{"id":2732,"date":"2024-05-14T17:49:49","date_gmt":"2024-05-14T20:49:49","guid":{"rendered":"https:\/\/aiqon.com.br\/blog\/?p=2732"},"modified":"2024-05-14T18:08:21","modified_gmt":"2024-05-14T21:08:21","slug":"controle-direitos-administrador-local-4-passos","status":"publish","type":"post","link":"https:\/\/aiqon.com.br\/blog\/controle-direitos-administrador-local-4-passos\/","title":{"rendered":"Controle Eficiente de Direitos de Administrador Local: 4 Passos"},"content":{"rendered":"<div id=\"bsf_rt_marker\"><\/div><p>Os profissionais de TI precisam de direitos de administrador local nos dispositivos corporativos para instalar software, modificar configura\u00e7\u00f5es de configura\u00e7\u00e3o, realizar solu\u00e7\u00e3o de problemas e assim por diante. Mas, com muita frequ\u00eancia, os usu\u00e1rios corporativos tamb\u00e9m recebem rotineiramente direitos de administrador local em seus computadores.<\/p>\n<p>Embora conceder a esses usu\u00e1rios esses direitos possa ser conveniente, isso cria graves lacunas de seguran\u00e7a. Em primeiro lugar, os pr\u00f3prios usu\u00e1rios podem instalar intencionalmente aplicativos n\u00e3o aprovados ou modificar configura\u00e7\u00f5es para otimizar seu trabalho, sem entender suficientemente os riscos de seguran\u00e7a que podem estar introduzindo. Al\u00e9m disso, qualquer usu\u00e1rio pode cair em um ataque de engenharia social \u2014 por exemplo, eles abrem um anexo malicioso ou clicam em um link malicioso em um e-mail de phishing. Mas se o usu\u00e1rio tiver direitos de administrador local, eles podem inadvertidamente instalar malware, que pode potencialmente capturar ou explorar esses direitos de administrador para roubar dados ou causar outros danos.<\/p>\n<p>Consequentemente, \u00e9 uma pr\u00e1tica recomendada remover os direitos de administrador local dos usu\u00e1rios corporativos em cada computador. Aqui est\u00e3o os 4 passos para implementar essa pr\u00e1tica de seguran\u00e7a fundamental.<\/p>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_83 ez-toc-wrap-left counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Nesse Artigo<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Alternar tabela de conte\u00fado\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/aiqon.com.br\/blog\/controle-direitos-administrador-local-4-passos\/#Passo_1_Descubra_quem_possui_acesso_de_administrador_local\" >Passo 1: Descubra quem possui acesso de administrador local.<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/aiqon.com.br\/blog\/controle-direitos-administrador-local-4-passos\/#Passo_2_Faca_com_que_os_proprietarios_dos_grupos_revisem_e_atestem_a_associacao_ao_grupo\" >Passo 2: Fa\u00e7a com que os propriet\u00e1rios dos grupos revisem e atestem a associa\u00e7\u00e3o ao grupo.<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/aiqon.com.br\/blog\/controle-direitos-administrador-local-4-passos\/#Passo_3_Garanta_que_cada_conta_de_administrador_local_tenha_uma_senha_unica\" >Passo 3: Garanta que cada conta de administrador local tenha uma senha \u00fanica.<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/aiqon.com.br\/blog\/controle-direitos-administrador-local-4-passos\/#Passo_4_Capacite_usuarios_e_administradores_a_realizar_suas_tarefas_necessarias_com_seguranca\" >Passo 4: Capacite usu\u00e1rios e administradores a realizar suas tarefas necess\u00e1rias com seguran\u00e7a.<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/aiqon.com.br\/blog\/controle-direitos-administrador-local-4-passos\/#Conclusao\" >Conclus\u00e3o<\/a><\/li><\/ul><\/nav><\/div>\n<h2><span class=\"ez-toc-section\" id=\"Passo_1_Descubra_quem_possui_acesso_de_administrador_local\"><\/span>Passo 1: Descubra quem possui acesso de administrador local.<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>O primeiro passo \u00e9 identificar todos os usu\u00e1rios que t\u00eam direitos de administrador local em cada servidor e desktop. Em um sistema Windows, os usu\u00e1rios podem receber acesso de administrador local por meio da associa\u00e7\u00e3o ao grupo Administradores Locais de uma das seguintes maneiras:<\/p>\n<ul>\n<li><strong>Associa\u00e7\u00e3o direta ao grupo<\/strong> \u2014 A conta do usu\u00e1rio est\u00e1 listada como membro do grupo.