Senhas de administrador local sempre foram um desafio para qualquer profissional de TI, mesmo os mais experientes. A senha, geralmente, é restrita ao time de TI e tem uma complexidade aceitável, sendo que, em alguns casos, a conta de administrador pode até mesmo ser desativada.

Todos nós sabemos do ônus que desabilitar uma conta de administrador local causa no suporte do dia a dia, e também, criar uma nova conta de administrador local pode não ser o método mais eficaz de se evitar exploração de vulnerabilidades, como veremos a seguir.

A maioria dos administradores de TI já tem a receita do bolo quando o assunto é administrador local: GPO > Definição de senha >aplicar no domínio, ou GPO > Novo usuário local > Nova senha > aplicar no domínio. Certo? Tenho certeza que você já fez isso (como eu também, inúmeras vezes).

Um detalhe importante aqui é: toda a senha configurada via GPO (seja ela de novo usuário, task schedule, usuário existente, serviço ou datasource) é armazenada usando criptografia AES de 256 Bits. Isso seria ótimo se a chave privada não estivesse no MSDN para qualquer um acessar, o que significa que qualquer usuário autenticado no domínio pode acessar a GPO, fazer uma cópia e quebrar a senha configurada. Será?

 

Autor: Alexandre Gomes (oespecialista@biti9.azurewebsites.net.br)