Contas do Active Directory
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Os sistemas operacionais Windows Server são instalados com as contas locais padrão. Além disso, você pode criar contas de usuário para atender aos requisitos da sua organização.
Este artigo de referência descreve as contas locais padrão do Windows Server armazenadas localmente no controlador de domínio e usadas no Active Directory. Ele não descreve as contas de usuário locais padrão de um membro, um servidor autônomo ou um cliente Windows. Para obter mais informações, confira Contas locais.
Contas locais padrão no Active Directory
As contas locais padrão são contas internas criadas automaticamente quando um controlador de domínio do Windows Server é instalado e o domínio é criado. Essas contas locais padrão têm equivalentes no Active Directory. Elas também têm acesso em todo o domínio e são completamente separadas das contas de usuário local padrão de um membro ou um servidor autônomo.
Você pode atribuir direitos e permissões a contas locais padrão em um controlador de domínio específico e somente nesse controlador de domínio. Essas contas são locais do domínio. Depois que as contas locais padrão são instaladas, elas são armazenadas no contêiner Usuários em Usuários e Computadores do Active Directory. É uma melhor prática manter as contas locais padrão no contêiner Usuário e não tentar mover essas contas para, por exemplo, outra UO (unidade organizacional).
As contas locais padrão do contêiner Usuários incluem: Administrador, Convidado e KRBTGT. A conta HelpAssistant é instalada quando uma sessão de Assistência Remota é estabelecida. As seções a seguir descrevem as contas locais padrão e o uso delas no Active Directory.
As contas locais padrão executam as seguintes ações:
Permitir que o domínio represente, identifique e autentique a identidade do usuário atribuído à conta usando credenciais exclusivas (nome de usuário e senha). É uma melhor prática atribuir cada usuário a uma só conta para garantir a segurança máxima. Vários usuários não têm permissão para compartilhar uma conta. Uma conta de usuário permite que um usuário entre em computadores, redes e domínios com um identificador exclusivo que pode ser autenticado pelo computador, pela rede ou pelo domínio.
Autorize (conceda ou negue) o acesso aos recursos. Depois que as credenciais de um usuário forem autenticadas, o usuário estará autorizado a acessar a rede e os recursos de domínio com base nos direitos atribuídos explicitamente ao usuário no recurso.
Auditar as ações executadas nas contas de usuário.
No Active Directory, os administradores usam contas locais padrão para gerenciar os servidores membro e de domínio diretamente e em estações de trabalho administrativas dedicadas. As contas do Active Directory fornecem acesso aos recursos de rede. As contas de usuário e as contas de computador do Active Directory podem representar uma entidade física, como um computador ou uma pessoa, ou atuar como contas de serviço dedicadas para alguns aplicativos.
Cada conta local padrão é atribuída automaticamente a um grupo de segurança configurado previamente com as permissões e os direitos apropriados para executar tarefas específicas. Os grupos de segurança do Active Directory coletam contas de usuário, contas de computador e outros grupos em unidades gerenciáveis. Para obter mais informações, confira Grupos de segurança do Active Directory.
Em um controlador de domínio do Active Directory, cada conta local padrão é conhecida como uma entidade de segurança. Uma entidade de segurança é um objeto de diretório usado para proteger e gerenciar serviços do Active Directory que fornecem acesso aos recursos do controlador de domínio. Uma entidade de segurança inclui objetos como contas de usuário, contas de computador, grupos de segurança ou threads ou processos executados no contexto de segurança de uma conta de usuário ou de computador. Para obter mais informações, confira Entidades de segurança.
Uma entidade de segurança é representada por um SID (identificador de segurança) exclusivo. Os SIDs relacionados a cada uma das contas locais padrão no Active Directory são descritos nas próximas seções.
Algumas das contas locais padrão são protegidas por um processo em segundo plano que verifica periodicamente e aplica um descritor de segurança específico. Um descritor de segurança é uma estrutura de dados que contém informações de segurança associadas a um objeto protegido. Esse processo garante que qualquer tentativa não autorizada bem-sucedida de modificar o descritor de segurança em uma das contas ou grupos locais padrão seja substituída pelas configurações protegidas.
Esse descritor de segurança está presente no objeto AdminSDHolder. Caso você deseje modificar as permissões em um dos grupos de administradores de serviços ou em uma das respectivas contas membro, modifique o descritor de segurança no objeto AdminSDHolder para garantir que ele seja aplicado de maneira consistente. Tenha cuidado quando estiver fazendo essas modificações, porque você também está alterando as configurações padrão que são aplicadas a todas as suas contas protegidas.
