Configurar desativação de conta local de Administrador com GPO

Cenário: Todas as estações de trabalho não poderão logar com a conta de administrador local. Na inicialização de segurança a conta Administrador desabilitada só será habilitada se a máquina não for participante do domínio e não houver outras contas de administradores locais habilitadas. Toda a manutenção à estação de trabalho será realizada com contas de Administradores do Domínio.

Com medo de seu DC não estar disponível? Não usa replicação? QoS não habilitado? Ou apenas irritado porque a Microsoft desativou a função de armazenamento de senhas das GPOs?

Como alternativa use um script do subtítulo "soluções alternativas" no tópico "Cenário 1: Gerenciamento de usuários locais" para configurar senha para todas as contas de Administrador local. Leia todo o boletim de segurança MS14-025 que fala sobre a vulnerabilidade existente como sendo o motivo da desativação de todas as GPOs que gravam senhas. 

Este é o Metasploit Exploit  para elevação de privilégios. Além de utilizar softwares com poucas falhas, evite a qualquer custo a elevação de privilégios (último estágio de um ataque bem sucedido).

Acompanhe como implementar uma política de grupo através de GPO com Active Directory do Windows Server 2012 para estação de trabalho com Windows 8.

Configurando requisitos de complexidade de senha para o usuário.

1) No Iniciar do Windows Server digite gerenciamento e clique no Gerenciamento de Políticas de grupo. Pode ser encontrado também no menu Ferramentas do Gerenciador do Servidor.

2) Navegue até a Unidade Organizacional onde se encontram todos os computadores que você deseja aplicar essa política. Clique com o botão direito sobre ela e selecione "Criar um GPO neste domínio e fornecer um link para ele aqui...".

3) Digite o nome da sua nova GPO e clique em OK.

4) Nessa nova GPO selecionada clique com o botão direito e selecione Editar.

5) Nesta nova console expanda as seguintes pastas: "Configuração do Computador/Políticas/Configurações do Windows/Configurações de segurança/Políticas locais/Opções de segurança". Dê um duplo clique em Contas: status de conta de administrador. 

6) Nesta nova janela selecione "Definir esta configuração de política:", marque a opção Desabilitada e clique em OK.

7) Feche o Editor de Gerenciamento de Política de Grupo. Na console de Gerenciamento de Política de Grupo selecione a sua nova GPO e clique na aba "Opções.

 8) Comando "gpresult /r"  para exibir os Objetos de política de grupo aplicados. 

Esse artigo foi submetido por

Alexandre de Matos

MCSE - MCSA - MCTS

alexandremn@live.estacio.br