclui objetos como contas de usuário, contas de computador, grupos de segurança ou threads ou processos executados no contexto de segurança de uma conta de usuário ou computador. Para obter mais informações, consulte Entidades de segurança.
Uma entidade de segurança é representada por um SID (identificador de segurança) exclusivo. Os SIDs relacionados a cada uma das contas locais padrão no Active Directory são descritos nas seções abaixo.
Algumas das contas locais padrão são protegidas por um processo em segundo plano que verifica e aplica periodicamente um descritor de segurança específico. Um descritor de segurança é uma estrutura de dados que contém informações de segurança associadas a um objeto protegido. Esse processo garante que qualquer tentativa bem-sucedida não autorizada de modificar o descritor de segurança em uma das contas ou grupos locais padrão seja substituída pelas configurações protegidas.
Esse descritor de segurança está presente no objeto AdminSDHolder. Se você quiser modificar as permissões em um dos grupos de administradores de serviços ou em qualquer uma de suas contas de membro, deverá modificar o descritor de segurança no objeto AdminSDHolder para garantir que ele seja aplicado consistentemente. Tenha cuidado ao fazer essas modificações, pois você também está alterando as configurações padrão aplicadas a todas as suas contas protegidas.
Conta de administrador
A conta de Administrador é uma conta padrão usada em todas as versões do sistema operacional Windows em todos os computadores e dispositivos. A conta de Administrador é usada pelo administrador do sistema para tarefas que exigem credenciais administrativas. Essa conta não pode ser excluída ou bloqueada, mas a conta pode ser renomeada ou desabilitada.
A conta de Administrador fornece ao usuário acesso completo (permissões de Controle Total) dos arquivos, diretórios, serviços e outros recursos que estão nesse servidor local. A conta de Administrador pode ser usada para criar usuários locais e atribuir direitos de usuário e permissões de controle de acesso. O administrador também pode ser usado para assumir o controle dos recursos locais a qualquer momento simplesmente alterando os direitos e permissões do usuário. Embora arquivos e diretórios possam ser protegidos da conta de Administrador temporariamente, a conta de Administrador pode assumir o controle desses recursos a qualquer momento alterando as permissões de acesso.
Associação ao grupo de contas
A conta de Administrador tem associação nos grupos de segurança padrão, conforme descrito na tabela de atributos da conta de administrador posteriormente neste tópico.
Os grupos de segurança garantem que você possa controlar os direitos de administrador sem precisar alterar cada conta de Administrador. Na maioria dos casos, você não precisa alterar as configurações básicas dessa conta. No entanto, talvez seja necessário alterar suas configurações avançadas, como associação em grupos específicos.
Considerações de segurança
Após a instalação do sistema operacional do servidor, sua primeira tarefa é configurar as propriedades da conta de administrador com segurança. Isso inclui a configuração de uma senha especialmente longa e forte e a proteção das configurações de perfil de Serviços de Área de Trabalho Remota e controle remoto.
A conta de administrador também pode ser desabilitada quando não é necessária. Renomear ou desabilitar a conta de Administrador torna mais difícil para usuários mal-intencionados tentarem obter acesso à conta. No entanto, mesmo quando a conta de Administrador está desabilitada, ela ainda pode ser usada para obter acesso a um controlador de domínio usando o modo de segurança.
Em um controlador de domínio, a conta de Administrador se torna a conta Administração Domínio. A conta Administração domínio é usada para entrar no controlador de domínio e essa conta requer uma senha forte. A conta Administração domínio fornece acesso a recursos de domínio.
Observação
Quando o controlador de domínio é instalado inicialmente, você pode entrar e usar o Gerenciador do Servidor para configurar uma conta de Administrador local, com os direitos e permissões que deseja atribuir. Por exemplo, você pode usar uma conta de Administrador local para gerenciar o sistema operacional ao instalá-lo pela primeira vez. Usando essa abordagem, você pode configurar o sistema operacional sem ser bloqueado. Em geral, você não precisa usar a conta após a instalação. Você só pode criar contas de usuário local no controlador de domínio, antes Active Directory Domain Services ser instalado e não posteriormente.
Quando o Active Directory é instalado no primeiro controlador de domínio no domínio, a conta de Administrador é criada para o Active Directory. A conta de Administrador é a conta mais poderosa no domínio. Ele recebe acesso em todo o domínio e direitos administrativos para administrar o computador e o domínio e tem os direitos e permissões mais extensos sobre o domínio. A pessoa que instala Active Directory Domain Services no computador cria a senha para essa conta durante a instalação.
Atributos de conta de administrador
| Atributo | Valor |
|---|---|
| Well-Known SID/RID | S-1-5-500<domain> |
| Tipo | Usuário |
| Contêiner padrão | CN=Users, DC=<domain>, DC= |
| Membros padrão | N/D |
| Membro padrão do | Administradores, administradores de domínio, administradores corporativos, usuários de domínio. Observe que a ID do Grupo Principal de todas as contas de usuário é Usuários do Domínio. Política de Grupo proprietários criadores e administradores de esquema no Active Directory Grupo Usuários do Domínio |
| Protegido por ADMINSDHOLDER? | Sim |
| É seguro sair do contêiner padrão? | Sim |
| Seguro para delegar o gerenciamento desse grupo a administradores que não são de serviço? | Não |
Conta de convidado
A conta convidado é uma conta local padrão que tem acesso limitado ao computador e está desabilitada por padrão. Por padrão, a senha da conta de convidado é deixada em branco. Uma senha em branco permite que a conta de convidado seja acessada sem exigir que o usuário insira uma senha.
