LocalAccountTokenFilterPolicy: o que é e a sua importância no Windows

Olá!

Hoje, como já viram no título, vou falar sobre o LocalAccountTokenFilterPolicy.

Se nunca ouviram falar dele têm aqui uma boa oportunidade para aprender sobre uma das mais importantes características de segurança do Windows!

Este artigo vai fugir bastante aos restantes. Neste, vamos efetuar vários testes e estudar vários cenários para percebermos o total funcionamento da caraterística.

Como devem saber, o Windows cria no momento da sua instalação uma partilha administrativa para o disco do sistema.

Esta partilha pode ser acedida na rede pela sintaxe: \\NomeDoComputador\C$

Naturalmente, esta apenas pode ser acedida por uma conta de utilizador que faça parte do grupo Administradores do computador local.

No caso de o computador em questão fizer parte um domínio Windows, para além de os membros do grupo Administradores, todos os administradores de domínio também podem aceder a esta partilha já que o grupo Domain Admins é adicionado ao grupo Administradores aquando da junção ao domínio.

Agora, vamos estudar os seguintes cenários:

 

  • Cenário 1

Neste cenário, temos dois computadores ligados por rede.

WIN-10-TESTE-1

  • Possui uma conta de utilizador Marcelo com a password teste1;
  • O Windows está totalmente atualizado;
  • A partilha de ficheiros e impressoras está ativa na firewall para o perfil de rede privado.

WIN-10-TESTE-2

  • Possui uma conta de utilizador Marcelo com a password teste2;
  • O Windows está totalmente atualizado;
  • A partilha de ficheiros e impressoras está ativa na firewall para o perfil de rede privado.

Primeiro, verificar a conectividade entre os dois computadores:

Pelos testes, ambos conseguem comunicar um com o outro. Ou seja, podemos passar à parte da partilha de ficheiros.

Do computador WIN10-TESTE-1, vamos aceder à partilha administrativa do outro computador. Prontamente, o Windows pede-nos credenciais de acesso para a pasta visto a nossa conta local não ter os necessários.

Vamos indicar a conta do outro computador WIN10-TESTE-2\marcelo e a respetiva password teste2. Tudo deve funcionar correto?

ERRADO!

Acesso negado? Mas porquê?

E se tentarmos ao contrário?

O mesmo erro? Mas porquê?

Bem, tudo começa pelo Controlo de Conta de Utilizador!

A partir do Windows Vista, ao iniciarmos sessão com uma conta de utilizador que tem privilégios administrativos, todas as ações realizadas são executadas como se se tratasse de uma conta padrão. Qualquer programa que necessite de poderes superior pedirá ao utilizador para o mesmo os conceder. É daí que surgem as janelas como a de abaixo:

Pode parecer uma solução rebuscada, mas é uma medida muito eficaz para a proteção do computador!

A questão de o acesso à partilha dar erro é devido a isso. Lembram-se de eu ter dito que apenas membros administrativos podem aceder a ela?

Pois é, o Windows não está a conceder o acesso porque a nossa conta, apesar de ser de administrador está a “correr” como se fosse uma conta padrão.

É aqui que entra o LocalAccountTokenFilterPolicy:

Este mecanismo, quando ativo, irá fazer com que a conta corra no contexto de administrador a partir da rede, possibilitando o acesso à pasta.

Agora, vou adicionar esta chave ao registo do computador WIN10-TESTE-1 e definir o seu valor para 1.

E voltar a tentar aceder a partir do outro computador…

SUCESSO! 😀

Uma vez que a conta quando usada a partir da rede (contexto remoto) tem o estatuto real, tudo funciona como esperado!

A nível de segurança, este cenário de utilização não é perigoso, por assim dizer. Para o acesso, tem de haver conhecimento de uma conta de utilizador e uma password válida, ou seja, o processo normal. No entanto, temos de ter consciência de que o acesso total ao disco do sistema (ou a qualquer outra partição do computador) de forma remota aumenta e muito a superfície de ataque!

  • Cenário 2

Este cenário é muito parecido com o primeiro, mas com algumas diferenças:

WIN-10-TESTE-1

  • Possui uma conta de utilizador Marcelo com a password teste3;
  • O LocalAccountTokenFilterPolicy está definido para 1 neste computador.

WIN-10-TESTE-2

  • Possui uma conta de utilizador Marcelo com a password teste3;
  • O LocalAccountTokenFilterPolicy está definido para 1 neste computador.

Vamos tentar aceder à partilha de cada um dos computadores:

WIN10-TESTE-1 > WIN10-TESTE-2

WIN10-TESTE-2 > WIN10-TESTE-1

Como puderam ver, tudo funcionou e nem houve a necessidade de introdução de credenciais de acesso!!!

Uma vez que os nomes de utilizadores e as passwords são as mesmas, o Windows concedeu automaticamente o acesso, mesmo tratando-se de computadores diferentes. O mesmo aconteceria se se tratasse de uma conta de domínio.

Este cenário é o mais grave!

Imaginem estarem com o vosso computador numa rede pública, a vossa firewall desativada e o LocalAccountTokenFilterPolicy definido para 1.

Por azar, têm um hacker na rede a tentar aceder às partilhas de todos os computadores ligados e ainda pior, a conta de utilizador dele têm o mesmo nome e password da vossa conta!

Podem começar a dizer adeus ao vosso computador porque deixou de o ser…

  • Cenário 3

Por último, imaginemos o seguinte: Temos um servidor com o Windows Server que é controlador de domínio. Temos também um computador (WIN10TESTE) que faz parte do mesmo domínio.

Algumas considerações:

  • As definições de firewall em todos os computadores deste domínio permitem a partilha de ficheiros e impressoras;
  • O Windows está totalmente atualizado;
  • A conta de utilizador utilizada no Windows Server é parte do grupo Domain Admins.

Ao tentarmos aceder do servidor à partilha C$ do computador com o nome WIN10TESTE o resultado é este:

Neste cenário, temos controlo total sobre o disco do computador. Podemos criar, editar, apagar ficheiros ou pastas.

Pois é, neste caso o LocalAccountTokenFilterPolicy é irrelevante porque não estamos a usar uma conta local para aceder à partilha, mas sim uma conta de domínio.

Conclusão

Depois de todos os testes acima, podemos concluir que:

  • O LocalAccountTokenFilterPolicy apenas deve ser definido para 1 para uma situação específica e definido para 0 ou eliminado do registo após a conclusão da mesma;
  • Devemos usar sempre passwords seguras em qualquer conta do computador, mas, especialmente, nas contas com privilégios administrativos;
  • A firewall deve estar sempre ativa e com as exceções bem controladas.

Espero que tenham ficado esclarecidos.

Qualquer dúvida ou sugestão é só deixar na secção dos comentários.

Fiquem bem! 😉

One thought on “LocalAccountTokenFilterPolicy: o que é e a sua importância no Windows

Add yours

Deixe um comentário

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão /  Alterar )

Google photo

Está a comentar usando a sua conta Google Terminar Sessão /  Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão /  Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão /  Alterar )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Create a website or blog at WordPress.com

EM CIMA ↑

%d bloggers like this: