Sí, gestionar cuentas locales en Windows en un entorno de dominio puede ser un verdadero dolor de cabeza. Normalmente, las cuentas de administrador locales se usan para solucionar problemas rápidamente o para el acceso remoto, pero si varios dispositivos comparten el mismo nombre de usuario y contraseña, es como dejar una puerta trasera abierta. Especialmente con el riesgo de ataques de pass-the-hash, no es precisamente una gran ventaja en seguridad. Además, intentar identificar quién accedió a qué puede ser un auténtico caos, ya que estas sesiones locales no se registran en los controladores de dominio. No es la opción ideal si buscas la rendición de cuentas.
Una buena idea es cambiar el nombre de la cuenta de administrador local predeterminada. Es un paso básico, pero facilita el acceso oculto. Puedes hacerlo mediante Usuarios y grupos locales en Administración de equipos o mediante una GPO si administras varias máquinas. Para bloquear el acceso remoto, herramientas como la Solución de contraseñas de administrador local de Microsoft ( KB 2871997 ) son muy útiles para rotar las contraseñas en la red. Sin embargo, esto no soluciona el problema principal: todas las cuentas locales que puedan existir. Porque, seamos sinceros, Windows no es perfecto centralizando el control sobre todas ellas.
Cómo restringir el acceso a la red de las cuentas locales
Método 1: utilizar la política de denegación de acceso con SID
Esto puede parecer un poco técnico, pero funciona para dirigirse a esas cuentas locales.¿Por qué? Porque Windows asigna identificadores de seguridad (SID) específicos. Dos SID importantes que conviene conocer son S-1-5-113 para todas las cuentas locales y S-1-5-114 para los administradores locales. Estos grupos se añaden al token de acceso del usuario al iniciar sesión, y se les puede denegar el acceso a la red añadiendo esos SID a la política «Denegar el acceso a este equipo desde la red».
Aquí tienes un comando rápido y sencillo para comprobar si tu cuenta de administrador local se está agregando a estos grupos en Windows 10/Server 2016:
Whoami /all
Este comando muestra los grupos a los que perteneces, incluidos aquellos con los SID S-1-5-113 y S-1-5-114. Si aparecen, el token está configurado correctamente. De lo contrario, podría ser necesario ejecutar la actualización para activarlos correctamente.
Por otro lado, puedes verificar que estos SID existen ejecutando un script de PowerShell como:
$objSID = New-Object System. Security. Principal. SecurityIdentifier("S-1-5-113") $objAccount = $objSID. Translate([System. Security. Principal. NTAccount]) Write-Output $objAccount. Value
Si devuelve NT Authority\Local account, está todo listo. De lo contrario, podría tener que crear esos SID manualmente o revisar los grupos de seguridad de su sistema.
Método 2: Configurar la política de grupo para denegar el acceso a la red
Una vez confirmados esos grupos, puede agregarlos a la política de red «Denegar acceso a este equipo» en Configuración del equipo > Políticas > Configuración de Windows > Configuración de seguridad > Políticas locales > Asignación de derechos de usuario. Esto deshabilita el inicio de sesión de red para todas las cuentas locales que pertenecen a esos grupos.
Tenga en cuenta que si ya tiene una política que permite el acceso remoto a ciertos grupos, la política de denegación la anula. Por lo tanto, implementarla puede interrumpir las conexiones remotas si no tiene cuidado. En algunos equipos, esta configuración podría requerir reiniciar o ejecutar gpupdate/force para que surta efecto.
Restringir el acceso al Escritorio remoto para cuentas locales
Si el acceso al escritorio remoto le preocupa, la política » Denegar inicio de sesión mediante Servicios de Escritorio Remoto» puede impedir que las cuentas locales y de dominio se conecten remotamente. Para ello, abra gpedit.msc (o a través de Active Directory si administra varios equipos) y vaya a Configuración del equipo > Configuración de Windows > Configuración de seguridad > Políticas locales > Asignación de derechos de usuario. Busque «Denegar inicio de sesión mediante Servicios de Escritorio Remoto» y agregue los grupos «Cuenta local y miembro del grupo Administradores» y «Cuenta local».
No olvides ejecutarlo gpupdate /forcedespués de realizar cambios. Esto significa que se denegarán las sesiones RDP remotas para esas cuentas y evitará accesos remotos potencialmente riesgosos. Ten en cuenta que, en algunas configuraciones, esto podría bloquear tu inicio de sesión de administrador habitual, así que pruébalo primero.
Limitar el acceso a la red desde cuentas locales
A continuación, la opción «Denegar el acceso a este equipo desde la red» se puede usar de forma similar, añadiendo allí los grupos locales. Esto impide que las cuentas locales compartan carpetas o asignen unidades remotamente. Justo lo que necesitas si quieres proteger los equipos por completo.
En un entorno de dominio, esta política también puede aplicarse a cuentas con privilegios elevados, como administradores de dominio y administradores de empresa, para limitar los vectores de ataque. Al activarse, bloquea todos los inicios de sesión de red para dichas cuentas locales, lo que constituye una buena defensa contra los intentos de escalada de privilegios.
Pero cuidado: si aplicas esto a una PC que no pertenece al dominio, probablemente no podrás iniciar sesión remotamente, solo localmente. Y si te equivocas, podrías quedarte bloqueado por completo, así que siempre prueba primero en una máquina de prueba.
Denegar el inicio de sesión local con la política de derechos de usuario
Para quienes deseen ir más allá, la política «Denegar inicio de sesión local» es ideal. Impide que grupos locales específicos inicien sesión en una máquina Windows de forma interactiva. Simplemente vaya a GPO > Asignación de derechos de usuario > Denegar inicio de sesión local y agregue los grupos que desee restringir.
Bandera: Ten mucho cuidado. Si te bloqueas accidentalmente, la recuperación puede ser un problema. Suele estar pensada para situaciones de seguridad específicas, no para el uso diario. Y en una máquina unida a un dominio, es posible que también debas revisar las restricciones de la cuenta en Active Directory.
En resumen, estas políticas te dan un buen control sobre el funcionamiento de las cuentas locales en cuanto a la red y el acceso remoto. Simplemente, no te excedas, o podrías quedarte sin acceso, lo cual sería un fastidio.
Resumen
- Cambiar el nombre de la cuenta de administrador local predeterminada ayuda a ocultar el acceso.
- Utilice los SID S-1-5-113 y S-1-5-114 para orientar las cuentas locales en las políticas.
- Configure Denegar acceso a esta computadora desde la red para grupos locales para bloquear los inicios de sesión en la red.
- Configure Denegar inicio de sesión a través de Servicios de Escritorio remoto para restringir sesiones remotas.
- Tenga cuidado con las restricciones de inicio de sesión locales: realizar pruebas primero evita bloqueos.
Resumen
Implementar estas restricciones no siempre es sencillo, especialmente si se administran varios dispositivos. Sin embargo, al bloquear el acceso a la red de cuentas locales y los inicios de sesión remotos cuando sea necesario, se mejora significativamente la seguridad, especialmente contra la escalada de privilegios o el acceso no autorizado. Algunas de estas medidas pueden parecer un poco exageradas, pero dado que Windows no siempre facilita el control centralizado de las cuentas locales, esta es la solución alternativa si la seguridad es una prioridad. Es curioso cómo Microsoft lo complica tanto, ¿verdad?
Ojalá esto le ahorre algunas horas a alguien. Solo recuerda probar todo primero en una sola máquina; ¡más vale prevenir que bloquear tu red accidentalmente!