A conta convidado permite que usuários ocasionais ou de uso único, que não têm uma conta individual no computador, se conectem ao servidor ou domínio local com direitos e permissões restritos. A conta convidado pode ser habilitada e a senha pode ser configurada, se necessário, mas somente por um membro do grupo Administrador no domínio.
Associação ao grupo de contas
A conta convidado tem associação nos grupos de segurança padrão descritos na tabela de atributos da conta convidado a seguir. Por padrão, a conta convidado é o único membro do grupo de Convidados padrão, que permite que um usuário entre em um servidor e o grupo global Convidados do Domínio, que permite que um usuário entre em um domínio.
Um membro do grupo Administradores ou grupo Administradores de Domínio pode configurar um usuário com uma conta de Convidado em um ou mais computadores.
Considerações de segurança
Como a conta de convidado pode fornecer acesso anônimo, é um risco de segurança. Ele também tem um SID conhecido. Por esse motivo, é uma prática recomendada deixar a conta de Convidado desabilitada, a menos que seu uso seja necessário e, em seguida, somente com direitos e permissões restritos por um período muito limitado.
Quando a conta de convidado é necessária, um Administrador no controlador de domínio é necessário para habilitar a conta convidado. A conta convidado pode ser habilitada sem a necessidade de uma senha ou pode ser habilitada com uma senha forte. O Administrador também concede direitos e permissões restritos para a conta convidado. Para ajudar a impedir o acesso não autorizado:
Não conceda à conta convidado o direito de desligar o usuário do sistema. Quando um computador está sendo desligado ou inicializado, é possível que um usuário convidado ou qualquer pessoa com acesso local, como um usuário mal-intencionado, possa obter acesso não autorizado ao computador.
Não forneça à conta convidado a capacidade de exibir os logs de eventos. Depois que a conta convidado estiver habilitada, é uma prática recomendada monitorar essa conta com frequência para garantir que outros usuários não possam usar serviços e outros recursos, como recursos que foram deixados involutionamente disponíveis por um usuário anterior.
Não use a conta convidado quando o servidor tiver acesso à rede externa ou acesso a outros computadores.
Se você decidir habilitar a conta convidado, restrinja seu uso e altere a senha regularmente. Assim como ocorre com a conta de administrador, convém renomear a conta como uma precaução de segurança adicional.
Além disso, um administrador é responsável por gerenciar a conta convidado. O administrador monitora a conta convidado, desabilita a conta convidado quando ela não está mais em uso e altera ou remove a senha conforme necessário.
Para obter detalhes sobre os atributos da conta convidado, consulte a tabela a seguir.
Atributos da conta de convidado
| Atributo | Valor |
|---|---|
| Well-Known SID/RID | S-1-5-501<domain> |
| Tipo | Usuário |
| Contêiner padrão | CN=Users, DC=<domain>, DC= |
| Membros padrão | Nenhum |
| Membro padrão do | Convidados, Convidados do Domínio |
| Protegido por ADMINSDHOLDER? | Não |
| É seguro sair do contêiner padrão? | Pode ser removido, mas não recomendamos isso. |
| Seguro para delegar o gerenciamento desse grupo a administradores que não são do serviço? | Não |
Conta helpAssistant (instalada com uma sessão de Assistência Remota)
A conta HelpAssistant é uma conta local padrão que é habilitada quando uma sessão de Assistência Remota é executada. Essa conta é desabilitada automaticamente quando nenhuma solicitação de Assistência Remota está pendente.
HelpAssistant é a conta principal usada para estabelecer uma sessão de Assistência Remota. A sessão de Assistência Remota é usada para se conectar a outro computador que executa o sistema operacional Windows e é iniciada por convite. Para obter assistência remota solicitada, um usuário envia um convite do computador, por email ou como arquivo, para uma pessoa que pode fornecer assistência. Depois que o convite do usuário para uma sessão de Assistência Remota é aceito, a conta HelpAssistant padrão é criada automaticamente para dar à pessoa que fornece assistência com acesso limitado ao computador. A conta HelpAssistant é gerenciada pelo serviço Gerenciador de Sessão da Ajuda da Área de Trabalho Remota.
Considerações de segurança
Os SIDs que pertencem à conta helpAssistant padrão incluem:
SID: S-1-5-13
<domain>, nome de exibição Usuário do Servidor de Terminal. Esse grupo inclui todos os usuários que entraram em um servidor com os Serviços de Área de Trabalho Remota habilitados. Observe que, no Windows Server 2008, os Serviços de Área de Trabalho Remota são chamados de Serviços de Terminal.SID: S-1-5-14
<domain>, nome de exibição Logon Interativo Remoto. Esse grupo inclui todos os usuários que se conectam ao computador usando uma conexão de área de trabalho remota. Esse grupo é um subconjunto do grupo Interativo. Os tokens de acesso que contêm o SID de Logon Interativo Remoto também contêm o SID Interativo.
Para o sistema operacional Windows Server, a Assistência Remota é um componente opcional que não está instalado por padrão. Você deve instalar a Assistência Remota antes que ela possa ser usada.
Para obter detalhes sobre os atributos da conta HelpAssistant, consulte a tabela a seguir.