<\/li>\n<li><strong>Associa\u00e7\u00e3o indireta (aninhada) ao grupo<\/strong> \u2014 A conta do usu\u00e1rio \u00e9 membro de outro grupo, e esse grupo \u00e9 membro do grupo Administradores Locais. Em geral, \u00e9 prudente evitar o aninhamento com grupos privilegiados, pois torna mais dif\u00edcil determinar exatamente quem tem direitos de acesso privilegiado.<\/li>\n<\/ul>\n<p>Infelizmente, n\u00e3o existem ferramentas nativas que possam fornecer uma lista completa de administradores locais em todos os sistemas de sua infraestrutura de TI. No entanto, uma solu\u00e7\u00e3o de terceiros como o <a href=\"https:\/\/aiqon.com.br\/sbpam\">Netwrix Privilege Secure<\/a> pode fornecer visibilidade total sobre a associa\u00e7\u00e3o de cada um de seus grupos privilegiados, incluindo os grupos Administradores Locais em seus servidores e esta\u00e7\u00f5es de trabalho Windows. Al\u00e9m disso, o Netwrix Privilege Secure auditar\u00e1 todas as altera\u00e7\u00f5es em seus grupos privilegiados e o alertar\u00e1 sobre atividades suspeitas.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Passo_2_Faca_com_que_os_proprietarios_dos_grupos_revisem_e_atestem_a_associacao_ao_grupo\"><\/span>Passo 2: Fa\u00e7a com que os propriet\u00e1rios dos grupos revisem e atestem a associa\u00e7\u00e3o ao grupo.<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>O pr\u00f3ximo passo \u00e9 determinar o propriet\u00e1rio de cada grupo de administrador local. Isso pode ser uma tarefa desafiadora, ent\u00e3o considere usar uma solu\u00e7\u00e3o que possa <a href=\"https:\/\/aiqon.com.br\/stealthaudit\/\">identificar automaticamente os propriet\u00e1rios prov\u00e1veis dos grupos<\/a>.<\/p>\n<p>Em seguida, o propriet\u00e1rio de cada grupo deve revisar cuidadosamente sua associa\u00e7\u00e3o, com o objetivo de remover os direitos de acesso de administrador local que n\u00e3o s\u00e3o necess\u00e1rios para reduzir a \u00e1rea de superf\u00edcie de ataque da organiza\u00e7\u00e3o. Este processo de revis\u00e3o e atesta\u00e7\u00e3o deve ser repetido em uma programa\u00e7\u00e3o regular.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Passo_3_Garanta_que_cada_conta_de_administrador_local_tenha_uma_senha_unica\"><\/span>Passo 3: Garanta que cada conta de administrador local tenha uma senha \u00fanica.<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Em muitas organiza\u00e7\u00f5es, a conta de administrador local padr\u00e3o em cada dispositivo Windows tem o mesmo nome de usu\u00e1rio e senha. Portanto, um advers\u00e1rio que obtenha essas credenciais em apenas uma m\u00e1quina tem acesso administrativo a todas as m\u00e1quinas, podendo <a href=\"https:\/\/aiqon.com.br\/blog\/entendendo-o-movimento-lateral-e-escalonamento-de-privilegio\/\">mover-se lateralmente<\/a> \u00e0 vontade por todo o seu dom\u00ednio.<\/p>\n<p>Para ajudar, a Microsoft oferece o Windows Local Access Password Solution (LAPS). O LAPS garantir\u00e1 que cada computador em um dom\u00ednio tenha uma senha \u00fanica para a conta de administrador local, al\u00e9m de alterar automaticamente a senha do administrador local em um intervalo configurado. O LAPS pode ser implantado usando Pol\u00edtica de Grupo ou Intune.<\/p>\n<p><a href=\"https:\/\/lps.aiqon.com.br\/pam-melhores-praticas\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-2162 size-full\" src=\"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2022\/04\/PAM-Blog-Ebook.webp\" alt=\"Direitos de Administrador Local\" width=\"1000\" height=\"200\" srcset=\"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2022\/04\/PAM-Blog-Ebook.webp 1000w, https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2022\/04\/PAM-Blog-Ebook-300x60.webp 300w, https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2022\/04\/PAM-Blog-Ebook-768x154.webp 768w\" sizes=\"auto, (max-width: 1000px) 100vw, 1000px\" \/><\/a><\/p>\n<h2><span class=\"ez-toc-section\" id=\"Passo_4_Capacite_usuarios_e_administradores_a_realizar_suas_tarefas_necessarias_com_seguranca\"><\/span>Passo 4: Capacite usu\u00e1rios e administradores a realizar suas tarefas necess\u00e1rias com seguran\u00e7a.