Conta de administrador
Uma conta Administrador é uma conta padrão usada em todas as versões do sistema operacional Windows em todos os computadores e dispositivos. A conta Administrador é usada pelo administrador do sistema para tarefas que exigem credenciais administrativas. Essa conta não pode ser excluída nem bloqueada, mas a conta pode ser renomeada ou desabilitada.
A conta Administrador fornece ao usuário acesso completo (permissões de Controle Completo) dos arquivos, dos diretórios, dos serviços e de outros recursos que estão nesse servidor local. A conta Administrador pode ser usada para criar usuários locais e para atribuir direitos de usuário e permissões de controle de acesso. A conta também pode ser usada para assumir o controle dos recursos locais a qualquer momento simplesmente alterando os direitos e as permissões do usuário. Embora os arquivos e os diretórios possam ser protegidos por meio da conta Administrador temporariamente, a conta pode assumir o controle desses recursos a qualquer momento alterando as permissões de acesso.
Associação ao grupo de contas
A conta Administrador tem associação aos grupos de segurança padrão, conforme descrito na tabela de atributos da conta Administrador mais adiante neste artigo.
Os grupos de segurança garantem que você possa controlar os direitos de administrador sem precisar alterar cada conta Administrador. Na maioria dos casos, você não precisa alterar as configurações básicas dessa conta. No entanto, talvez seja necessário alterar as configurações avançadas, como a associação a grupos específicos.
Considerações de segurança
Após a instalação do sistema operacional do servidor, sua primeira tarefa será configurar as propriedades da conta Administrador com segurança. Isso inclui a configuração de uma senha especialmente longa e forte e a proteção das configurações de perfil de Controle remoto e Serviços de Área de Trabalho Remota.
A conta Administrador também pode ser desabilitada quando não é necessária. Renomear ou desabilitar a conta Administrador dificulta a tentativa de usuários mal-intencionados obter acesso à conta. No entanto, mesmo quando a conta Administrador está desabilitada, ela ainda pode ser usada para obter acesso a um controlador de domínio usando o modo de segurança.
Em um controlador de domínio, a conta Administrador torna-se a conta Administrador de Domínio. A conta Administrador de Domínio é usada para entrar no controlador de domínio, e essa conta exige uma senha forte. A conta Administrador de Domínio fornece acesso aos recursos do domínio.
Observação
Quando o controlador de domínio é instalado inicialmente, você pode entrar e usar o Gerenciador de Servidores para configurar uma conta Administrador local, com os direitos e as permissões que deseja atribuir. Por exemplo, você pode usar uma conta Administrador local para gerenciar o sistema operacional quando instalá-lo pela primeira vez. Usando essa abordagem, você pode configurar o sistema operacional sem ser bloqueado. Em geral, você não precisa usar a conta após a instalação. Você pode criar contas de usuário local no controlador de domínio somente antes de o Active Directory Domain Services ser instalado e não posteriormente.
Quando o Active Directory é instalado no primeiro controlador de domínio do domínio, a conta Administrador é criada para o Active Directory. A conta Administrador é a conta mais avançada do domínio. Ela recebe acesso em todo o domínio e direitos administrativos para administrar o computador e o domínio e tem as permissões e os direitos mais extensos sobre o domínio. A pessoa que instala o Active Directory Domain Services no computador cria a senha para essa conta durante a instalação.
Atributos da conta Administrador
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-<domain>-500 |
| Digite | Usuário |
| Contêiner padrão | CN=Usuários, DC=<domain>, DC= |
| Membros padrão | N/D |
| Membro padrão de | Administradores, Administradores de Domínio, Administradores Corporativos, Usuários do Domínio (a ID do Grupo Primário de todas as contas de usuário é Usuários do Domínio) Proprietários Criadores da Política de Grupo e Administradores de Esquema no grupo Usuários do Domínio do Active Directory |
| Protegido por ADMINSDHOLDER? | Sim |
| É seguro movê-lo para fora do contêiner padrão? | Sim |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | No |
Conta Convidado
A conta Convidado é uma conta local padrão que tem acesso limitado ao computador e está desabilitada por padrão. Por padrão, a senha da conta Convidado é deixada em branco. Uma senha em branco permite que a conta Convidado seja acessada sem exigir que o usuário insira uma senha.
A conta Convidado permite que usuários ocasionais ou únicos, que não têm uma conta individual no computador, entrem no servidor ou no domínio local com permissões e direitos restritos. A conta Convidado pode ser habilitada e a senha pode ser configurada se necessário, mas apenas por um membro do grupo Administrador no domínio.
Associação ao grupo de contas Convidado
A conta Convidado tem associação aos grupos de segurança padrão descritos na tabela de atributos da conta Convidado a seguir. Por padrão, a conta Convidado é o único membro do grupo Convidados padrão, que permite que um usuário entre em um servidor, e do grupo global Convidados do Domínio, que permite que um usuário entre em um domínio.