Atributos de conta helpAssistant
| Atributo | Valor |
|---|---|
| Well-Known SID/RID | S-1-5-13<domain> (Usuário do Servidor de Terminal), S-1-5-14<domain> (Logon Interativo Remoto) |
| Tipo | Usuário |
| Contêiner padrão | CN=Users, DC=<domain>, DC= |
| Membros padrão | Nenhum |
| Membro padrão do | Convidados de domínio Convidados |
| Protegido por ADMINSDHOLDER? | Não |
| É seguro sair do contêiner padrão? | Pode ser removido, mas não recomendamos isso. |
| Seguro para delegar o gerenciamento desse grupo a administradores que não são do serviço? | Não |
Conta KRBTGT
A conta KRBTGT é uma conta padrão local que atua como uma conta de serviço para o serviço KDC (Centro de Distribuição de Chaves). Essa conta não pode ser excluída e o nome da conta não pode ser alterado. A conta KRBTGT não pode ser habilitada no Active Directory.
KRBTGT também é o nome da entidade de segurança usado pelo KDC para um domínio do Windows Server, conforme especificado pelo RFC 4120. A conta KRBTGT é a entidade para a entidade de segurança KRBTGT e é criada automaticamente quando um novo domínio é criado.
A autenticação Kerberos do Windows Server é obtida pelo uso de um TGT (tíquete de concessão de tíquete) Kerberos especial com uma chave simétrica. Essa chave é derivada da senha do servidor ou serviço ao qual o acesso é solicitado. A senha TGT da conta KRBTGT é conhecida apenas pelo serviço Kerberos. Para solicitar um tíquete de sessão, o TGT deve ser apresentado ao KDC. O TGT é emitido para o cliente Kerberos do KDC.
Considerações de manutenção da conta KRBTGT
Uma senha forte é atribuída ao KRBTGT e às contas de confiança automaticamente. Como qualquer conta de serviço privilegiado, as organizações devem alterar essas senhas em um agendamento regular. A senha da conta KDC é usada para derivar uma chave secreta para criptografar e descriptografar as solicitações TGT emitidas. A senha de uma conta de confiança de domínio é usada para derivar uma chave entre realms para criptografar tíquetes de referência.
Redefinir a senha exige que você seja membro do grupo Administradores de Domínio ou tenha sido delegado com a autoridade apropriada. Além disso, você deve ser um membro do grupo administradores local ou deve ter sido delegada a autoridade apropriada.
Depois de redefinir a senha KRBTGT, verifique se a ID do evento 9 na origem do evento (Kerberos) Key-Distribution-Center está gravada no log de eventos do sistema.
Considerações de segurança
Também é uma prática recomendada redefinir a senha da conta KRBTGT para garantir que um controlador de domínio recém-restaurado não seja replicado com um controlador de domínio comprometido. Nesse caso, em uma recuperação de floresta grande que é distribuída em vários locais, você não pode garantir que todos os controladores de domínio sejam desligados e, se forem desligados, eles não poderão ser reinicializados novamente antes que todas as etapas de recuperação apropriadas tenham sido executadas. Depois de redefinir a conta KRBTGT, outro controlador de domínio não poderá replicar essa senha de conta usando uma senha antiga.
Uma organização suspeita de comprometimento de domínio da conta KRBTGT deve considerar o uso de serviços profissionais de resposta a incidentes. O impacto para restaurar a propriedade da conta é de todo o domínio e trabalhoso deve ser realizado como parte de um esforço de recuperação maior.
A senha KRBTGT é a chave da qual todos confiam em cadeias Kerberos. Redefinir a senha KRBTGT é semelhante a renovar o certificado de autoridade de certificação raiz com uma nova chave e imediatamente não confiar na chave antiga, resultando em quase todas as operações Kerberos subsequentes serão afetadas.
Para todos os tipos de conta (usuários, computadores e serviços)
Todos os TGTs já emitidos e distribuídos serão inválidos porque os controladores de domínio os rejeitarão. Esses tíquetes são criptografados com KRBTGT para que qualquer CONTROLADOR de Domínio possa validá-los. Quando a senha é alterada, os tíquetes se tornam inválidos.
Todas as sessões autenticadas atualmente que os usuários conectados estabeleceram (com base em seus tíquetes de serviço) para um recurso (como um compartilhamento de arquivos, site do SharePoint ou servidor Exchange) são boas até que o tíquete de serviço seja necessário para autenticar novamente.
As conexões autenticadas NTLM não são afetadas
Como é impossível prever os erros específicos que ocorrerão para qualquer usuário em um ambiente operacional de produção, você deve presumir que todos os computadores e usuários serão afetados.
Importante
Reinicializar um computador é a única maneira confiável de recuperar a funcionalidade, pois isso fará com que a conta do computador e as contas de usuário faça logon novamente. Fazer logon novamente solicitará novos TGTs que são válidos com o novo KRBTGT, corrigindo quaisquer problemas operacionais relacionados ao KRBTGT nesse computador.
Para obter informações sobre como ajudar a reduzir os riscos associados a uma conta KRBTGT potencialmente comprometida, consulte Scripts de redefinição de senha da conta KRBTGT agora disponíveis para clientes.
