none
Alterar senha do Administrador local de vários máquinas de forma automatizada RRS feed

  • Pergunta

  • Boa tarde a todos,

    gostaria de saber se há alguma forma de alterar a senha do administrador local (ou qualquer usuário local) de várias máquinas e de forma automatizada? No passado havia uma GPO que fazia isso, mas foi descontinuada pela Microsoft por motivos de segurança.

    Podem me ajudar com a experiência de vocês?

    Obrigado.


    Rodrigo Palazzolli

    sexta-feira, 18 de março de 2022 19:54

Respostas

  • Bom dia Rodrigo, tudo bem?

    Não é nada recomendado criar e administrar senhas de administrador local, via GPO, setando por GPO e texto (mesmo que criptografado). Isso é muito comum em ataques ransowares para fazer rapidamente escalação de privilégio.

    Esse é um ponto de segurança muito complicado, que você deve tentar fugir.

    dá uma olhada nesse link aqui, em 2015, já se falava em segurança de usuários administradores locais, pela Microsoft:

    https://docs.microsoft.com/pt-br/security-updates/SecurityAdvisories/2015/3062591?redirectedfrom=MSDN

    O que recomendo (e é uma recomendação da Microsoft) que aplico em várias empresas é o LAPS https://www.microsoft.com/en-us/download/details.aspx?id=46899.

    Como funciona isso.

    Ele gera de tempo em tempo (a cada 30 dias se não me engano) uma senha randômica para o administrador local. E armazena ela no objeto de computador do seu AD (o objeto no AD com o nome do computador). Lá terá um atributo com a senha. Em alguns clientes montei uma API que consulta a senha direto pelo software de chamados... 

    *** Atenção nos passos de instalação, você precisa assegurar que só a equipe pertencente a um certo grupo consiga ler essa chave (equipe de HelpDesk, por exemplo).

    Essa ação "stand alone" não resolve o problema de escalação de privilégios em seu ambiente.

    Revise os acessos de segurança, e não tenha muitos Domains Admins, Enterprise Admins e Schema Admins.

    Espero ter ajudado.


    Christian Yukio Aiko Cloud Solution Architect MCT | MD-100 | MD-101 | MS-100 | MS-101 | AZ-104 | AZ-303 | AZ-304 | AZ-500



    segunda-feira, 21 de março de 2022 12:12

Todas as Respostas

  • sexta-feira, 18 de março de 2022 21:10
  • A senha vai ser a mesma em todas as máquinas?

    Poderia criar um script batch ou powershell e depois distribuir e colocar para rodar via gpo..


    R. Bohner

    sábado, 19 de março de 2022 16:08
  • Bom dia Rodrigo, tudo bem?

    Não é nada recomendado criar e administrar senhas de administrador local, via GPO, setando por GPO e texto (mesmo que criptografado). Isso é muito comum em ataques ransowares para fazer rapidamente escalação de privilégio.

    Esse é um ponto de segurança muito complicado, que você deve tentar fugir.

    dá uma olhada nesse link aqui, em 2015, já se falava em segurança de usuários administradores locais, pela Microsoft:

    https://docs.microsoft.com/pt-br/security-updates/SecurityAdvisories/2015/3062591?redirectedfrom=MSDN

    O que recomendo (e é uma recomendação da Microsoft) que aplico em várias empresas é o LAPS https://www.microsoft.com/en-us/download/details.aspx?id=46899.

    Como funciona isso.

    Ele gera de tempo em tempo (a cada 30 dias se não me engano) uma senha randômica para o administrador local. E armazena ela no objeto de computador do seu AD (o objeto no AD com o nome do computador). Lá terá um atributo com a senha. Em alguns clientes montei uma API que consulta a senha direto pelo software de chamados... 

    *** Atenção nos passos de instalação, você precisa assegurar que só a equipe pertencente a um certo grupo consiga ler essa chave (equipe de HelpDesk, por exemplo).

    Essa ação "stand alone" não resolve o problema de escalação de privilégios em seu ambiente.

    Revise os acessos de segurança, e não tenha muitos Domains Admins, Enterprise Admins e Schema Admins.

    Espero ter ajudado.


    Christian Yukio Aiko Cloud Solution Architect MCT | MD-100 | MD-101 | MS-100 | MS-101 | AZ-104 | AZ-303 | AZ-304 | AZ-500



    segunda-feira, 21 de março de 2022 12:12