Os profissionais de TI precisam de direitos de administrador local nos dispositivos corporativos para instalar software, modificar configurações de configuração, realizar solução de problemas e assim por diante. Mas, com muita frequência, os usuários corporativos também recebem rotineiramente direitos de administrador local em seus computadores.
Embora conceder a esses usuários esses direitos possa ser conveniente, isso cria graves lacunas de segurança. Em primeiro lugar, os próprios usuários podem instalar intencionalmente aplicativos não aprovados ou modificar configurações para otimizar seu trabalho, sem entender suficientemente os riscos de segurança que podem estar introduzindo. Além disso, qualquer usuário pode cair em um ataque de engenharia social — por exemplo, eles abrem um anexo malicioso ou clicam em um link malicioso em um e-mail de phishing. Mas se o usuário tiver direitos de administrador local, eles podem inadvertidamente instalar malware, que pode potencialmente capturar ou explorar esses direitos de administrador para roubar dados ou causar outros danos.
Consequentemente, é uma prática recomendada remover os direitos de administrador local dos usuários corporativos em cada computador. Aqui estão os 4 passos para implementar essa prática de segurança fundamental.
Passo 1: Descubra quem possui acesso de administrador local.
O primeiro passo é identificar todos os usuários que têm direitos de administrador local em cada servidor e desktop. Em um sistema Windows, os usuários podem receber acesso de administrador local por meio da associação ao grupo Administradores Locais de uma das seguintes maneiras:
- Associação direta ao grupo — A conta do usuário está listada como membro do grupo.
- Associação indireta (aninhada) ao grupo — A conta do usuário é membro de outro grupo, e esse grupo é membro do grupo Administradores Locais. Em geral, é prudente evitar o aninhamento com grupos privilegiados, pois torna mais difícil determinar exatamente quem tem direitos de acesso privilegiado.
Infelizmente, não existem ferramentas nativas que possam fornecer uma lista completa de administradores locais em todos os sistemas de sua infraestrutura de TI. No entanto, uma solução de terceiros como o Netwrix Privilege Secure pode fornecer visibilidade total sobre a associação de cada um de seus grupos privilegiados, incluindo os grupos Administradores Locais em seus servidores e estações de trabalho Windows. Além disso, o Netwrix Privilege Secure auditará todas as alterações em seus grupos privilegiados e o alertará sobre atividades suspeitas.
Passo 2: Faça com que os proprietários dos grupos revisem e atestem a associação ao grupo.
O próximo passo é determinar o proprietário de cada grupo de administrador local. Isso pode ser uma tarefa desafiadora, então considere usar uma solução que possa identificar automaticamente os proprietários prováveis dos grupos.
Em seguida, o proprietário de cada grupo deve revisar cuidadosamente sua associação, com o objetivo de remover os direitos de acesso de administrador local que não são necessários para reduzir a área de superfície de ataque da organização. Este processo de revisão e atestação deve ser repetido em uma programação regular.
Passo 3: Garanta que cada conta de administrador local tenha uma senha única.
Em muitas organizações, a conta de administrador local padrão em cada dispositivo Windows tem o mesmo nome de usuário e senha. Portanto, um adversário que obtenha essas credenciais em apenas uma máquina tem acesso administrativo a todas as máquinas, podendo mover-se lateralmente à vontade por todo o seu domínio.
Para ajudar, a Microsoft oferece o Windows Local Access Password Solution (LAPS). O LAPS garantirá que cada computador em um domínio tenha uma senha única para a conta de administrador local, além de alterar automaticamente a senha do administrador local em um intervalo configurado. O LAPS pode ser implantado usando Política de Grupo ou Intune.
Passo 4: Capacite usuários e administradores a realizar suas tarefas necessárias com segurança.
O princípio do menor privilégio é uma pedra angular da segurança: Cada usuário deve ter apenas os privilégios necessários para realizar seu trabalho. Limitar os direitos de administrador local é um passo importante para impor o menor privilégio — mas tanto os administradores quanto os usuários corporativos às vezes precisam realizar tarefas que exigem esses direitos.
Com funcionalidades nativas do Windows, você poderia fazer com que os administradores façam login em uma máquina usando uma conta sem privilégios e depois usar a opção “executar como administrador” para quaisquer tarefas que exijam direitos elevados. No entanto, essa abordagem ainda requer contas de administração permanentes, que estão sujeitas a uso indevido por seus proprietários e comprometimento por adversários. Uma boa alternativa é usar uma solução de gerenciamento de acesso privilegiado (PAM) feita sob medida que substitua contas privilegiadas permanentes por contas sob demanda que tenham acesso apenas o suficiente para realizar a tarefa em questão e sejam automaticamente excluídas posteriormente. Como resultado, você terá quase nenhuma conta administrativa permanente com que se preocupar constantemente.
Para permitir que os usuários corporativos ignorem os prompts de UAC e executem os aplicativos específicos de que precisam — sem conceder a eles direitos de administrador local, considere o Netwrix PolicyPak Least Privilege Manager. Esta poderosa solução também pode impedir que os usuários baixem ou instalem ransomware ou outros executáveis indesejados.
Conclusão
Controlar estritamente o acesso privilegiado é vital para evitar violações custosas, tempo de inatividade e penalidades de conformidade. Com as ferramentas certas, você pode remover os direitos de administrador local dos usuários corporativos sem prejudicar sua capacidade de realizar seus trabalhos, reduzindo drasticamente sua área de superfície de ataque.