Controladores de domínio somente leitura e a conta KRBTGT
O Windows Server 2008 introduziu o RODC (controlador de domínio somente leitura). O RODC é anunciado como o KDC (Centro de Distribuição de Chaves) para a filial. O RODC usa uma conta e senha KRBTGT diferentes do KDC em um controlador de domínio gravável quando assina ou criptografa solicitações de TGT (tíquete de concessão de tíquete). Depois que uma conta é autenticada com êxito, o RODC determina se as credenciais de um usuário ou as credenciais de um computador podem ser replicadas do controlador de domínio gravável para o RODC usando a Política de Replicação de Senha.
Depois que as credenciais são armazenadas em cache no RODC, o RODC pode aceitar as solicitações de entrada desse usuário até que as credenciais sejam alteradas. Quando um TGT é assinado com a conta KRBTGT do RODC, o RODC reconhece que ele tem uma cópia armazenada em cache das credenciais. Se outro controlador de domínio assinar o TGT, o RODC encaminhará solicitações para um controlador de domínio gravável.
Atributos de conta KRBTGT
Para obter detalhes sobre os atributos da conta KRBTGT, consulte a tabela a seguir.
| Atributo | Valor |
|---|---|
| Well-Known SID/RID | S-1-5-502<domain> |
| Tipo | Usuário |
| Contêiner padrão | CN=Users, DC=<domain>, DC= |
| Membros padrão | Nenhum |
| Membro padrão do | Grupo Usuários do Domínio. Observe que a ID do Grupo Principal de todas as contas de usuário é Usuários do Domínio. |
| Protegido por ADMINSDHOLDER? | Sim |
| É seguro sair do contêiner padrão? | Pode ser removido, mas não recomendamos isso. |
| Seguro para delegar o gerenciamento desse grupo a administradores que não são do serviço? | Não |
Configurações para contas locais padrão no Active Directory
Cada conta local padrão no Active Directory tem várias configurações de conta que você pode usar para definir configurações de senha e informações específicas de segurança, conforme descrito na tabela a seguir.
Configurações para contas locais padrão no Active Directory
| Configurações da conta | Descrição |
|---|---|
| O usuário deve alterar a senha no próximo logon | Força uma alteração de senha na próxima vez que o usuário fizer logon na rede. Use essa opção quando quiser garantir que o usuário seja a única pessoa a saber sua senha. |
| O usuário não pode alterar a senha | Impede que o usuário altere a senha. Use essa opção quando quiser manter o controle sobre uma conta de usuário, como para uma conta de convidado ou temporária. |
| A senha nunca expira | Impede que uma senha de usuário expire. É uma prática recomendada habilitar essa opção com contas de serviço e usar senhas fortes. |
| Armazenar senhas usando criptografia reversível | Fornece suporte para aplicativos que usam protocolos que exigem conhecimento da forma de texto não criptografado da senha do usuário para fins de autenticação. Essa opção é necessária ao usar o CHAP (Challenge Handshake Authentication Protocol) nos Serviços de Autenticação da Internet (IAS) e ao usar a autenticação digest no IIS (Serviços de Informações da Internet). |
| A conta está desabilitada | Impede que o usuário entre com a conta selecionada. Como administrador, você pode usar contas desabilitadas como modelos para contas de usuário comuns. |
| O cartão inteligente é necessário para logon interativo | Requer que um usuário tenha um cartão inteligente para fazer logon na rede interativamente. O usuário também deve ter um leitor de cartão inteligente anexado ao computador e um PIN (número de identificação pessoal) válido para o cartão inteligente. Quando esse atributo é aplicado na conta, o efeito é o seguinte: |
| A conta é confiável para delegação | Permite que um serviço em execução nessa conta execute operações em nome de outras contas de usuário na rede. Um serviço em execução em uma conta de usuário (também conhecida como conta de serviço) confiável para delegação pode representar um cliente para obter acesso aos recursos, seja no computador em que o serviço está sendo executado ou em outros computadores. Por exemplo, em uma floresta definida para o nível funcional do Windows Server 2003, essa configuração é encontrada na guia Delegação. Ele está disponível somente para contas que foram atribuídas SPNs (nomes de entidade de serviço), que são definidas usando o comando setspn das Ferramentas de Suporte do Windows. Essa configuração diferencia a segurança e deve ser atribuída com cautela. |
| A conta é confidencial e não pode ser delegada | Dá controle sobre uma conta de usuário, como para uma conta de convidado ou uma conta temporária. Essa opção poderá ser usada se essa conta não puder ser atribuída para delegação por outra conta. |
| Usar tipos de criptografia DES para esta conta | Fornece suporte para o DES (Data Encryption Standard). O DES dá suporte a vários níveis de criptografia, incluindo MPPE (Microsoft Point-to-Point Encryption) Standard (40 bits e 56 bits), padrão MPPE (56 bits), MPPE Strong (128 bits), IPSec (IPSec) DES (40 bits), IPSec DES de 56 bits e IPSec Triple DES (3DES). Nota: O DES não está habilitado por padrão em sistemas operacionais Windows Server a partir do Windows Server 2008 R2, nem em sistemas operacionais cliente Windows a partir do Windows 7. Para esses sistemas operacionais, os computadores não usarão conjuntos de criptografias DES-CBC-MD5 ou DES-CBC-CRC por padrão. Se seu ambiente exigir DES, essa configuração poderá afetar a compatibilidade com computadores cliente ou serviços e aplicativos em seu ambiente. Para obter mais informações, consulte Hunting down DES para implantar o Kerberos com segurança |
| Não exigir pré-autenticação kerberos | Fornece suporte para implementações alternativas do protocolo Kerberos. Como a pré-autenticação fornece segurança adicional, tenha cuidado ao habilitar essa opção. Observe que os controladores de domínio que executam o Windows 2000 ou o Windows Server 2003 podem usar outros mecanismos para sincronizar a hora. |
Gerenciar contas locais padrão no Active Directory
Depois que as contas locais padrão são instaladas, essas contas residem no contêiner Usuários Usuários e Computadores do Active Directory. Contas locais padrão podem ser criadas, desabilitadas, redefinidas e excluídas usando o MMC (Console de Gerenciamento microsoft) Usuários e Computadores do Active Directory usando ferramentas de linha de comando.
