Apêndice G: Protegendo grupos de administradores no Ative Directory

Apêndice G: Protegendo grupos de administradores no Ative Directory

Como é o caso dos grupos Administradores de Empresa (EA) e Administradores de Domínio (DA), a associação ao grupo interno de Administradores (BA) deve ser exigida apenas em cenários de compilação ou recuperação de desastres. Não deve haver contas de usuário diárias no grupo Administradores, com exceção da conta de Administrador Interno do domínio, se ela tiver sido protegida conforme descrito no Apêndice D: Protegendo Built-In Contas de Administrador no Ative Directory.

Os administradores são, por padrão, os proprietários da maioria dos objetos do AD DS em seus respetivos domínios. A associação a esse grupo pode ser necessária em cenários de compilação ou recuperação de desastres nos quais a propriedade ou a capacidade de assumir a propriedade de objetos é necessária. Além disso, DAs e EAs herdam vários de seus direitos e permissões em virtude de sua associação padrão no grupo Administradores. O aninhamento de grupo padrão para grupos privilegiados no Ative Directory não deve ser modificado e o grupo Administradores de cada domínio deve ser protegido conforme descrito nas instruções passo a passo a seguir.

! CUIDADO As etapas descritas neste documento devem ser testadas minuciosamente em um ambiente que não seja de produção antes de serem executadas na produção.

Para o grupo Administradores em cada domínio da floresta:

1. Remova todos os membros do grupo Administradores, com a possível exceção da conta de Administrador interna do domínio, desde que ela tenha sido protegida conforme descrito no Apêndice D: Protegendo Built-In Contas de Administrador no Ative Directory.

2. Em GPOs vinculados a UOs contendo servidores membros e estações de trabalho em cada domínio, o grupo BA deve ser adicionado aos seguintes direitos de usuário em Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário:

   • Recusar acesso a este computador à rede

   • Negar iniciar sessão como um trabalho em lote

   • Negar o início de sessão como um serviço

3. Na UO dos controladores de domínio em cada domínio da floresta, o grupo Administradores deve receber os seguintes direitos de usuário:

   • Aceder a este computador a partir da rede

   • Permitir início de sessão local

   • Permitir início de sessão através dos Serviços de Ambiente de Trabalho Remoto

4. A auditoria deve ser configurada para enviar alertas se forem feitas modificações nas propriedades ou na associação do grupo Administradores.

Instruções passo a passo para remover todos os membros do grupo de administradores

1. No Gerenciador do Servidor, clique em Ferramentas e em Usuários e Computadores do Ative Directory.

2. Para remover todos os membros do grupo Administradores, execute as seguintes etapas:

   1. Clique duas vezes no grupo Administradores e clique na guia Membros .

      

   2. Selecione um membro do grupo, clique em Remover, clique em Sim e clique em OK.

3. Repita a etapa 2 até que todos os membros do grupo Administradores tenham sido removidos.

Instruções passo a passo para proteger grupos de administradores no Ative Directory

1. No Gerenciador do Servidor, clique em Ferramentas e em Gerenciamento de Diretiva de Grupo.

2. Na árvore de console, expanda <Floresta>\Domínios\<Domínio> e, em seguida, Objetos de Diretiva de Grupo (onde <Floresta> é o nome da floresta e <Domínio> é o nome do domínio onde você deseja definir a Diretiva de Grupo).

3. Na árvore de console, clique com o botão direito do mouse em Objetos de Diretiva de Grupo e clique em Novo.

   

4. Na caixa de diálogo Novo GPO , digite <Nome> do GPO e clique em OK (onde Nome do GPO é o nome deste GPO).

   

5. No painel de detalhes, clique com o botão direito do mouse em <Nome> do GPO e clique em Editar.

6. Navegue até Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais e clique em Atribuição de Direitos de Usuário.

   

7. Configure os direitos de usuário para impedir que membros do grupo Administradores acessem servidores e estações de trabalho membros pela rede fazendo o seguinte:

   1. Clique duas vezes em Negar acesso a este computador da rede e selecione Definir estas configurações de política.

   2. Clique em Adicionar usuário ou grupo e clique em Procurar.

   3. Digite Administradores, clique em Verificar Nomes e clique em OK.

      

   4. Clique em OK e OK novamente.

8. Configurar os direitos de utilizador para impedir que os membros do grupo Administradores façam logon como uma tarefa em batch seguindo estes passos:

   1. Clique duas vezes em Negar início de sessão como um trabalho em lote e selecione Definir estas definições de política.

