No se recomienda el uso de cuentas locales (incluido el administrador local) para acceder a otra computadora a través de la red en entornos de Active Directory por varias razones. El mismo nombre de usuario y contraseña de administrador local se utilizan a menudo en muchas computadoras, lo que puede poner en riesgo varios dispositivos si una sola computadora está comprometidaPass-the-hash amenaza de ataque). Además, el acceso a los recursos de la red con cuentas locales es difícil de personificar y monitorear de forma centralizada, porque tales eventos no se registran en los controladores de dominio de AD.

Para mitigar el riesgo, los administradores pueden cambiar el nombre de la cuenta de administrador de Windows local predeterminada. Para cambiar periódicamente la contraseña del administrador local en todos los equipos del dominio, puede utilizar la herramienta MS LAPS (Solución de contraseña de administrador local). Pero estas soluciones no podrán resolver el problema de restringir el acceso a la red para todas las cuentas de usuarios locales, ya que puede haber más de una cuenta local en una computadora.

Puede restringir el acceso a la red para cuentas locales usando el Denegar el acceso a esta computadora desde la red política. Pero esta política requiere que se enumeren explícitamente todas las cuentas a las que se les debe negar el acceso a la red de la computadora.
En Windows 8.1 y Windows Server 2012 R2, aparecieron dos nuevos grupos de seguridad conocidos con nuevos SID. Uno incluye a todos los usuarios locales y el segundo incluye a todos los administradores locales.

S-1-5-113 NT AUTHORITY Cuenta local Todas las cuentas locales
S-1-5-114 NT AUTHORITY Cuenta local y miembro del grupo de administradores Todas las cuentas locales con privilegios de administrador

Ahora, para restringir el acceso a las cuentas locales, puede usar sus SID comunes.

Estos grupos se agregan al token de acceso del usuario durante el inicio de sesión en la computadora con una cuenta local.

Para asegurarse de que en Windows 10 / Windows Server 2016 su cuenta de administrador local tenga asignados dos nuevos grupos de seguridad (NT AUTHORITYLocal account (SID S-1-5-113) y NT AUTHORITYLocal account and member of Administrators group (SID S-1-5-114)), ejecute el comando:

Whoami /all

Puede utilizar estos grupos de seguridad locales integrados en Windows 7/8 y Windows Server 2008 R2 / Windows Server 2012 después de instalar la actualización KB 2871997 (Junio ​​de 2014).

Puede verificar si estos grupos de seguridad existen en su dispositivo Windows por SID usando el siguiente script de PowerShell:

$objSID = New-Object System.Security.Principal.SecurityIdentifier ("S-1-5-113")
$objAccount = $objSID.Translate([System.Security.Principal.NTAccount])
$objAccount.Value


Si el guión regresa Autoridad NT cuenta local, entonces este grupo local (con S-1-5-113 SID) existe en su computadora.

Para bloquear el acceso a la red remota en las cuentas de usuario locales que contienen estos SID en el token, puede usar la configuración de la sección GPO Configuración de la computadora -> Configuración de Windows -> Configuración de seguridad -> Políticas locales -> Asignación de derechos de usuario.

Denegar el acceso a escritorio remoto (RDP) para usuarios y administradores locales

La Denegar el inicio de sesión a través de los servicios de escritorio remoto La política le permite especificar usuarios y grupos a los que se les niega explícitamente iniciar sesión en una computadora de forma remota a través de Escritorio remoto. Puede denegar el acceso RDP a la computadora para cuentas locales y de dominio.

De forma predeterminada, el acceso RDP en Windows está permitido para administradores y miembros del local Usuario de escritorio remoto grupo.

Si desea restringir las conexiones RDP solo para usuarios locales (incluidos los administradores locales), abra el editor de GPO local gpedit.msc (si desea aplicar esta configuración en computadoras en el dominio de Active Directory, use el Editor de políticas de grupo de dominio - gpmc. msc). Vaya a la sección GPO Asignación de derechos de usuario y editar el Denegar el inicio de sesión a través de los servicios de escritorio remoto política.

