Apêndice G: Proteger grupos de administradores no Active Directory

  • Artigo

Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 e Windows Server 2012

Apêndice G: Proteger grupos de administradores no Active Directory

Como ocorre nos grupos de EA (administradores corporativos) e de AD (administradores de domínio), a associação no grupo de BA (conta de administradores internos) deve ser necessária somente em cenários de recuperação de desastre ou de build. Não deve haver contas de usuário diárias no grupo de administradores,exceto a conta administrador interno do domínio, se ela tiver sido protegida, conforme descrito em Apêndice D: protegendo contas de administrador interno no Active Directory.

Os administradores são, por padrão, os proprietários da maioria dos objetos do AD DS em seus respectivos domínios. A associação nesse grupo pode ser necessária em cenários de recuperação de desastre ou build em que é necessária a propriedade ou a capacidade de assumir a propriedade de objetos. Além disso, os ADs e EAs herdam vários de seus direitos e permissões em virtude da associação padrão no grupo de administradores. O aninhamento de grupo padrão para grupos privilegiados no Active Directory não deve ser modificado e cada grupo de administradores de domínio deve ser protegido conforme descrito nas instruções passo a passo a seguir.

!CUIDADO As etapas descritas neste documento devem ser testadas cuidadosamente em um ambiente que não seja de produção antes de serem executadas na produção.

Para o grupo de administradores em cada domínio na floresta:

  1. Remover todos os membros do grupo de administradores, com exceção possível da conta de administrador interno do domínio, desde que ela tenha sido protegida, conforme descrito em Apêndice D: protegendo contas de administrador interno no Active Directory.

  2. Em GPOs vinculados às OUs que contêm servidores membros e estações de trabalho em cada domínio, o grupo BA deve ser adicionado aos seguintes direitos de usuário em Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\ Atribuição de Direitos do Usuário:

    • Negar acesso a este computador pela rede

    • Negar o logon como um trabalho em lotes

    • Negar o logon como um serviço

  3. Na OU dos controladores de domínio em cada domínio na floresta, deve ser concedido ao grupo de administradores os seguintes direitos de usuário:

    • Acesso a este computador da rede

    • Permitir logon localmente

    • Permitir logon por meio dos Serviços de Área de Trabalho Remota

  4. A auditoria deve ser configurada para enviar alertas se alguma modificação for feita nas propriedades ou na associação do grupo de administradores.

Instruções passo a passo para remover todos os membros do grupo de administradores

  1. No Gerenciador do Servidor, clique em Ferramentas e em Usuários e computadores do Active Directory.

  2. Para remover todos os membros do grupo de administradores, execute as seguintes etapas:

    1. Clique duas vezes no grupo Administradores e clique na guia Membros.

      Screenshot that shows the Members tab for removing all members from the Administrators Group.

    2. Selecione um membro do grupo, clique em Remover, clique em Sim e clique em OK.

  3. Repita a etapa 2 até que todos os membros do grupo de administradores tenham sido removidos.

Instruções passo a passo para proteger grupos de administradores no Active Directory

  1. No Gerenciador do Servidor, clique em Ferramentas e em Gerenciamento de Política de Grupo.

  2. Na árvore do console, expanda <Floresta>\Domínios\<Domínio> e Objetos de Política de Grupo (em que <Floresta> é o nome da floresta e <Domínio> é o nome do domínio em que você deseja definir a Política de Grupo).

  3. Na árvore do console, clique com o botão direito do mouse em Objetos de Política de Grupo e clique em Novo.

    Screenshot that shows where to select New so you can secure Administrators Groups in Active Directory.

  4. Na caixa de diálogo Novo GPO, digite <Nome do GPO> e clique em OK (em que Nome do GPO é o nome desse GPO).

    Screenshot that shows where to name the G P O in the New GPO dialog box so you can secure Administrators Groups.

  5. No painel de detalhes, clique com o botão direito do mouse em <Nome do GPO> e clique em Editar.

  6. Navegue até Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais e clique em Atribuição de Direitos de Usuário.

    Screenshot that shows where to navigate so you can select the User Rights Admin option to secure Administrators Groups.