Um membro do grupo Administradores ou do grupo Administradores de Domínio pode configurar um usuário com uma conta Convidado em um ou mais computadores.
Considerações sobre a segurança da conta Convidado
Como a conta Convidado pode fornecer acesso anônimo, ela representa um risco à segurança. Ela também tem um SID conhecido. Por esse motivo, é uma melhor prática deixar a conta Convidado desabilitada, a menos que o uso dela seja necessário e apenas com permissões e direitos restritos por um período muito limitado.
Quando a conta Convidado é necessária, um Administrador no controlador de domínio é necessário para habilitar a conta Convidado. A conta Convidado pode ser habilitada sem a necessidade de uma senha ou pode ser habilitada com uma senha forte. O Administrador também concede permissões e direitos restritos à conta Convidado. Para ajudar a impedir o acesso não autorizado:
Não conceda à conta Convidado o direito de usuário Desligar o sistema. Quando um computador está sendo desligado ou iniciado, é possível que um usuário Convidado ou qualquer pessoa com acesso local, como um usuário mal-intencionado, possa obter acesso não autorizado ao computador.
Não forneça à conta Convidado a capacidade de visualizar os logs de eventos. Depois que a conta Convidado é habilitada, é uma melhor prática monitorar essa conta com frequência para garantir que outros usuários não possam usar serviços e outros recursos, como recursos que foram involuntariamente deixados disponíveis por um usuário anterior.
Não use a conta Convidado quando o servidor tiver acesso à rede externa ou acesso a outros computadores.
Se você decidir habilitar a conta Convidado, lembre-se de restringir o uso dela e alterar a senha regularmente. Assim como acontece com a conta Administrador, o ideal é renomear a conta como uma precaução de segurança adicional.
Além disso, um administrador é responsável por gerenciar a conta Convidado. O administrador monitora a conta Convidado, desabilita a conta Convidado quando ela não está mais em uso e altera ou remove a senha conforme necessário.
Para obter detalhes sobre os atributos da conta Convidado, confira a seguinte tabela:
Atributos da conta Convidado
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-<domain>-501 |
| Digite | Usuário |
| Contêiner padrão | CN=Usuários, DC=<domain>, DC= |
| Membros padrão | Nenhum |
| Membro padrão de | Convidados, Convidados do Domínio |
| Protegido por ADMINSDHOLDER? | No |
| É seguro movê-lo para fora do contêiner padrão? | Pode ser movido, mas não recomendamos fazer isso. |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | No |
Conta HelpAssistant (instalada com uma sessão de Assistência Remota)
A conta HelpAssistant é uma conta local padrão habilitada quando uma sessão de Assistência Remota é executada. Essa conta é desabilitada automaticamente quando não há solicitações de Assistência Remota pendentes.
HelpAssistant é a conta primária usada para estabelecer uma sessão de Assistência Remota. A sessão de Assistência Remota é usada para se conectar a outro computador que executa o sistema operacional Windows e é iniciada por convite. Para a assistência remota solicitada, um usuário envia um convite do computador, por email ou como um arquivo, para uma pessoa que pode fornecer assistência. Depois que o convite do usuário para uma sessão de Assistência Remota é aceito, a conta HelpAssistant padrão é criada automaticamente para dar à pessoa que fornece assistência acesso limitado ao computador. e é gerenciada pelo serviço Gerenciador de Sessão de Ajuda de Área de Trabalho Remota.
Considerações sobre segurança de HelpAssistant
Os SIDs que pertencem à conta HelpAssistant padrão incluem:
SID: S-1-5-
<domain>-13, nome de exibição Usuário do Terminal Server. Esse grupo inclui todos os usuários que entram em um servidor com os Serviços de Área de Trabalho Remota habilitados. No Windows Server 2008, os Serviços de Área de Trabalho Remota são chamados Serviços de Terminal.SID: S-SID: S-1-5-
<domain>-14, nome de exibição Logon Interativo Remoto. Esse grupo inclui todos os usuários que se conectam ao computador usando uma conexão de área de trabalho remota. Esse grupo é um subconjunto do grupo Interativo. Os tokens de acesso que contêm o SID de Logon Interativo Remoto também contêm o SID Interativo.
Para o sistema operacional Windows Server, a Assistência Remota é um componente opcional que não está instalado por padrão. Você precisa instalar a Assistência Remota antes de usá-la.