Você pode usar Usuários e Computadores do Active Directory para atribuir direitos e permissões em um determinado controlador de domínio local, e somente nesse controlador de domínio, para limitar a capacidade de usuários e grupos locais de executar determinadas ações. Um direito autoriza um usuário a executar determinadas ações em um computador, como fazer backup de arquivos e pastas ou desligar um computador. Por outro lado, uma permissão de acesso é uma regra associada a um objeto, geralmente um arquivo, pasta ou impressora, que regula quais usuários podem ter acesso ao objeto e de que maneira.
Para obter mais informações sobre como criar e gerenciar contas de usuário local no Active Directory, consulte Gerenciar Usuários Locais.
Você também pode usar Usuários e Computadores do Active Directory em um controlador de domínio para direcionar computadores remotos que não são controladores de domínio na rede.
Você pode obter recomendações da Microsoft para configurações de controlador de domínio que podem ser distribuídas usando a ferramenta SCM (Gerenciador de Conformidade de Segurança). Para obter mais informações, consulte Microsoft Security Compliance Manager.
Algumas das contas de usuário local padrão são protegidas por um processo em segundo plano que verifica e aplica periodicamente um descritor de segurança específico, que é uma estrutura de dados que contém informações de segurança associadas a um objeto protegido. Esse descritor de segurança está presente no objeto AdminSDHolder.
Isso significa que, quando você deseja modificar as permissões em um grupo de administradores de serviços ou em qualquer uma de suas contas de membro, também é necessário modificar o descritor de segurança no objeto AdminSDHolder. Essa abordagem garante que as permissões sejam aplicadas de forma consistente. Tenha cuidado ao fazer essas modificações, pois essa ação também pode afetar as configurações padrão aplicadas a todas as suas contas administrativas protegidas.
Restringir e proteger contas de domínio confidenciais
Restringir e proteger contas de domínio em seu ambiente de domínio exige que você adote e implemente a seguinte abordagem de práticas recomendadas:
Limite estritamente a associação aos grupos Administradores, Administradores de Domínio e Administradores Corporativos.
Controlar com stringently onde e como as contas de domínio são usadas.
As contas de membro nos grupos Administradores, Administradores de Domínio e Administradores Corporativos em um domínio ou floresta são destinos de alto valor para usuários mal-intencionados. É uma prática recomendada limitar estritamente a associação a esses grupos de administradores ao menor número de contas para limitar qualquer exposição. Restringir a associação nesses grupos reduz a possibilidade de que um administrador possa inutilmente usar indevidamente essas credenciais e criar uma vulnerabilidade que usuários mal-intencionados podem explorar.
Além disso, é uma prática recomendada controlar com stringently onde e como contas de domínio confidenciais são usadas. Restrinja o uso de contas de Administradores de Domínio e outras contas de administrador para impedir que elas sejam usadas para entrar em sistemas de gerenciamento e estações de trabalho protegidas no mesmo nível que os sistemas gerenciados. Quando as contas de administrador não são restritas dessa maneira, cada estação de trabalho da qual um administrador de domínio entra fornece outro local que usuários mal-intencionados podem explorar.
A implementação dessas práticas recomendadas é separada nas seguintes tarefas:
Criar hosts de estação de trabalho dedicados para administradores
Restringir o acesso de logon do administrador a servidores e estações de trabalho
Desabilitar o direito de delegação de conta para contas de administrador
Observe que, para fornecer instâncias em que os desafios de integração com o ambiente de domínio são esperados, cada tarefa é descrita de acordo com os requisitos para uma implementação mínima, melhor e ideal. Assim como com todas as alterações significativas em um ambiente de produção, certifique-se de testar essas alterações completamente antes de implementá-las e implantá-las. Em seguida, prepare a implantação de uma maneira que permita uma reversão da alteração caso ocorram problemas técnicos.
Separar contas de administrador de contas de usuário
Restrinja contas de Administradores de Domínio e outras contas confidenciais para impedir que elas sejam usadas para entrar em servidores de confiança inferior e estações de trabalho. Restrinja e proteja contas de administrador separando contas de administrador de contas de usuário padrão, separando tarefas administrativas de outras tarefas e limitando o uso dessas contas. Crie contas dedicadas para funcionários administrativos que exigem credenciais de administrador para executar tarefas administrativas específicas e, em seguida, crie contas separadas para outras tarefas de usuário padrão, de acordo com as seguintes diretrizes:
Conta privilegiada. Aloque contas de administrador para executar as seguintes tarefas administrativas somente:
O mínimo. Crie contas separadas para administradores de domínio, administradores corporativos ou o equivalente com direitos de administrador apropriados no domínio ou floresta. Use contas que tenham sido concedidas direitos confidenciais de administrador somente para administrar dados de domínio e controladores de domínio.