  7. Configure os direitos de usuário para impedir que os membros do grupo de administradores acessem servidores membros e estações de trabalho pela rede fazendo o seguinte:

    1. Clique duas vezes em Negar acesso a este computador pela rede e selecione Definir estas configurações de política.

    2. Clique em Adicionar Usuário ou Grupo e em Procurar.

    3. Digite Administradores, clique em Verificar Nomes e clique em OK.

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Administrators group from accessing member servers and workstations over the network.

    4. Clique em OK e em OK novamente.

  8. Configure os direitos de usuário para impedir que os membros do grupo de administradores faça logon como um trabalho em lotes fazendo o seguinte:

    1. Clique duas vezes em Negar logon como um trabalho em lotes e selecione Definir estas configurações de política.

    2. Clique em Adicionar Usuário ou Grupo e em Procurar.

    3. Digite Administradores, clique em Verificar Nomes e clique em OK.

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Administrators group from logging on as a batch job.

    4. Clique em OK e em OK novamente.

  9. Configure os direitos de usuário para impedir que os membros do grupo de administradores faça logon como um serviço fazendo o seguinte:

    1. Clique duas vezes em Negar logon como um serviço e selecione Definir estas configurações de política.

    2. Clique em Adicionar Usuário ou Grupo e em Procurar.

    3. Digite Administradores, clique em Verificar Nomes e clique em OK.

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Administrators group from logging on as a service.

    4. Clique em OK e em OK novamente.

  10. Para sair do Editor de Gerenciamento de Política de Grupo, clique em Arquivo e em Sair.

  11. No Gerenciamento de Política de Grupo, vincule o GPO ao servidor membro e às OUs da estação de trabalho fazendo o seguinte:

    1. Navegue até <Floresta>>\Domínios\<Domínio> (em que <Floresta> é o nome da floresta e <Domínio> é o nome do domínio em que você deseja definir a Política de Grupo).

    2. Clique com o botão direito do mouse na OU à qual o GPO será aplicado e clique em Vincular um GPO existente.

      Screenshot that shows the Link an existing G P O menu option when you right-click the OU.

    3. Selecione o GPO que acabou de criar e clique em OK.

      Screenshot that shows where to select the GPO you just created.

    4. Crie vínculos para todas as outras OUs que contêm estações de trabalho.

    5. Crie vínculos para todas as outras OUs que contêm servidores membro.

      Importante

      Se os servidores de salto forem usados para administrar controladores de domínio e o Active Directory, verifique se os servidores de salto estão localizados em uma OU à qual esses GPOs não estão vinculados.

      Observação

      Quando você implementa restrições no grupo de administradores em GPOs, o Windows aplica as configurações aos membros do grupo de administradores locais de um computador, além do grupo de administradores do domínio. Portanto, você deve ter cuidado ao implementar restrições no grupo de administradores. Embora seja proibido logons de rede, lote e serviço para membros do grupo de administradores é aconselhável, sempre que for viável implementar, não restringir logons locais ou logons por meio dos Serviços de Área de Trabalho Remota. Bloquear esses tipos de logon pode bloquear a administração legítima de um computador por membros do grupo de administradores local.

      A captura de tela a seguir mostra as configurações que bloqueiam o uso indevido de contas internas de administrador local e de domínio, além do uso indevido de grupos de administradores locais ou de domínio internos. Observe que o direito de usuário Negar logon por meio dos Serviços de Área de Trabalho Remota não inclui o grupo de administradores, pois incluí-lo nessa configuração também bloquearia esses logons para contas que são membros do grupo de administradores do computador local. Se os serviços em computadores estiverem configurados para serem executados no contexto de qualquer um dos grupos privilegiados descritos nesta seção, a implementação dessas configurações pode fazer com que serviços e aplicativos falhem. Portanto, assim como acontece com todas as recomendações nesta seção, você deve testar minuciosamente as configurações de aplicabilidade em seu ambiente.

      Screenshot that shows configuration settings that block misuse of built-in local and domain Administrator accounts.