Para obter detalhes sobre os atributos da conta HelpAssistant, confira a seguinte tabela:
Atributos da conta HelpAssistant
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-<domain>-13 (Usuário do Terminal Server), S-1-5-<domain>-14 (Logon Interativo Remoto) |
| Digite | Usuário |
| Contêiner padrão | CN=Usuários, DC=<domain>, DC= |
| Membros padrão | Nenhum |
| Membro padrão de | Convidados do Domínio Convidados |
| Protegido por ADMINSDHOLDER? | No |
| É seguro movê-lo para fora do contêiner padrão? | Pode ser movido, mas não recomendamos fazer isso. |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | No |
Conta KRBTGT
A conta KRBTGT é uma conta padrão local que funciona como uma conta de serviço para o serviço KDC (centro de distribuição de chaves). Essa conta não pode ser excluída, e o nome da conta não pode ser alterado. A conta KRBTGT não pode ser habilitada no Active Directory.
KRBTGT também é o nome da entidade de segurança usado pelo KDC para um domínio do Windows Server, conforme especificado pelo RFC 4120. A conta KRBTGT é a entidade da entidade de segurança KRBTGT e é criada automaticamente quando um domínio é criado.
A autenticação Kerberos do Windows Server é obtida pelo uso de um TGT (tíquete especial de concessão de tíquetes) Kerberos criptografado com uma chave simétrica. Essa chave é obtida da senha do servidor ou do serviço ao qual o acesso é solicitado. A senha TGT da conta KRBTGT só é conhecida pelo serviço Kerberos. Para solicitar um tíquete de sessão, o TGT precisa ser apresentado ao KDC. O TGT é emitido para o cliente Kerberos do KDC.
Considerações sobre a manutenção da conta KRBTGT
Uma senha forte é atribuída automaticamente às contas KRBTGT e de relação de confiança. Como qualquer conta de serviço com privilégios, as organizações devem alterar essas senhas conforme um cronograma regular. A senha da conta KDC é usada para obter uma chave secreta para criptografar e descriptografar as solicitações TGT emitidas. A senha de uma conta de relação de confiança de domínio é usada para obter uma chave entre realms para criptografar os tíquetes de referência.
A redefinição da senha exige que você seja membro do grupo Administradores de Domínio ou receba a autoridade apropriada. Além disso, você precisa ser membro do grupo Administradores local ou receber a autoridade apropriada.
Depois de redefinir a senha da KRBTGT, verifique se a ID do evento 9 na origem do evento (Kerberos) Key-Distribution-Center é gravada no log de eventos do sistema.
Considerações sobre a segurança da conta KRBTGT
Também é uma melhor prática redefinir a senha da conta KRBTGT para garantir que um controlador de domínio recém-restaurado não seja replicado com um controlador de domínio comprometido. Nesse caso, em uma recuperação de floresta grande que está distribuída por vários locais, você não pode garantir que todos os controladores de domínio sejam desligados e, se forem desligados, não possam ser reinicializados novamente antes que todas as etapas de recuperação apropriadas tenham sido executadas. Depois que você redefinir a conta KRBTGT, outro controlador de domínio não poderá replicar essa senha de conta usando uma senha antiga.
Uma organização que suspeita do comprometimento do domínio da conta KRBTGT deve considerar o uso de serviços profissionais de resposta a incidentes. O impacto para a restauração da propriedade da conta é complexo e ocorre em todo o domínio, devendo ser realizado como parte de um esforço de recuperação mais amplo.
A senha da KRBTGT é a chave da qual toda a relação de confiança no Kerberos é encadeada. Redefinir a senha da KRBTGT é semelhante a renovar o Certificado de Autoridade de Certificação raiz com uma nova chave e não confiar imediatamente na chave antiga, o que faz com que quase todas as operações Kerberos seguintes sejam afetadas.
Para todos os tipos de contas (usuários, computadores e serviços)
Todos os TGTs que já foram emitidos e distribuídos serão inválidos porque os controladores de domínio os rejeitarão. Esses tíquetes são criptografados com a KRBTGT para que qualquer controlador de domínio possa validá-los. Quando a senha é alterada, os tíquetes se tornam inválidos.
Todas as sessões atualmente autenticadas que os usuários conectados estabeleceram (com base nos tíquetes de serviço) com um recurso (como um compartilhamento de arquivo, um site do SharePoint ou um servidor do Exchange) são válidas até que o tíquete de serviço seja necessário para uma nova autenticação.
As conexões autenticadas do NTLM não são afetadas.
Como é impossível prever os erros específicos que ocorrerão para qualquer usuário em um ambiente operacional de produção, você precisa pressupor que todos os computadores e usuários serão afetados.
Importante
Reinicializar um computador é a única maneira confiável de recuperar a funcionalidade, pois isso fará com que a conta do computador e as contas de usuário sejam conectadas novamente. A nova conexão solicitará novos TGTs válidos com a nova KRBTGT, o que corrigirá os problemas operacionais relacionados à KRBTGT nesse computador.
