El sistema operativo Windows tiene una cuenta de administrador integrada. Esta cuenta v. Para evitar esto, la cuenta de administrador integrada debe estar protegida.
Deshabilitar y cambiar el nombre de la cuenta de administrador local
Para proteger la cuenta de administrador de los ataques de fuerza bruta, puede deshabilitar la cuenta de administrador integrada y, si no puede hacerlo, puede cambiarle el nombre.
La forma más fácil de cambiar el nombre de la cuenta de administrador integrada es usar las políticas de grupo. Abra el editor de políticas de grupo local (gpedit.msc) o dominio (gpmc.msc) y vaya a la siguiente sección de la consola: Configuración del equipo > Políticas > Configuración de Windows > Configuración de seguridad > Políticas locales > Opciones de seguridad.
Preste atención a las dos políticas:
- Cuentas: estado de la cuenta del administrador: le permite bloquear una cuenta de administrador;
- Cuenta: Renombrar cuenta de administrador: le permite cambiar el nombre de la cuenta de administrador integrada;
Para cambiar el nombre de una cuenta, habilite la política (Definir esta configuración de política) y establezca un nuevo nombre de usuario. Por ejemplo, cuenta de administrador local.
Cambiar el nombre hará que el proceso de fuerza bruta de la contraseña sea más difícil, ya que el atacante primero tendrá que conocer el nombre de la cuenta y luego proceder a la fuerza bruta. Cambiar el nombre de una cuenta mejora la seguridad, pero esta medida no es lo suficientemente efectiva. La cuenta de administrador tiene un identificador de seguridad conocido (SID) y hay formas que permiten autenticarse con el SID y no con el nombre de usuario.
Por lo tanto, una forma más efectiva de proteger la cuenta de administrador es deshabilitarla. Para hacer esto, habilite el Cuentas: estado de la cuenta del administrador política y cambiar su valor a Discapacitado.
Denegar el inicio de sesión con la cuenta de administrador local
Es difícil restringir los permisos de administrador local en Windows, por lo que para aumentar el nivel de protección, puede denegar el inicio de sesión local y/o remoto con una cuenta de administrador local. También puede usar el GPO para hacer esto. Vaya a la sección Configuración del equipo > Políticas > Configuración de Windows -> Configuración de seguridad > Políticas locales > Asignación de derechos de usuario. Tenga en cuenta las siguientes políticas:
- Denegar inicio de sesión localmente — le permite deshabilitar el inicio de sesión local;
- Denegar el inicio de sesión a través del Servicio de escritorio remoto — le permite denegar el acceso mediante Servicios de escritorio remoto (RDP);
- Denegar el acceso a este equipo desde la red — le permite evitar que ciertas cuentas accedan a una computadora a través de la red;
- Denegar inicio de sesión como servicio — le permite evitar que un usuario se registre como un servicio. Este permiso permite que los servicios de Windows se ejecuten en segundo plano;
- Denegar el inicio de sesión como un trabajo por lotes : le permite evitar que el usuario se registre como un trabajo por lotes (utilizado por el Programador de tareas y algunos otros servicios).
Puede habilitar cualquiera de estas políticas (o todas a la vez) marcando la opción ″Definir esta configuración de política″ y agregando la cuenta de Administrador a la política.
Microsoft recomienda deshabilitar todos los métodos de inicio de sesión para la cuenta de administrador local excepto el inicio de sesión local.
Finalmente, algunos puntos importantes:
- Si decidió deshabilitar la cuenta de administrador integrada, no olvide crear en su computadora al menos un usuario con permisos administrativos:
- No se recomienda aplicar estas políticas a los controladores de dominio. El hecho es que no hay cuentas locales en los DC y las políticas se aplican al administrador DSRM cuenta. Si esta cuenta no está disponible, no podrá iniciar sesión en el controlador de dominio en el modo de restauración de Active Directory;
- Si deshabilita la política de cambio de nombre de la cuenta del administrador, es posible que el nombre de la cuenta no cambie al original.
Recomendado para ti