É melhor. Crie contas separadas para administradores que têm direitos administrativos reduzidos, como contas para administradores de estação de trabalho e contas com direitos de usuário sobre UOs (unidades organizacionais) designadas do Active Directory.
Ideal, é o ideal. Crie várias contas separadas para um administrador que tem uma variedade de responsabilidades de trabalho que exigem níveis de confiança diferentes. Configure cada conta de administrador com direitos de usuário significativamente diferentes, como administração de estação de trabalho, administração de servidor e administração de domínio, para permitir que o administrador entre em determinadas estações de trabalho, servidores e controladores de domínio com base estritamente em suas responsabilidades de trabalho.
Conta de usuário padrão. Conceda direitos de usuário padrão para tarefas de usuário padrão, como email, navegação na Web e uso de aplicativos de linha de negócios (LOB). Essas contas não devem receber direitos de administrador.
Importante
Verifique se as contas de administrador confidenciais não podem acessar o email ou navegar pela Internet, conforme descrito na seção a seguir.
Criar hosts de estação de trabalho dedicados sem acesso à Internet e email
Os administradores precisam gerenciar responsabilidades de trabalho que exigem direitos confidenciais de administrador de uma estação de trabalho dedicada porque eles não têm acesso físico fácil aos servidores. Uma estação de trabalho que está conectada à Internet e tem acesso de navegação na Web e email é exposta regularmente a comprometimento por meio de phishing, download e outros tipos de ataques à Internet. Devido a essas ameaças, é uma prática recomendada configurar esses administradores usando estações de trabalho dedicadas apenas a tarefas administrativas e não fornecer acesso à Internet, incluindo email e navegação na Web. Para obter mais informações, consulte Separar contas de administrador de contas de usuário.
Observação
Se os administradores em seu ambiente puderem entrar localmente em servidores gerenciados e executar todas as tarefas sem direitos elevados ou direitos de domínio de sua estação de trabalho, você poderá ignorar essa tarefa.
O mínimo. Crie estações de trabalho administrativas dedicadas e bloqueie o acesso à Internet nessas estações de trabalho, incluindo navegação na Web e email. Use as seguintes maneiras de bloquear o acesso à Internet:
Configure a autenticação de serviços de proxy de limite, se eles forem implantados, para impedir que contas de administrador acessem a Internet.
Configure serviços de proxy ou firewall de limite para não permitir o acesso à Internet para os endereços IP atribuídos a estações de trabalho administrativas dedicadas.
Bloqueie o acesso de saída aos servidores proxy de limite no Firewall do Windows.
As instruções para atender a esse requisito mínimo são descritas no procedimento a seguir.
É melhor. Não conceda associação de administradores no grupo de administradores local no computador para impedir que o administrador ignore essas proteções.
Ideal, é o ideal. Restrinja as estações de trabalho de ter qualquer conectividade de rede, exceto para os controladores de domínio e servidores que as contas de administrador são usadas para gerenciar. Como alternativa, use políticas de controle de aplicativo appLocker para restringir a execução de todos os aplicativos, exceto para o sistema operacional e aplicativos e ferramentas administrativas aprovadas. Para obter mais informações sobre o AppLocker, consulte AppLocker.
O procedimento a seguir descreve como bloquear o acesso à Internet criando um GPO (objeto Política de Grupo) que configura um endereço proxy inválido em estações de trabalho administrativas. Essas instruções se aplicam somente a computadores que executam o Internet Explorer e outros componentes do Windows que usam essas configurações de proxy.
Observação
Neste procedimento, as estações de trabalho são dedicadas aos administradores de domínio. Simplesmente modificando as contas de administrador para conceder permissão aos administradores para entrar localmente, você pode criar UOs adicionais para gerenciar administradores que têm menos direitos administrativos para usar as instruções descritas no procedimento a seguir.
Para instalar estações de trabalho administrativas em um domínio e bloquear o acesso à Internet e email (mínimo)
Como administrador de domínio em um controlador de domínio, abra Usuários e Computadores do Active Directory e crie uma nova UO para estações de trabalho administrativas.
Crie contas de computador para as novas estações de trabalho.
Observação
Talvez seja necessário delegar permissões para ingressar computadores no domínio se a conta que ingressa as estações de trabalho no domínio ainda não as tiver. Para obter mais informações, consulte Delegação de Administração no Active Directory.
Feche Usuários e Computadores do Active Directory.
Inicie o GPMC (Console de Gerenciamento Política de Grupo).
Clique com o botão direito do mouse na nova UO, crie um GPO neste domínio e vincule-o aqui.>
Nomeie o GPO e > OK.
Expanda o GPO, clique com o botão direito do mouse no novo GPO e > edite.
Configure quais membros das contas podem fazer logon localmente nessas estações de trabalho administrativas da seguinte maneira:
Navegue até Configuração do Computador\Políticas\Configurações do Windows\Políticas Locais e clique em Atribuição de Direitos do Usuário.
Clique duas vezes em Permitir logon localmente e marque a caixa de seleção Definir essas configurações de política.
Clique em Adicionar Navegação de Usuário ou > Grupo, digite Administradores Corporativos e > OK.
Clique em Adicionar Navegação de Usuário ou Grupo>, digite Administradores de Domínio e > OK.****
Importante
Essas instruções pressupõem que a estação de trabalho deve ser dedicada aos administradores de domínio.
Clique em Adicionar Usuário ou Grupo, digite Administradores e > OK.