   2. Clique em Adicionar usuário ou grupo e clique em Procurar.

   3. Digite Administradores, clique em Verificar Nomes e clique em OK.

      

   4. Clique em OK e OK novamente.

9. Configure os direitos de utilizador para impedir que os membros do grupo Administradores iniciem sessão como serviço, procedendo da seguinte forma:

   1. Clique duas vezes em Negar logon como um serviço e selecione Definir estas configurações de política.

   2. Clique em Adicionar usuário ou grupo e clique em Procurar.

   3. Digite Administradores, clique em Verificar Nomes e clique em OK.

      

   4. Clique em OK e OK novamente.

10. Para sair do Editor de Gerenciamento de Diretiva de Grupo, clique em Arquivo e em Sair.

11. No Gerenciamento de Diretiva de Grupo, vincule o GPO às UOs do servidor membro e da estação de trabalho fazendo o seguinte:

    1. Navegue até à <Forest>>\Domains\<Domain> (onde <Forest> é o nome da floresta e <Domain> é o nome do domínio onde pretendes definir a Política de Grupo).

    2. Clique com o botão direito do mouse na UO à qual o GPO será aplicado e clique em Vincular um GPO existente.

       

    3. Selecione o GPO que você acabou de criar e clique em OK.

       

    4. Crie links para todas as outras UOs que contêm estações de trabalho.

    5. Crie links para todas as outras UOs que contenham servidores membros.

       Important

       Se os servidores de salto forem utilizados para administrar controladores de domínio e o Active Directory, certifique-se de que os servidores de salto estejam localizados numa OU à qual este GPO não está vinculado.

       Note

       Quando você implementa restrições no grupo Administradores em GPOs, o Windows aplica as configurações aos membros do grupo Administradores local de um computador, além do grupo Administradores do domínio. Portanto, você deve ter cuidado ao implementar restrições no grupo Administradores. Embora seja aconselhável proibir logons de rede, lote e serviço para membros do grupo de Administradores sempre que for viável implementar, não restrinja logons locais ou logons através dos Serviços de Área de Trabalho Remota. O bloqueio desses tipos de logon pode bloquear a administração legítima de um computador por membros do grupo Administradores local.

       A captura de tela a seguir mostra as definições de configuração que bloqueiam o uso indevido de contas de Administrador locais e de domínio internas, além do uso indevido de grupos de Administradores locais ou de domínio internos. Observe que o direito de utilizador "Negar o acesso através dos Serviços de Ambiente de Trabalho Remoto" não inclui o grupo Administradores, pois incluir este grupo na configuração também bloquearia esses acessos para contas que são membros do grupo Administradores do computador local. Se os serviços em computadores estiverem configurados para serem executados no contexto de qualquer um dos grupos privilegiados descritos nesta seção, a implementação dessas configurações poderá fazer com que os serviços e aplicativos falhem. Portanto, como acontece com todas as recomendações nesta seção, você deve testar completamente as configurações quanto à aplicabilidade em seu ambiente.

       

Instruções passo a passo para conceder direitos de usuário ao grupo Administradores

1. No Gerenciador do Servidor, clique em Ferramentas e em Gerenciamento de Diretiva de Grupo.

2. Na árvore de console, expanda <Floresta>\Domínios\<Domínio> e, em seguida, Objetos de Diretiva de Grupo (onde <Floresta> é o nome da floresta e <Domínio> é o nome do domínio onde você deseja definir a Diretiva de Grupo).

3. Na árvore de console, clique com o botão direito do mouse em Objetos de Diretiva de Grupo e clique em Novo.

   

4. Na caixa de diálogo Novo GPO , digite <Nome> do GPO e clique em OK (onde <Nome> do GPO é o nome deste GPO).

   

5. No painel de detalhes, clique com o botão direito do mouse em <Nome> do GPO e clique em Editar.

6. Navegue até Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais e clique em Atribuição de Direitos de Usuário.

   

7. Configure os direitos de usuário para permitir que os membros do grupo Administradores acessem controladores de domínio pela rede fazendo o seguinte:

   1. Clique duas vezes em Acesso a este computador a partir da rede e selecione Definir estas configurações de política.

   2. Clique em Adicionar usuário ou grupo e clique em Procurar.

   3. Clique em Adicionar usuário ou grupo e clique em Procurar.

      

   4. Clique em OK e OK novamente.

8. Configure os direitos de usuário para permitir que os membros do grupo Administradores façam logon localmente fazendo o seguinte:

   1. Clique duas vezes em Permitir logon localmente e selecione Definir estas configurações de política.

   2. Clique em Adicionar usuário ou grupo e clique em Procurar.

   3. Digite Administradores, clique em Verificar Nomes e clique em OK.

      

   4. Clique em OK e OK novamente.

9. Configure os direitos de usuário para permitir que os membros do grupo Administradores façam logon por meio dos Serviços de Área de Trabalho Remota fazendo o seguinte:

   1. Clique duas vezes em Permitir logon através dos Serviços de Área de Trabalho Remota e selecione Definir estas configurações de política.

   2. Clique em Adicionar usuário ou grupo e clique em Procurar.

   3. Digite Administradores, clique em Verificar Nomes e clique em OK.

      

   4. Clique em OK e OK novamente.

10. Para sair do Editor de Gerenciamento de Diretiva de Grupo, clique em Arquivo e em Sair.

11. No Gerenciamento de Diretiva de Grupo, vincule o GPO à UO dos controladores de domínio fazendo o seguinte:

    1. Navegue até à <Forest>\Domains\<Domain> (onde <Forest> é o nome da floresta e <Domain> é o nome do domínio onde pretendes definir a Política de Grupo).

