Passos para Controlar Direitos de Administrador Local

Os profissionais de TI precisam de direitos de administrador local em dispositivos corporativos para instalar software, modificar configurações, realizar solução de problemas e assim por diante. Mas, com muita frequência, os usuários de negócios também são rotineiramente concedidos direitos de administrador local em seus computadores.

Embora conceder aos usuários esses direitos possa ser conveniente, cria sérias lacunas de segurança. Primeiramente, os próprios usuários podem intencionalmente instalar aplicações não aprovadas ou modificar configurações para otimizar seu trabalho, sem compreensão suficiente dos riscos de segurança que podem estar introduzindo. Além disso, qualquer usuário pode ser vítima de um ataque de engenharia social — por exemplo, ao abrir um anexo malicioso ou clicar em um link malicioso em um e-mail de phishing. Mas se o usuário tem direitos de administrador local, ele pode inadvertidamente instalar malware, que pode potencialmente capturar ou explorar esses direitos de administrador para roubar dados ou causar outros danos.

Portanto, é uma prática recomendada remover os direitos de administrador local dos usuários de negócios em todos os computadores. Aqui estão os 4 passos a seguir para implementar essa prática de segurança essencial.

Passo 1: Descubra quem tem acesso de administrador local.

O primeiro passo é identificar todos os usuários que possuem direitos de administrador local em cada servidor e desktop. Em um sistema Windows, os usuários podem ser concedidos acesso de administrador local por meio da associação no grupo de Administradores Locais de uma das seguintes maneiras:

• Membro direto do grupo — A conta de usuário está listada como membro do grupo.
• Membro de grupo indireto (aninhado) — A conta de usuário é membro de outro grupo, e esse grupo é membro do grupo de Administradores Locais.

Em geral, é prudente evitar o aninhamento com grupos privilegiados, pois isso torna mais difícil determinar exatamente quem possui direitos de acesso privilegiado.

Infelizmente, não existem ferramentas nativas que possam fornecer uma lista completa dos administradores locais em todos os sistemas do seu ambiente de TI. No entanto, uma solução de terceiros como Netwrix Privilege Secure pode fornecer-lhe total visibilidade sobre a composição de cada um dos seus grupos privilegiados, incluindo os grupos de Administradores Locais nos seus servidores e estações de trabalho Windows. Além disso, o Netwrix Privilege Secure irá auditar todas as alterações nos seus grupos privilegiados e alertá-lo sobre atividades suspeitas.

Passo 2: Peça aos proprietários dos grupos para revisar e atestar a adesão ao grupo.

O próximo passo é determinar o proprietário de cada grupo de administrador local. Esta pode ser uma tarefa desafiadora, então considere usar uma solução que possa identificar prováveis proprietários de grupos automaticamente.

Então, o responsável por cada grupo deve revisar cuidadosamente sua composição, com o objetivo de remover os direitos de acesso de administrador local que não são necessários para reduzir a área de superfície de ataque da organização. Esse processo de revisão e atestação deve ser repetido regularmente.

Passo 3. Garanta que cada conta de administrador local tenha uma senha única.

Em muitas organizações, a conta de administrador local padrão em todos os dispositivos Windows possui o mesmo nome de usuário e senha. Portanto, um adversário que obtenha essas credenciais em apenas uma máquina terá acesso administrativo a todas as máquinas, podendo assim mover-se lateralmente à vontade pelo seu domínio.

Para ajudar, a Microsoft oferece a solução Windows Local Access Password Solution (LAPS). LAPS garante que cada computador em um domínio tenha uma senha única para a conta de administrador local, além de alterar automaticamente a senha do administrador local em um intervalo configurado. LAPS pode ser implementado usando Group Policy ou Intune.

Passo 4: Capacite usuários e administradores para realizar suas tarefas necessárias com segurança.

O princípio do menor privilégio é um pilar da segurança: Cada usuário deve ter apenas os privilégios necessários para desempenhar seu trabalho. Limitar os direitos de administrador local é um passo importante na aplicação do menor privilégio — mas tanto administradores quanto usuários de negócios às vezes precisam realizar tarefas que exigem esses direitos.

Com a funcionalidade nativa do Windows, você poderia ter administradores fazendo login em uma máquina usando uma conta sem privilégios e depois usar a opção “executar como administrador” para quaisquer tarefas que exijam direitos elevados. No entanto, essa abordagem ainda exige contas de administração permanentes, que estão sujeitas a uso indevido por seus proprietários e comprometimento por adversários. Uma boa alternativa é usar uma solução de Privileged Access Management (PAM) que substitui contas privilegiadas permanentes por contas sob demanda que têm acesso suficiente apenas para realizar a tarefa em questão e são automaticamente excluídas depois. Como resultado, você terá quase nenhuma conta administrativa permanente com a qual se preocupar constantemente.

Para permitir que usuários de negócios ignorem os avisos do UAC e executem os aplicativos específicos de que precisam — sem conceder-lhes direitos de administrador local, considere o Netwrix Endpoint Policy Manager Least Privilege Manager. Esta poderosa solução também pode impedir que os usuários baixem ou instalem ransomware ou outros executáveis indesejados.

Conclusão

Controlar rigorosamente o acesso privilegiado é vital para evitar violações dispendiosas, inatividade e penalidades de conformidade. Com as ferramentas adequadas, você pode remover os direitos de administrador local dos usuários de negócios sem prejudicar a capacidade deles de executar suas tarefas, reduzindo drasticamente a área de superfície de ataque.