Controladores de domínio somente leitura e a conta KRBTGT
O Windows Server 2008 introduziu o RODC (controlador de domínio somente leitura). O RODC é anunciado como o KDC (centro de distribuição de chaves) para a filial. O RODC usa uma conta KRBTGT e uma senha diferentes do KDC em um controlador de domínio gravável quando assina ou criptografa as solicitações de TGT (tíquete de concessão de tíquetes). Depois que uma conta é autenticada com sucesso, o RODC determina se as credenciais de um usuário ou as credenciais de um computador podem ser replicadas do controlador de domínio gravável para o RODC usando a Política de Replicação de Senha.
Depois que as credenciais são armazenadas em cache no RODC, o RODC pode aceitar as solicitações de entrada desse usuário até que as credenciais sejam alteradas. Quando um TGT é assinado com a conta KRBTGT do RODC, o RODC reconhece que ele tem uma cópia armazenada em cache das credenciais. Se outro controlador de domínio assinar o TGT, o RODC encaminhará as solicitações para um controlador de domínio gravável.
Atributos da conta KRBTGT
Para obter detalhes sobre os atributos da conta KRBTGT, confira a seguinte tabela:
| Atributo | Valor |
|---|---|
| SID/RID conhecido | S-1-5-<domain>-502 |
| Digite | Usuário |
| Contêiner padrão | CN=Usuários, DC=<domain>, DC= |
| Membros padrão | Nenhum |
| Membro padrão de | Grupo Usuários do Domínio (a ID do Grupo Primário de todas as contas de usuário é Usuários do Domínio) |
| Protegido por ADMINSDHOLDER? | Sim |
| É seguro movê-lo para fora do contêiner padrão? | Pode ser movido, mas não recomendamos fazer isso. |
| É seguro delegar o gerenciamento deste grupo a administradores que não são de serviço? | No |
Configurações das contas locais padrão no Active Directory
Cada conta local padrão no Active Directory tem várias configurações de conta que você pode usar para definir configurações de senha e informações específicas de segurança, conforme descrito na seguinte tabela:
| Configurações de conta | Descrição |
|---|---|
| O usuário deverá alterar a senha no próximo logon | Força uma alteração de senha na próxima vez que o usuário entrar na rede. Use essa opção quando quiser garantir que o usuário seja a única pessoa a saber a senha. |
| O usuário não pode alterar a senha | Impede o usuário de alterar a senha. Use esta opção quando quiser manter controle sobre uma conta de usuário, como uma conta temporária ou Convidado. |
| A senha nunca expira | Impede que uma senha de usuário expire. É uma melhor prática habilitar essa opção com as contas de serviço e usar senhas fortes. |
| Armazenar senhas usando criptografia reversível | Fornece suporte para os aplicativos que usam protocolos que exigem conhecimento da forma de texto não criptografado da senha do usuário para fins de autenticação. Essa opção é obrigatória quando você usa o protocolo CHAP no IAS (Serviços de Autenticação da Internet) e a autenticação de resumo no IIS (Serviços de Informações da Internet). |
| Conta desabilitada | Impede que o usuário se conecte com a conta selecionada. Como administrador, você pode usar contas desabilitadas como modelos para contas de usuário comuns. |
| Cartão inteligente necess. p/ logon interativo | Exige que um usuário tenha um cartão inteligente para entrar na rede de maneira interativa. O usuário também deve ter um leitor de cartão inteligente conectado ao computador e um PIN válido para o cartão inteligente. Quando esse atributo é aplicado à conta, o efeito é o seguinte: |
| A conta é confiável para delegação | Permite que um serviço executado nessa conta execute operações em nome de outras contas de usuário na rede. Um serviço executado em uma conta de usuário (também conhecida como conta de serviço) que seja confiável para a delegação pode representar um cliente para obter acesso aos recursos, seja no computador em que o serviço está sendo executado ou em outros computadores. Por exemplo, em uma floresta definida como o nível funcional do Windows Server 2003, essa configuração é encontrada na guia Delegação. Ela só está disponível para as contas que receberam SPNs (nomes de entidade de serviço), que são definidas com o comando setspn nas Ferramentas de Suporte do Windows. Essa configuração diferencia a segurança e deve ser atribuída com cautela. |
| A conta é confidencial e não pode ser delegada | Fornece controle sobre uma conta de usuário, como uma conta Convidado ou uma conta temporária. Essa opção poderá ser usada se essa conta não puder ser atribuída para delegação por outra conta. |
| Use tipos de criptografia DES p/ esta conta | Oferece suporte para o Padrão de Criptografia de Dados (DES). O DES dá suporte a vários níveis de criptografia, incluindo Criptografia MPPE Standard (40 e 56 bits), MPPE Standard (56 bits), MPPE Strong (128 bits), IPsec DES (40 bits), IPsec DES de 56 bits e o IPsec 3DES (DES triplo). |
| Não exigir pré-autenticação Kerberos | Fornece suporte para implementações alternativas do protocolo Kerberos. Como a pré-autenticação fornece segurança adicional, tenha cuidado ao habilitar essa opção. Os controladores de domínio que executam o Windows 2000 ou o Windows Server 2003 podem usar outros mecanismos para sincronizar a hora. |
Observação
O DES não está habilitado por padrão em sistemas operacionais Windows Server (a partir do Windows Server 2008 R2) ou em sistemas operacionais cliente Windows (a partir do Windows 7). Para esses sistemas operacionais, por padrão, os computadores não usarão pacotes de criptografia DES-CBC-MD5 ou DES-CBC-CRC. Se o seu ambiente exige o DES, essa configuração pode afetar a compatibilidade com os computadores cliente ou os serviços e os aplicativos do ambiente.
