Proteger contas de computador locais com o Active Directory
A conta de computador (ou LocalSystem) é uma conta interna e altamente privilegiada com acesso a praticamente todos os recursos no computador local. A conta não é associada a nenhuma conta de usuário conectada. Os serviços em execução, como o LocalSystem, acessam recursos de rede apresentando as credenciais do computador a servidores remotos no formato <domain_name>\\<computer_name>$. O nome predefinido da conta de computador é NT AUTHORITY\SYSTEM. Você pode usá-lo para iniciar um serviço e fornecer um contexto de segurança para ele.
Benefícios do uso de uma conta de computador
Uma conta de computador oferece os seguintes benefícios:
- Acesso local irrestrito: a conta de computador fornece acesso completo aos recursos locais do computador
- Gerenciamento automático de senhas: elimina a necessidade de alterar manualmente as senhas. A conta é membro do Active Directory, e sua senha é alterada automaticamente. Com uma conta de computador, não é necessário registrar o nome da entidade de serviço.
- Direitos de acesso limitados fora do computador: a lista de controle de acesso padrão no Active Directory Domain Services (AD DS) permite o acesso mínimo a contas de computador. Durante o acesso de um usuário não autorizado, o serviço tem acesso limitado aos recursos de rede.
Avaliação de postura de segurança da conta de computador
Use a tabela a seguir para examinar possíveis problemas e mitigações da conta de computador.
| Problema de conta de computador | Atenuação |
|---|---|
| As contas de computador estão sujeitas à exclusão e recreação quando o computador sai e reingressa no domínio. | Confirme o requisito de adicionar um computador a um grupo do Active Directory. Para verificar as contas de computador adicionadas a um grupo, use os scripts na seção a seguir. |
| Se você adicionar uma conta de computador a um grupo, todos os serviços executados como LocalSystem nesse computador receberão os direitos de acesso do grupo. | Seja seletivo sobre associações de grupo de conta de computador. Não torne uma conta de computador membro de um grupo de administradores de domínio. O serviço associado tem acesso completo ao AD DS. |
| Padrões de rede inadequados para o LocalSystem. | Não suponha que a conta de computador tenha o acesso limitado padrão aos recursos da rede. Em vez disso, confirme as associações de grupo para a conta. |
| Serviços desconhecidos que são executados como LocalSystem. | Verifique se todos os serviços executados na conta LocalSystem são dos serviços da Microsoft ou de serviços confiáveis. |
Localizar serviços e contas de computador
Para localizar serviços executados na conta de computador, use o seguinte cmdlet do PowerShell:
Get-WmiObject win32_service | select Name, StartName | Where-Object {($_.StartName -eq "LocalSystem")}
Para localizar contas de computador que são membros de um grupo específico, execute o seguinte cmdlet do PowerShell:
Get-ADComputer -Filter {Name -Like "*"} -Properties MemberOf | Where-Object {[STRING]$_.MemberOf -like "Your_Group_Name_here*"} | Select Name, MemberOf
Para localizar contas de computador que são membros de grupos de administradores de identidade (administradores gerais, de domínio, ou de empresa), execute o seguinte cmdlet do PowerShell:
Get-ADGroupMember -Identity Administrators -Recursive | Where objectClass -eq "computer"
Recomendações da conta de computador
Importante
As contas de computador são altamente privilegiadas e deverão ser usadas somente quando o serviço precisar de acesso irrestrito aos recursos locais no computador e você não puder usar uma conta de serviço gerenciado (MSA).
- Confirme se o serviço do proprietário do serviço é executado com uma MSA
- Use uma conta de serviço gerenciado de grupo (gMSA) ou uma conta de serviço gerenciada autônoma (sMSA), se o serviço der suporte a ela
- Use uma conta de usuário de domínio com as permissões necessárias para executar o serviço
Próximas etapas
Para saber mais sobre contas de serviço de segurança, confira os seguintes artigos: