Encontre usuários com permissão de administrador local e remova-os, sem se mover da cadeira
Uma nova aplicação foi instalada e por algum motivo, lhe pediram que todos os usuários fossem configurados como Administradores Locais. Essa, definitivamente, não é uma opção!
Quando em falamos em níveis de segurança o primeiro que deve ser tratado é o que lida com os usuários de nossa rede. Uma das brechas de segurança mais comuns que encontramos em ambientes de diversos tamanhos está relacionado a usuários com permissões de administrador local.
Esse problema ocorre, em muitos casos, por conta de software que não conseguimos fazer rodar sem a bendita permissão de modificar em determinada pasta no C:, por exemplo. O fato é que, até hoje, mesmo que com algum esforço a mais, consegui fazer com que todos os software necessários rodassem sem que o usuário tenha mais permissão do que precisa.
Ok, mas, por que devo temer usuários com essas permissões, se eles, no máximo, podem alterar configurações que, logo após o logoff serão desfeitas por minha GPO?! O lance não é com os users. Pense comigo, você é desenvolvedor um vírus ou malware, qual o primeiro usuário que tentará fazer uso para alterar configurações, modificar arquivos, abrir portas no firewall, entre outras façanhas? A resposta não é o usuário Administrador, o primeiro usuário é o que está em uso no momento em que a praga virtual é baixada ou aloja-se no seu S.O.
O simples fato do user não ter mais permissão do que necessita inibe muito a ação de vírus, o que por consequência eleva o nível de segurança em sua rede, e obviamente mantem suas configurações a salvo.
Agora que justifiquei o motivo, vamos a ação!
É importante listar quais usuários atualmente estão alocados como administrador local, pois, se tem tal direto, algum motivo teve, right?!
Como o título do post sugere iremos procurar os usuários que estão como admin local na rede e após isso configurar uma GPO para remover tal permissão, alocando-os novamente ao grupo de usuários comuns.
Para a missão de varrer a rede encontrei uma ferramenta super interessante e fácil de usar. Você pode importar os computadores diretamente do AD ou de uma arquivo csv, fica a seu critério. O grande lance é que, após a busca, poderá gerar um relatório em HTML ou CSV. Esse tipo de relatório é interessante para auditoria ou manter registado das alterações e otimizações realizadas.
Baixe a ferramenta aqui. A tela inicial é muito interativa, no meu caso optei por importar os usuários do AD, clicando a na opção disponível na tela.
Após importar os computadores, basta clicar em “Start” e aguardar o resultados. Lembre-se apenas de habilitar o ICMP nos clientes, a ferramenta utiliza o ping como forma de checar se a maquina está o não viva.
Meu resultado foi o seguinte:
Veja que ali temos dois usuários com permissões de administrador local.
Para remover esses carinhas, sem precisar sair da sala de TI, faremos uso do poder das GPOs \,,/.
Acesse o painel do GPMC, crie uma nova política e navegue pelo caminho: Computador > Políticas > Configurações do Windows > Conf. de Seg > Grupos Restritos.
Clique com o botão direito e “Adicionar Grupo”. Busque pelo grupo Administradores Builtin.
Adicione o usuário “administrador” e confirme as janelas.
A GPO terá precedência sobre qualquer configuração e assim removerá todos os usuários.
E ai, curtiu?! Com esses simples procedimentos manterá seu ambiente mais seguro! Compartilhe com seus colegas e cadastre-se aqui no site…
Grande abraço
Nathan, caso queira manter apenas grupos como admin local na estação, qual o procedimento?
Marcos, você pode usar Grupo Restritos ou LASP
Massa demais, me ajudou em uma demanda que eu precisava