    2. Clique com o botão direito na UO dos controladores de domínio e depois selecione Vincular um GPO existente.

       

    3. Selecione o GPO que você acabou de criar e clique em OK.

       

Etapas de verificação

Verifique as configurações de GPO "Negar acesso a este computador a partir da rede"

A partir de qualquer servidor membro ou estação de trabalho que não seja afetada pelas alterações de GPO (como um "servidor de salto"), tente acessar um servidor membro ou estação de trabalho pela rede afetada pelas alterações de GPO. Para verificar as configurações de GPO, tente mapear a unidade do sistema usando o comando NET USE .

1. Faça logon localmente usando uma conta que seja membro do grupo Administradores.

2. Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra de botões aparecer, clique em Pesquisar.

3. Na caixa Pesquisar , digite prompt de comando, clique com o botão direito do mouse em Prompt de Comando e clique em Executar como administrador para abrir um prompt de comando elevado.

4. Quando solicitado a aprovar a elevação, clique em Sim.

   

5. Na janela Prompt de Comando , digite net use \\<Nome> do Servidor\c$, onde <Nome> do Servidor é o nome do servidor membro ou estação de trabalho que você está tentando acessar pela rede.

6. A captura de tela a seguir mostra a mensagem de erro que deve aparecer.

   

Verifique as configurações do Grupo de Políticas de Grupo (GPO) "Negar logon como uma tarefa em lote"

Em qualquer servidor membro ou estação de trabalho afetada pelas alterações de GPO, faça logon localmente.

Criar um arquivo em lote

1. Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra de botões aparecer, clique em Pesquisar.

2. Na caixa Pesquisar , digite bloco de notas e clique em Bloco de Notas.

3. No Bloco de Notas, digite dir c:.

4. Clique em Arquivo e clique em Salvar como.

5. No campo Nome do arquivo , digite <Nome do arquivo>.bat (onde <Nome do arquivo> é o nome do novo arquivo em lotes).

Agendar uma tarefa

1. Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra de botões aparecer, clique em Pesquisar.

2. Na caixa Pesquisar , digite agendador de tarefas e clique em Agendador de Tarefas.

   Note

   Em computadores que executam o Windows 8, na caixa Pesquisar, digite agendar tarefas e clique em Agendar tarefas.

3. Clique em Ação e clique em Criar tarefa.

4. Na caixa de diálogo Criar Tarefa, digite <Nome> da Tarefa (onde <Nome> da Tarefa é o nome da nova tarefa).

5. Clique na guia Ações e clique em Novo.

6. No campo Ação , selecione Iniciar um programa.

7. No campo Programa/script , clique em Procurar, localize e selecione o arquivo em lotes criado na seção Criar um arquivo em lotes e clique em Abrir.

8. Clique em OK.

9. Clique na guia Geral .

10. No campo Opções de segurança , clique em Alterar Usuário ou Grupo.

11. Digite o nome de uma conta que seja membro do grupo Administradores, clique em Verificar Nomes e clique em OK.

12. Selecione Executar se o usuário está conectado ou não e Não armazenar senha. A tarefa só terá acesso aos recursos do computador local.

13. Clique em OK.

14. Uma caixa de diálogo deve aparecer, solicitando credenciais de conta de usuário para executar a tarefa.

15. Depois de introduzir a palavra-passe, clique em OK.

16. Deve aparecer uma caixa de diálogo semelhante à seguinte.

    

Verifique as configurações de GPO "Negar logon como um serviço"

1. Em qualquer servidor membro ou estação de trabalho afetada pelas alterações de GPO, faça logon localmente.

2. Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra de botões aparecer, clique em Pesquisar.

3. Na caixa Pesquisar , digite serviços e clique em Serviços.

4. Localize e clique duas vezes em Spooler de Impressão.

5. Clique na guia Logon .

6. No campo Fazer logon como , selecione Esta conta.

7. Clique em Procurar, digite o nome de uma conta que seja membro do grupo Administradores, clique em Verificar Nomes e clique em OK.

8. Nos campos Senha e Confirmar senha, digite a senha da conta selecionada e clique em OK.

9. Clique em OK mais três vezes.

10. Clique com o botão direito do rato em Spooler de Impressão e clique em Reiniciar.

11. Quando o serviço é reiniciado, uma caixa de diálogo semelhante à seguinte deve aparecer.

    

Reverter alterações no serviço de spooler da impressora

1. Em qualquer servidor membro ou estação de trabalho afetada pelas alterações de GPO, faça logon localmente.

2. Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra de botões aparecer, clique em Pesquisar.

3. Na caixa Pesquisar , digite serviços e clique em Serviços.

4. Localize e clique duas vezes em Spooler de Impressão.

5. Clique na guia Logon .

6. No campo Fazer logon como, clique em Conta do sistema local e clique em OK.