Para obter mais informações, confira Como buscar o DES para implantar o Kerberos com segurança.
Gerenciar contas locais padrão no Active Directory
Depois que as contas locais padrão são instaladas, essas contas ficam localizadas no contêiner Usuários em Usuários e Computadores do Active Directory. Você pode criar, desabilitar, redefinir e excluir contas locais padrão usando o MMC (Console de Gerenciamento Microsoft) Usuários e Computadores do Active Directory e as ferramentas de linha de comando.
Você pode usar Usuários e Computadores do Active Directory para atribuir direitos e permissões em um controlador de domínio local especificado, e somente nesse controlador de domínio, a fim de limitar a capacidade de usuários e grupos locais de executar determinadas ações. Um direito autoriza um usuário a executar determinadas ações em um computador, como fazer backup de arquivos e pastas ou desligar um computador. Em contraste, uma permissão de acesso é uma regra associada a um objeto, geralmente um arquivo, uma pasta ou uma impressora, que regula os usuários que podem ter acesso ao objeto e de que maneira.
Para obter mais informações sobre como criar e gerenciar contas de usuário locais no Active Directory, confira Gerenciar usuários locais.
Use também Usuários e Computadores do Active Directory em um controlador de domínio para direcionar computadores remotos que não são controladores de domínio na rede.
Obtenha recomendações da Microsoft para configurações de controlador de domínio que podem ser distribuídas usando a ferramenta SCM (Gerenciador de Conformidade de Segurança). Para obter mais informações, confira Gerenciador de Conformidade de Segurança da Microsoft.
Algumas das contas de usuário locais padrão são protegidas por um processo em segundo plano que verifica e aplica periodicamente um descritor de segurança específico, que é uma estrutura de dados que contém informações de segurança associadas a um objeto protegido. Esse descritor de segurança está presente no objeto AdminSDHolder.
Isso significa que, quando você quiser modificar as permissões em um grupo de administradores de serviços ou em uma das contas de membro, também precisará modificar o descritor de segurança no objeto AdminSDHolder. Essa abordagem garante que as permissões sejam aplicadas de maneira consistente. Tenha cuidado ao fazer essas modificações, pois essa ação também pode afetar as configurações padrão que são aplicadas a todas as suas contas administrativas protegidas.
Restringir e proteger contas de domínio confidenciais
Restringir e proteger as contas de domínio no seu ambiente de domínio exige que você adote e implemente a seguinte abordagem de melhores práticas:
Limite estritamente a associação aos grupos Administradores, Administradores de Domínio e Administradores Corporativos.
Controle rigorosamente onde e como as contas de domínio são usadas.
As contas de membro nos grupos Administradores, Administradores de Domínio e Administradores Corporativos em um domínio ou em uma floresta são alvos de alto valor para usuários mal-intencionados. Para limitar qualquer exposição, é uma melhor prática limitar estritamente a associação a esses grupos de administradores ao menor número de contas. Restringir a associação a esses grupos reduz a possibilidade de que um administrador possa usar de maneira indevida essas credenciais acidentalmente e criar uma vulnerabilidade que os usuários mal-intencionados possam explorar.
Além disso, é uma melhor prática controlar rigorosamente onde e como as contas de domínio confidenciais são usadas. Restrinja o uso de contas Administradores de Domínio e outras contas Administrador para impedir que elas sejam usadas para entrar em sistemas de gerenciamento e estações de trabalho protegidas no mesmo nível que os sistemas gerenciados. Quando as contas Administrador não são restritas dessa maneira, cada estação de trabalho na qual um administrador de domínio entra fornece outro local que os usuários mal-intencionados podem explorar.