<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>O<a href=\"https:\/\/lps.aiqon.com.br\/contas-individuais-automacao-escalavel-ebook\"> princ\u00edpio do menor privil\u00e9gio<\/a> \u00e9 uma pedra angular da seguran\u00e7a: Cada usu\u00e1rio deve ter apenas os privil\u00e9gios necess\u00e1rios para realizar seu trabalho. Limitar os direitos de administrador local \u00e9 um passo importante para impor o menor privil\u00e9gio \u2014 mas tanto os administradores quanto os usu\u00e1rios corporativos \u00e0s vezes precisam realizar tarefas que exigem esses direitos.<\/p>\n<p>Com funcionalidades nativas do Windows, voc\u00ea poderia fazer com que os administradores fa\u00e7am login em uma m\u00e1quina usando uma conta sem privil\u00e9gios e depois usar a op\u00e7\u00e3o &#8220;executar como administrador&#8221; para quaisquer tarefas que exijam direitos elevados. No entanto, essa abordagem ainda requer contas de administra\u00e7\u00e3o permanentes, que est\u00e3o sujeitas a uso indevido por seus propriet\u00e1rios e comprometimento por advers\u00e1rios. Uma boa alternativa \u00e9 usar uma solu\u00e7\u00e3o de <a href=\"https:\/\/aiqon.com.br\/sbpam\/\">gerenciamento de acesso privilegiado (PAM)<\/a> feita sob medida que substitua contas privilegiadas permanentes por contas sob demanda que tenham acesso apenas o suficiente para realizar a tarefa em quest\u00e3o e sejam automaticamente exclu\u00eddas posteriormente. Como resultado, voc\u00ea ter\u00e1 quase nenhuma conta administrativa permanente com que se preocupar constantemente.<\/p>\n<p>Para permitir que os usu\u00e1rios corporativos ignorem os prompts de UAC e executem os aplicativos espec\u00edficos de que precisam \u2014 sem conceder a eles direitos de administrador local, considere o <a href=\"https:\/\/aiqon.com.br\/policypak\/\">Netwrix PolicyPak Least Privilege Manager<\/a>. Esta poderosa solu\u00e7\u00e3o tamb\u00e9m pode impedir que os usu\u00e1rios baixem ou instalem <a href=\"https:\/\/aiqon.com.br\/blog\/ransomware-melhores-praticas-de-prevencao\/\">ransomware<\/a> ou outros execut\u00e1veis indesejados.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Conclusao\"><\/span>Conclus\u00e3o<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Controlar estritamente o acesso privilegiado \u00e9 vital para evitar viola\u00e7\u00f5es custosas, tempo de inatividade e penalidades de conformidade. Com as ferramentas certas, voc\u00ea pode remover os direitos de administrador local dos usu\u00e1rios corporativos sem prejudicar sua capacidade de realizar seus trabalhos, reduzindo drasticamente sua \u00e1rea de superf\u00edcie de ataque.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Os profissionais de TI precisam de direitos de administrador local nos dispositivos corporativos para instalar software, modificar configura\u00e7\u00f5es de configura\u00e7\u00e3o, realizar solu\u00e7\u00e3o de problemas e assim por diante. Mas, com muita frequ\u00eancia, os usu\u00e1rios corporativos tamb\u00e9m recebem rotineiramente direitos de administrador local em seus computadores. Embora conceder a esses usu\u00e1rios esses direitos possa ser conveniente, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":2735,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[303],"tags":[297,203,254],"class_list":["post-2732","post","type-post","status-publish","format-standard","has-post-thumbnail","category-identidade-e-acesso","tag-iam","tag-pam","tag-password","czr-hentry"],"jetpack_featured_media_url":"https:\/\/aiqon.com.br\/blog\/wp-content\/uploads\/2024\/05\/Direitos-de-Administrador-Local.png","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/2732","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/comments?post=2732"}],"version-history":[{"count":1,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/2732\/revisions"}],"predecessor-version":[{"id":2733,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/2732\/revisions\/2733"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/media\/2735"}],"wp:attachment":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/media?parent=2732"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/categories?post=2732"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/tags?post=2732"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}