AD: proibindo grupos de altos privilégios de acessarem as estações do domínio

Salve profissionais de TI!

Hoje irei falar sobre como proteger seu Active Directory e ambiente com uma dica bastante útil. No caso é restringir o acesso de administradores do domínio, esquema e empresa de acessarem as estações e servidores membros do seu ambiente. Isso porque, uma vez um vírus instalado na estação, ele tem como objetivo roubar credenciais de usuários em que estão nos grupos de altos privilégios do AD para fazerem alterações no ambiente, deixando muita vezes inseguro ou até excluí-lo. Outra dica é também desativar o administrador local da estações.

Nessa dica, mostraremos como proibir os usuários que estão nos mais altos grupos de privilégios de conseguirem logar nas estações do seu domínio e/ou servidores membros.

Dica

1. Acesse o Gerenciamento de Política de Grupo.

1-Gerenciamento-de-Poltica-de-Grupo

2. Com a interface aberta, crie uma GPO em que esteja acima das OUs em que estão as estações e servidores membros do seu ambiente. No exemplo abaixo, estou criando uma GPO acima da OU-Várzea Alegre, OU esta em que contém os servidores membros e estações do meu AD. Selecione a OU e com o botão direito do mouse clique em “Criar um GPO neste domínio e … “.

2

3. Dê o nome a GPO, no meu caso coloquei o nome “ConfEstaçõesLocais”.

4. Após dado o nome, clicaremos com o botão direito do mouse na diretiva e selecionaremos Editar.

3

5. Navegue em: Configurações do Computador / Políticas / Configurações do Windows / Configurações de Segurança / Políticas Locais / Atribuição de direitos de usuário.

4

6. Após chegar em atribuição de direitos de usuário, procure as diretivas:

5

7. Iremos agora negar que grupos administradores do domínio, esquema, empresa e local acessem estas estações, seja acessando localmente, pela rede, como um serviço, lotes ou pelos serviços de trabalho de área remota. Iremos clicar primeiro em 5.1

8. Acesse as propriedades da diretiva e insira os grupos: Administradores, administradores do domínio, empresa e esquema. Clique em “Adicionar usuário ou grupo”. Inserido os grupos clicamos em Aplicar e depois Ok.

6

Observação: Ao inserir os grupos administradores de empresa, esquema e domínio, verifique se o nome do domínio vem antes do nome do grupo. Por exemplo, na figura acima, observamos que os mesmos possuem o DIEGO\ antes do nome do grupo. Escrevo isso porque podemos digitar os nomes dos grupos e ficar sem o nome do domínio antes e não dar certo ao testar.

9. Verificando se o computador receberá a diretiva

Com a diretiva criada, iremos abrir a interface gráfica do no ADDS. Observamos que o computador TI01 esta inserido na OU-Teste. OU-Teste que está dentro da OU-Várzea Alegre que receberá a diretiva. Este passo é mais para verificar se anda tudo certo. Caso o computador não esteja em uma OU em que irá receber a diretiva, temos que move-lo até a OU que recebe a configuração.

8

10. Ainda com o ADDS aberto, iremos agora em dois usuários para verificarmos as permissões dos mesmos. O primeiro usuário é o Diego Lima. Observamos conforme a figura abaixo, que o mesmo tem permissões de administrador do domínio.

9

Este é um usuário, em que não é para dar certo conseguir logar na estações e servidores membros.

Agora iremos no segundo usuário. O segundo usuário é a user Diana Lima. Conforme a figura abaixo, a mesma tem permissões apenas de usuário do domínio.

10

Já este é um usuário, em que é para dar certo conseguir logar na estações.

11. Agora iremos testar o primeiro usuário, Diego Lima. Digitando o usuário e senha dele:.

11

12

Opa, observamos aqui que recebemos uma mensagem. A mensagem avisa que o método de logon (no caso local) não é permitido para o computador em questão. Diretiva funcionou.

Agora iremos acessar a mesma estação com a usuária Diana Lima, usuária mostrada nos passos acima que não está vinculada a nenhum grupo de alto privilégio que foi bloqueado.

13

14

Opa, observamos aqui que não recebemos uma mensagem.

Observações Importantes, caso a diretiva não funcione:

  • Após criar a GPO, verifique se a estação está inserida em uma OU que recebe a diretiva. (Conforme passo 9)
  • Depois de criada a GPO, reinicie a estação ou insira o comando GPUPDATE /FORCE. No nosso exemplo, a estação que recebe a diretiva é a TI01
  • Caso os passos acima não deem certo, olhe se não existe outra diretiva abaixo da diretiva de bloqueio que permite o acesso de administradores a estação. Podemos dar o comando gpresult /r  no CMD no modo de administrador e verificar se a estação recebe a diretiva em configurações do computador.

Até a próxima dica! Winking smile

Este artigo também pode ser visto em TechNet Microsoft Brasil

Diego Gouveia

Mais artigos deste autor »

Nascido e residente de Fortaleza – CE, Diego Lima é graduado em Análise de Sistemas, MTAC (Multi-Plataform Tecnical Audience Contributor), escreve para diversas comunidades técnicas e é autor dos livros: Tudo sobre GPOs no Windows Server e Administrando o Active Directory com o PowerShell. Atualmente é Analista de TI e busca sempre aprender mais para o seu crescimento profissional.


3 Comentários

Jario Nunes
1

Olá Diego mas, quando precisar efetuar manutenção nos servidores? como faço? vou conseguir ligo como administrador? afinal a GPO se aplica inclusive no adm local.
sou curioso e trabalho com Suporte TI em uma pequena empresa corporativa em SP.
Abraço…

Cintra
2

Diego, muito bom o artigo, a tempo me deparo com esse dilema, porém minha dúvida é a mesma do amigo Jairo Nunes, como faríamos para instalar softwares e/ou suporte que necessitem de administrador?

Diego Gouveia
3

Olá Jário e Cintra,
Em relação a pergunta de vocês:
No caso, vocês poderiam ter outra GPO em que estava desabilitado o recurso de bloqueio de grupos de altos privilégios. Ou seja, você teria duas GPOs, uma de bloqueio habilitada em todo domínio e outra segunda que permitia a liberação de acesso. No caso dessa segunda GPO(que permitia a liberação de grupos de altos privilégios logarem) ela ficaria DESABILITADA e uma vez que precisasse logar com este usuários nos servidores para dar alguma manutenção, você habilitaria a GPO e terminada a manutenção desabilitava novamente. Ou então esquecia essa segunda GPO e criaria um usuário específico em que teria permissão de logar.. etc.. existe n possibilidades. Certo?

Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!