A implementação dessas melhores práticas é separada nas seguintes tarefas:
- Separar as contas Administrador das contas de usuário
- Restringir o acesso de entrada do administrador em servidores e estações de trabalho
- Desabilitar o direito de delegação de conta para contas Administrador confidenciais
Para fornecer instâncias em que os desafios de integração com o ambiente de domínio são esperados, cada tarefa é descrita de acordo com os requisitos para uma implementação mínima, melhor e ideal. Assim como acontece com todas as alterações significativas em um ambiente de produção, teste essas alterações por completo antes de implementá-las e implantá-las. Em seguida, prepare a implantação de uma forma que permita uma reversão da alteração caso ocorram problemas técnicos.
Separar as contas Administrador das contas de usuário
Restrinja as contas Administradores de Domínio e outras contas confidenciais para impedir que elas sejam usadas para entrada em servidores e estações de trabalho de menor relação de confiança. Restrinja e proteja as contas Administrador separando as contas Administrador das contas de usuário padrão, separando as tarefas administrativas de outras tarefas e limitando o uso dessas contas. Crie contas dedicadas para funcionários administrativos que exigem credenciais de administrador para executar tarefas administrativas específicas e, depois, crie contas separadas para outras tarefas padrão do usuário, de acordo com as seguintes diretrizes:
Conta privilegiada: aloque contas Administrador para executar somente as seguintes tarefas administrativas:
Mínima: crie contas separadas para administradores de domínio, administradores corporativos ou o equivalente com direitos de administrador apropriados no domínio ou na floresta. Use contas que receberam direitos confidenciais de administrador somente para administrar dados de domínio e controladores de domínio.
Melhor: crie contas separadas para os administradores que tenham direitos administrativos reduzidos, como contas para administradores de estação de trabalho e contas com direitos de usuário em UOs (unidades organizacionais) designadas do Active Directory.
Ideal: crie várias contas separadas para um administrador que tenha várias responsabilidades de trabalho que exijam diferentes níveis de relações de confiança. Configure cada conta Administrador com direitos de usuário diferentes, como administração de estação de trabalho, administração de servidor e administração de domínio, para permitir que o administrador entre em estações de trabalho, servidores e controladores de domínio especificados estritamente de acordo com as respectivas responsabilidades de trabalho.
Contas de usuário padrão conceda direitos de usuário padrão para tarefas de usuário padrão, como email, navegação na Web e uso de aplicativos LOB (linha de negócios). Essas contas não devem receber direitos administrativos.
Importante
Verifique se as contas Administrador confidenciais não podem acessar emails nem navegar na Internet, conforme descrito na seção a seguir.
Para saber mais sobre o acesso privilegiado, confira Dispositivos de acesso privilegiado.
Restringir o acesso de entrada do administrador em servidores e estações de trabalho
É uma melhor prática restringir os administradores de usar contas Administrador confidenciais para entrar em servidores e estações de trabalho de menor relação de confiança. Essa restrição impede que os administradores aumentem inadvertidamente o risco de roubo de credenciais entrando em um computador de menor relação de confiança.
Importante
Verifique se você tem acesso local ao controlador de domínio ou criou, pelo menos, uma estação de trabalho administrativa dedicada.
Restrinja o acesso de entrada a servidores e estações de trabalho de menor relação de confiança usando as seguintes diretrizes:
Mínima: restrinja os administradores de domínio a terem acesso de entrada em servidores e estações de trabalho. Antes de iniciar este procedimento, identifique todas as UOs no domínio que contêm estações de trabalho e servidores. Os computadores de UOs que não são identificadas não impedirão que os administradores que tenham contas confidenciais entrem neles.
Melhor: restrinja os administradores de domínio dos servidores e das estações de trabalho que não são controladores de domínio.
Ideal: restrinja os administradores de servidores de entrar em estações de trabalho, além dos administradores de domínio.
Observação
Para este procedimento, não vincule contas à UO que contêm estações de trabalho para administradores que executam apenas tarefas de administração e não forneça acesso à Internet ou ao email.
Para restringir os administradores de domínio em estações de trabalho (mínima)
Como administrador de domínio, abra o GPMC (Console de Gerenciamento de Política de Grupo).
Abra Gerenciamento de Política de Grupo, expanda <floresta>\Domínios\
<domain>.Clique com o botão direito do mouse em Objetos de Política de Grupo e selecione Novo.
Na janela Novo GPO, nomeie o GPO que restringe os administradores de entrar em estações de trabalho e selecione OK.
Clique com o botão direito do mouse em Novo GPO e selecione Editar.
Configure os direitos de usuário para negar a entrada localmente para os administradores de domínio.
Selecione Configuração do Computador>Políticas>Configurações do Windows>Políticas Locais, selecione Atribuição de Direitos de Usuário e faça o seguinte:
a. Clique duas vezes em Negar logon localmente e selecione Definir essas configurações de política. b. Selecione Adicionar Usuário ou Grupo, escolha Procurar, digite Administradores Corporativos e selecione OK. Selecione Adicionar Usuário ou Grupo, escolha Procurar, digite Administradores de Domínio e selecione OK.