Instruções passo a passo para conceder direitos de usuário ao grupo de administradores

  1. No Gerenciador do Servidor, clique em Ferramentas e em Gerenciamento de Política de Grupo.

  2. Na árvore do console, expanda <Floresta>\Domínios\<Domínio> e Objetos de Política de Grupo (em que <Floresta> é o nome da floresta e <Domínio> é o nome do domínio em que você deseja definir a Política de Grupo).

  3. Na árvore do console, clique com o botão direito do mouse em Objetos de Política de Grupo e clique em Novo.

    Screenshot that shows the menu that displays when you right-click Group Policy Objects.

  4. Na caixa de diálogo Novo GPO, digite <Nome do GPO> e clique em OK (em que <Nome do GPO> é o nome desse GPO).

    Screenshot that shows where to name the G P O so you can secure Administrators Groups.

  5. No painel de detalhes, clique com o botão direito do mouse em <Nome do GPO> e clique em Editar.

  6. Navegue até Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais e clique em Atribuição de Direitos de Usuário.

    Screenshot that shows where to navigate so you can select User Rights Admin to secure Administrators Groups.

  7. Configure os direitos de usuário para permitir que os membros do grupo de administradores acessem controladores de domínio pela rede fazendo o seguinte:

    1. Clique duas vezes em Acessar este computador pela rede e selecione Definir estas configurações de política.

    2. Clique em Adicionar Usuário ou Grupo e em Procurar.

    3. Clique em Adicionar Usuário ou Grupo e em Procurar.

      Screenshot that shows how to verify that you've configured the user rights to allow members of the Administrators group to access domain controllers over the network.

    4. Clique em OK e em OK novamente.

  8. Configurar os direitos de usuário para permitir que os membros do grupo de administradores façam logon localmente fazendo o seguinte:

    1. Clique duas vezes em Permitir logon localmente e selecione Definir essas configurações de política.

    2. Clique em Adicionar Usuário ou Grupo e em Procurar.

    3. Digite Administradores, clique em Verificar Nomes e clique em OK.

      Screenshot that shows how to verify that you've configured the user rights to allow members of the Administrators group to log on locally.

    4. Clique em OK e em OK novamente.

  9. Configurar os direitos de usuário para permitir que os membros do grupo de administradores façam logon por meio dos Serviços de Área de Trabalho Remota fazendo o seguinte:

    1. Clique duas vezes em Permitir logon por meio dos Serviços de Área de Trabalho Remota e selecione Definir estas configurações de política.

    2. Clique em Adicionar Usuário ou Grupo e em Procurar.

    3. Digite Administradores, clique em Verificar Nomes e clique em OK.

      Screenshot that shows how to verify that you've configured the user rights to allow members of the Administrators group to log on through Remote Desktop Services.

    4. Clique em OK e em OK novamente.

  10. Para sair do Editor de Gerenciamento de Política de Grupo, clique em Arquivo e em Sair.

  11. No Gerenciamento de Política de Grupo, vincule o GPO à OU de controladores de domínio fazendo o seguinte:

    1. Navegue até <Floresta>\Domínios\<Domínio> (em que <Floresta> é o nome da floresta e <Domínio> é o nome do domínio em que você deseja definir a Política de Grupo).

    2. Clique com o botão direito do mouse na OU dos controladores de domínio e clique em Vincular um GPO existente.

      Screenshot that shows the Link an existing GPO menu option when you're attempting to link the G P O to the domain controllers OU.

    3. Selecione o GPO que acabou de criar e clique em OK.

      Screenshot that shows where to select the GPO you just created while you're linking the G P O to the member workstations and server.

Etapas de Verificação

Verificar as configurações de GPO "Negar acesso a este computador pela rede"

Em qualquer estação de trabalho ou servidor membro que não seja afetado pelas alterações de GPO (como um "jump server"), tente acessar um servidor membro ou uma estação de trabalho pela rede afetada pelas alterações de GPO. Para verificar as configurações de GPO, tente mapear a unidade do sistema usando o comando NET USE.

  1. Faça logon localmente usando uma conta que seja membro do grupo de administradores.

  2. Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra Botões for exibida, clique em Pesquisar.

  3. Na caixa Pesquisar, digite prompt de comando, clique com o botão direito do mouse em prompt de comando e clique em Executar como administrador para abrir um prompt de comandos com privilégios elevados.