Defina a configuração de proxy:
Navegue até Configuração do Usuário\Políticas\Configurações do Windows\Internet Explorer e > Conexão.
Clique duas vezes em Configurações de Proxy, marque a caixa de seleção Habilitar configurações de proxy , digite 127.0.0.1 (o endereço IP de loopback de rede) como o endereço proxy > e OK.
Configure o modo de processamento de loopback para permitir que a configuração de proxy Política de Grupo usuário seja aplicada a todos os usuários no computador da seguinte maneira:
Navegue até Configuração do Computador\Políticas\Modelos Administrativos\Sistema e Política de Grupo>.
Clique duas vezes em Usuário Política de Grupo modo de processamento de política de loopback e Habilitado>.
Selecione Modo de Mesclagem e > OK.
Configure as atualizações de software da seguinte maneira:
Navegue até Configuração do Computador\Políticas\Modelos Administrativos\Componentes do Windows e clique em Windows Update.
Defina Windows Update configurações conforme descrito na tabela a seguir.
Windows Update configuração Configuração Permitir instalação Atualizações instalação imediata Habilitada Configurar Atualizações Automáticas Habilitado4 – Baixar e agendar automaticamente a instalação0 – Todos os dias 03:00 Habilitar Windows Update Power Management para ativar automaticamente o sistema para instalar atualizações agendadas Habilitada Especificar o local do serviço Microsoft Update na intranet Habilitado onde http://<WSUSServername> http://<WSUSServername>está<WSUSServername>o nome DNS ou o endereço IP do Windows Server Update Services (WSUS) no ambiente.Frequência de detecção de Atualizações Automáticas 6 horas Solicitar reinicialização novamente com instalações agendadas 1 minuto Atrasar a reinicialização para instalações agendadas 5 minutos Observação
Esta etapa pressupõe que Windows Server Update Services (WSUS) esteja instalado e configurado no ambiente. Você poderá ignorar esta etapa se usar outra ferramenta para implantar atualizações de software. Além disso, se o serviço microsoft Windows Update público for usado apenas na Internet, essas estações de trabalho administrativas não receberão mais atualizações.
Configure o firewall de entrada para bloquear todas as conexões da seguinte maneira:
Clique com o botão direito do mouse no Firewall do Windows com LDAP://path segurança avançada e > propriedades.
Em cada perfil, verifique se o firewall está habilitado e se as conexões de entrada estão definidas como Bloquear todas as conexões.
Clique em OK para concluir a configuração.
Feche o Console de Gerenciamento de Política de Grupo.
Instale o sistema operacional Windows nas estações de trabalho, dê a cada estação de trabalho os mesmos nomes que as contas de computador atribuídas a elas e, em seguida, ingresse-as no domínio.
Restringir o acesso de logon do administrador a servidores e estações de trabalho
É uma prática recomendada impedir que os administradores usem contas de administrador confidenciais para entrar em servidores de confiança inferior e estações de trabalho. Essa restrição impede que os administradores aumentam inadvertidamente o risco de roubo de credenciais entrando em um computador de confiança inferior.
Importante
Verifique se você tem acesso local ao controlador de domínio ou se criou pelo menos uma estação de trabalho administrativa dedicada.
Restrinja o acesso de logon a servidores de confiança inferior e estações de trabalho usando as seguintes diretrizes:
O mínimo. Impedir que os administradores de domínio tenha acesso de logon a servidores e estações de trabalho. Antes de iniciar esse procedimento, identifique todas as UOs no domínio que contêm estações de trabalho e servidores. Todos os computadores em UOs não identificados não restringirão a entrada de administradores com contas confidenciais.
É melhor. Restringir administradores de domínio de servidores e estações de trabalho que não são controladores de domínio.
Ideal, é o ideal. Restrinja a entrada de administradores de servidor em estações de trabalho, além de administradores de domínio.
Observação
Para este procedimento, não vincule contas à UO que contêm estações de trabalho para administradores que executam apenas tarefas de administração e não fornecem acesso à Internet ou email. Para obter mais informações, consulte Criar hosts de estação de trabalho dedicados para administradores
Para restringir administradores de domínio de estações de trabalho (mínimo)
Como administrador de domínio, abra o GPMC (Console de Gerenciamento Política de Grupo).
Abra Política de Grupo Gerenciamento e expanda <floresta> \Domínios\e
<domain>expanda para Política de Grupo Objetos.Clique com o botão direito do Política de Grupo e em > Novo.
Na caixa de diálogo Novo GPO , nomeie o GPO que restringe os administradores de entrar em estações de trabalho e > OK.
Clique com o botão direito do mouse em Novo GPO e > edite.
Configure os direitos de usuário para negar logon localmente para administradores de domínio.
Navegue até Configuração do Computador\Políticas\Configurações do Windows\Políticas Locais e clique em Atribuição de Direitos de Usuário e execute o seguinte:
Clique duas vezes em Negar logon localmente e defina > essas configurações de política.
Clique em Adicionar Usuário ou Grupo, clique em Procurar, digite Administradores Corporativos e > OK.
Clique em Adicionar Usuário ou Grupo, clique em Procurar, digite Administradores de Domínio e > OK.
Observação
Opcionalmente, você pode adicionar todos os grupos que contêm administradores de servidor que você deseja restringir de entrar em estações de trabalho.
Clique em OK para concluir a configuração.