Dica
Opcionalmente, você pode adicionar grupos que contenham administradores de servidores que você deseja restringir de entrar em estações de trabalho.
Observação
Concluir esta etapa pode causar problemas nas tarefas de administrador que são executadas como tarefas agendadas ou nos serviços com as contas do grupo Administradores de Domínio. A prática de usar contas Administrador de domínio para executar serviços e tarefas em estações de trabalho cria um risco significativo de ataques de roubo de credenciais e, portanto, deve ser substituída por meios alternativos para executar tarefas ou serviços agendados.
d. Selecione OK para concluir a configuração.
Vincule o GPO à primeira UO de Estações de Trabalho. Acesse o caminho <floresta>\Domínios\
<domain>\UO e faça o seguinte:a. Clique com o botão direito do mouse na UO da estação de trabalho e selecione Vincular um GPO Existente.
b. Selecione o GPO que acabou de criar e escolha OK.
Teste a funcionalidade dos aplicativos empresariais nas estações de trabalho da primeira UO e resolva os problemas causados pela nova política.
Vincule todas as outras UOs que contêm estações de trabalho.
No entanto, não crie um link para a UO da Estação de Trabalho Administrativa se ela for criada para estações de trabalho administrativas dedicadas apenas às tarefas de administração e que não tenham acesso à Internet ou ao email.
Importante
Se você estender essa solução posteriormente, não negue os direitos de entrada para o grupo Usuários do Domínio. O grupo Usuários do Domínio inclui todas as contas de usuários no domínio, incluindo Usuários, Administradores de Domínio e Administradores Corporativos.
Desabilitar o direito de delegação de conta para contas Administrador confidenciais
Embora as contas de usuário não estejam marcadas para delegação por padrão, as contas de um domínio do Active Directory podem ser confiáveis para a delegação. Isso significa que um serviço ou um computador confiável para a delegação pode representar uma conta que se autentica neles para acessar outros recursos em toda a rede.
Para contas confidenciais, como aquelas pertencentes a membros dos grupos Administradores, Administradores de Domínio ou Administradores Corporativos no Active Directory, a delegação pode apresentar um risco substancial de escalonamento de direitos. Por exemplo, se uma conta do grupo Administradores de Domínio for usada para entrar em um servidor membro comprometido confiável para a delegação, esse servidor poderá solicitar acesso aos recursos no contexto da conta Administradores de Domínio e escalar o comprometimento desse servidor membro para um comprometimento de domínio.
É uma melhor prática configurar os objetos de usuário para todas as contas confidenciais no Active Directory marcando a caixa de seleção A conta é confidencial e não pode ser delegada em Opções de conta para impedir que as contas sejam delegadas. Para obter mais informações, confira Configurações das contas locais padrão no Active Directory.
Assim como acontece com qualquer alteração de configuração, teste essa configuração habilitada por completo para garantir que ela seja executada corretamente antes de implementá-la.
Proteger e gerenciar controladores de domínio
É uma melhor prática impor estritamente restrições aos controladores de domínio no seu ambiente. Isso garante que os controladores de domínio:
- Executem apenas o software necessário.
- Exijam que o software seja atualizado regularmente.
- Sejam definidos com as configurações de segurança apropriadas.
Um aspecto da proteção e do gerenciamento de controladores de domínio é garantir que as contas de usuário locais padrão estejam totalmente protegidas. É de fundamental importância restringir e proteger todas as contas de domínio confidenciais, conforme descrito nas seções anteriores.
Como os controladores de domínio armazenam hashes de senha de credencial de todas as contas no domínio, eles são alvos de alto valor para usuários mal-intencionados. Quando os controladores de domínio não são bem gerenciados e protegidos por meio de restrições estritamente impostas, eles podem ser comprometidos por usuários mal-intencionados. Por exemplo, um usuário mal-intencionado pode roubar as credenciais confidenciais de administrador de domínio de um controlador de domínio e, em seguida, usar essas credenciais para atacar o domínio e a floresta.
Além disso, os aplicativos instalados e os agentes de gerenciamento nos controladores de domínio podem fornecer um caminho para aumentar os direitos que os usuários mal-intencionados podem usar para comprometer o serviço de gerenciamento ou os administradores desse serviço. As ferramentas e os serviços de gerenciamento, que a sua organização usa para gerenciar os controladores de domínio e os administradores deles, são igualmente importantes para a segurança dos controladores de domínio e das contas Administrador de domínio. Verifique se esses serviços e os administradores estão totalmente protegidos com igual esforço.