  4. Quando for solicitado aprovar a elevação, clique em Sim.

    Screenshot that highlights the User Account Control dialog box.

  5. Na janela Prompt de Comando, digite net use \\<Nome do Servidor>\c$, em que <Nome do Servidor> é o nome do servidor membro ou da estação de trabalho que você está tentando acessar pela rede.

  6. A captura de tela a seguir mostra a mensagem de erro que será exibida.

    Screenshot that highlights the logon failure error message.

Verificar as configurações de GPO "Negar logon como um trabalho em lotes"

Em uma estação de trabalho ou servidor membro afetado pelas alterações de GPO, faça logon localmente.

Criar um arquivo em lotes

  1. Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra Botões for exibida, clique em Pesquisar.

  2. Na caixa Pesquisar, digite Bloco de notas e clique em Bloco de notas.

  3. No Bloco de notas, digite dir c:.

  4. Clique em Arquivo e em Salvar como.

  5. No campo Nome do arquivo, digite <Nome do arquivo>.bat (em que <Nome do arquivo> é o nome do novo arquivo em lote).

Agendar uma tarefa

  1. Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra Botões for exibida, clique em Pesquisar.

  2. Na caixa Pesquisar, digite agendador de tarefas e clique em Agendador de Tarefas.

    Observação

    Nos computadores que executam o Windows 8, na caixa Pesquisar, digite agendar tarefas e clique em Agendar tarefas.

  3. Clique em Ação e em Criar Tarefa.

  4. Na caixa de diálogo Criar Tarefa, digite <Nome da Tarefa> (em que <Nome da Tarefa> é o nome da nova tarefa).

  5. Clique na guia Ações e em Nova.

  6. No campo Ação, selecione Iniciar um programa.

  7. No campo Programa/script, clique em Procurar, localize e selecione o arquivo em lote criado na seção Criar um arquivo em lote e clique em Abrir.

  8. Clique em OK.

  9. Clique na guia Geral.

  10. No campo Opções de segurança, clique em Alterar usuário ou grupo.

  11. Digite o nome de uma conta que seja membro do grupo de administradores, clique em Verificar Nomes e em OK.

  12. Selecione Executar se o usuário está conectado ou não e Não armazenar a senha. A tarefa terá acesso somente aos recursos do computador local.

  13. Clique em OK.

  14. Uma caixa de diálogo será exibida, solicitando as credenciais da conta de usuário para executar a tarefa.

  15. Depois de inserir a senha, clique em OK.

  16. Uma caixa de diálogo semelhante à mostrada a seguir será exibida.

    Screenshot that highlights the Task Scheduler dialog box.

Verificar as configurações de GPO "Negar logon como um serviço"

  1. Em uma estação de trabalho ou servidor membro afetado pelas alterações de GPO, faça logon localmente.

  2. Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra Botões for exibida, clique em Pesquisar.

  3. Na caixa Pesquisar, digite serviços e clique em Serviços.

  4. Localize e clique duas vezes em Spooler de Impressão.

  5. Clique na guia Logon.

  6. No campo Fazer logon como, selecione Esta conta.

  7. Clique em Procurar, digite o nome de uma conta que seja membro do grupo de administradores, clique em Verificar Nomes e em OK.

  8. Nos campos Senha e Confirmar senha, digite a senha da conta selecionada e clique em OK.

  9. Clique em OK mais três vezes.

  10. Clique com o botão direito do mouse em Spooler de Impressão e clique em Reiniciar.

  11. Quando o serviço for reiniciado, uma caixa de diálogo semelhante à mostrada a seguir será exibida.

    secure admin groups

Reverter as alterações no Serviço de Spooler de Impressão

  1. Em uma estação de trabalho ou servidor membro afetado pelas alterações de GPO, faça logon localmente.

  2. Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra Botões for exibida, clique em Pesquisar.

  3. Na caixa Pesquisar, digite serviços e clique em Serviços.

  4. Localize e clique duas vezes em Spooler de Impressão.

  5. Clique na guia Logon.

  6. No campo Fazer logon como, clique na Conta do sistema local e clique em OK.