Configure os direitos de usuário para negar direitos de logon de lote e serviço para administradores de domínio da seguinte maneira:
Observação
A conclusão desta etapa pode causar problemas com tarefas de administrador que são executadas como tarefas ou serviços agendados com contas no grupo Administradores de Domínio. A prática de usar contas de administrador de domínio para executar serviços e tarefas em estações de trabalho cria um risco significativo de ataques de roubo de credenciais e, portanto, deve ser substituída por meios alternativos para executar tarefas ou serviços agendados.
Clique duas vezes em Negar logon como um trabalho em lotes e defina > essas configurações de política.
Clique em Adicionar Navegação de Usuário ou > Grupo, digite Administradores Corporativos e > OK.
Clique em Adicionar Navegação de Usuário ou Grupo>, digite Administradores de Domínio e > OK.****
Observação
Opcionalmente, você pode adicionar todos os grupos que contêm administradores de servidor que você deseja restringir de entrar em estações de trabalho.
Clique duas vezes em Negar logon como um serviço e defina > essas configurações de política.
Clique em Adicionar Navegação de Usuário ou > Grupo, digite Administradores Corporativos e > OK.
Clique em Adicionar Navegação de Usuário ou Grupo>, digite Administradores de Domínio e > OK.****
Observação
Opcionalmente, você pode adicionar todos os grupos que contêm administradores de servidor que você deseja restringir de entrar em estações de trabalho.
Vincule o GPO à primeira UO de estações de trabalho.
Navegue até <a floresta> \Domínios\
<domain>\Caminho da UO e, em seguida:Clique com o botão direito do mouse na UO da estação de trabalho e > vincule um GPO existente.
Selecione o GPO que você acabou de criar e > OK.
=======
Selecione o GPO que você acabou de criar e > OK.
Teste a funcionalidade de aplicativos empresariais em estações de trabalho na primeira UO e resolva os problemas causados pela nova política.
Vincule todas as outras UOs que contêm estações de trabalho.
No entanto, não crie um link para a UO da Estação de Trabalho Administrativa se ela for criada para estações de trabalho administrativas dedicadas apenas a tarefas de administração e que não têm acesso à Internet ou email. Para obter mais informações, consulte Criar hosts de estação de trabalho dedicados para administradores.
Importante
Se você estender posteriormente essa solução, não negue os direitos de logon para o grupo Usuários do Domínio. O grupo Usuários do Domínio inclui todas as contas de usuário no domínio, incluindo Usuários, Administradores de Domínio e Administradores Corporativos.
Desabilitar o direito de delegação de conta para contas de administrador confidenciais
Embora as contas de usuário não sejam marcadas para delegação por padrão, as contas em um domínio do Active Directory podem ser confiáveis para delegação. Isso significa que um serviço ou um computador confiável para delegação pode representar uma conta autenticada para que ele acesse outros recursos na rede.
Para contas confidenciais, como aquelas que pertencem a membros dos grupos Administradores, Administradores de Domínio ou Administradores Corporativos no Active Directory, a delegação pode apresentar um risco substancial de escalonamento de direitos. Por exemplo, se uma conta no grupo Administradores de Domínio for usada para entrar em um servidor membro comprometido que seja confiável para delegação, esse servidor poderá solicitar acesso a recursos no contexto da conta de Administradores de Domínio e escalonar o comprometimento desse servidor membro para um comprometimento de domínio.
É uma prática recomendada configurar os objetos de usuário para todas as contas confidenciais no Active Directory selecionando que **** a conta é confidencial e não pode ser delegada em **** opções de conta para impedir que essas contas sejam delegadas. Para obter mais informações, consulte Configuração para contas locais padrão no Active Directory.
Assim como com qualquer alteração de configuração, teste essa configuração habilitada totalmente para garantir que ela seja executada corretamente antes de implementá-la.
Proteger e gerenciar controladores de domínio
É uma prática recomendada impor restrições estritamente aos controladores de domínio em seu ambiente. Isso garante que os controladores de domínio:
Executar somente o software necessário
O software necessário é atualizado regularmente
São definidas com as configurações de segurança apropriadas
Um aspecto da proteção e do gerenciamento de controladores de domínio é garantir que as contas de usuário locais padrão estejam totalmente protegidas. É de principal importância restringir e proteger todas as contas de domínio confidenciais, conforme descrito nas seções anteriores.
Como os controladores de domínio armazenam hashes de senha de credencial de todas as contas no domínio, eles são destinos de alto valor para usuários mal-intencionados. Quando os controladores de domínio não são bem gerenciados e protegidos usando restrições estritamente impostas, eles podem ser comprometidos por usuários mal-intencionados. Por exemplo, um usuário mal-intencionado pode roubar credenciais confidenciais de administrador de domínio de um controlador de domínio e, em seguida, usar essas credenciais para atacar o domínio e a floresta.
Além disso, os aplicativos instalados e os agentes de gerenciamento em controladores de domínio podem fornecer um caminho para escalonamento de direitos que usuários mal-intencionados podem usar para comprometer o serviço de gerenciamento ou os administradores desse serviço. As ferramentas e serviços de gerenciamento, que sua organização usa para gerenciar controladores de domínio e seus administradores, são igualmente importantes para a segurança dos controladores de domínio e das contas de administrador de domínio. Verifique se esses serviços e administradores estão totalmente protegidos com o mesmo esforço.
Consulte também
Comentários
Submeter e ver comentários