Agregue los grupos de seguridad local integrados "Cuenta local y miembro del grupo de administradores" y "Cuenta local" a la política. Actualice la configuración de la directiva de grupo local con el comando: gpupdate /force.

GPO: denegar el inicio de sesión a través de Servicios de escritorio remoto en cuentas de usuario y administrador locales

Ahora, si intenta conectarse a su computadora con un usuario local a través de RDP, aparecerá un error:

To sign in remotely, you need the right to sign in through Remote Desktop Services. By default, members of the Remote Desktop Users group have this right. If the group you’re in doesn’t have this right, or if the right has been removed from the Remote Desktop Users group, you need to be granted this right manually.

Para iniciar sesión de forma remota, necesita el derecho a iniciar sesión a través de Servicios de escritorio remoto

Denegar el acceso a la computadora desde la red

Puede denegar el acceso de red a una computadora con credenciales locales con el Denegar el acceso a esta computadora desde la red política.

Agrega los grupos locales "Cuenta local" y "Cuenta local y miembro del grupo de administradores " hacia Denegar el acceso a esta computadora desde la red política. Además, siempre debe denegar el acceso anónimo y el acceso a una cuenta de invitado.

Para un entorno de dominio, le recomendamos que utilice el Denegar el acceso a esta computadora desde la red política para bloquear completamente el acceso a estaciones de trabajo y servidores miembros del dominio en cuentas del Administradores de dominio y Administradores de empresas grupos de seguridad. Estas cuentas solo deben usarse para acceder a los controladores de dominio. Esto reducirá los riesgos de capturar el hash de la cuenta administrativa (privilegiada) y la escalada de privilegios.

gpo Denegar el acceso a esta computadora desde la red a los usuarios locales

Después de aplicar la política, no podrá conectarse de forma remota a esta computadora a través de la red con ninguna cuenta local de Windows. Al intentar conectarse a una carpeta de red compartida o asignar una unidad de red desde esta computadora a una cuenta local, aparecerá un error:

Microsoft Windows Network: Logon failure: the user has not been granted the requested logon type at this computers.

Al intentar establecer una conexión de escritorio remoto con la cuenta de administrador local (.administrador), aparece un mensaje de error.

The system administrator has restricted the types of logon (network or interactive) that you may use. For assistance, contact your system administrator or technical support.

El administrador del sistema ha restringido los tipos de inicio de sesión (de red o interactivo) que puede utilizar.  Para obtener ayuda, comuníquese con el administrador del sistema o con el soporte técnico.

Importante. Si aplica esta política a una computadora que es parte de un grupo de trabajo de Windows (que no está unido a un dominio de Active Directory), solo puede iniciar sesión en esa computadora localmente.

Denegar a los usuarios iniciar sesión localmente en Windows 10

Utilizando la Denegar el inicio de sesión localmente política, también puede restringir los inicios de sesión interactivos a la computadora / servidor en cuentas locales de Windows. Ir al GPO Asignación de derechos de usuario sección, edite el Denegar el inicio de sesión localmente política. Agregue el grupo de seguridad local requerido.

Tenga especial cuidado con denegar la configuración de la directiva de grupo. Si se configura incorrectamente, puede perder el acceso a las computadoras. Como último recurso, puede restablecer la configuración de GPO local de esta manera.

gpo: denegar el inicio de sesión localmente para los usuarios locales de Windows

Ahora, si un usuario o administrador intenta iniciar sesión en la computadora con una cuenta local, aparecerá un mensaje.

The sign-in method you are trying to use isn’t allowed. For more info, contact your network administrator.

El método de inicio de sesión que está intentando utilizar no está permitido en Windows 10

Por lo tanto, puede denegar el acceso a la red con cuentas locales de Windows a computadoras y servidores miembros del dominio, y aumentar la seguridad del entorno corporativo.

Recomendado para ti