Es fácil encontrar administradores locales en todas los ordenadores

En este artículo, le mostraré cómo obtener administradores locales en todas los ordenadores de su red.

Los usuarios que tienen derechos de administrador local tienen control total sobre el ordenador local. Las cuentas de administrador son lo que buscan los atacantes. Esto les permite tener control total sobre el ordenador, instalar malware y buscar acceso completo a toda la red. También permite al usuario instalar fácilmente software no deseado que puede contener un virus.

En un informe de vulnerabilidades de Microsoft, encontraron que el 85 % de las vulnerabilidades críticas podrían solucionarse eliminando los derechos de administrador.

¿Qué son los administradores locales?

En el ordenador local hay un grupo llamado "Administradores". Los usuarios de este grupo local tendrán derechos de administrador en el ordenador local. Puede ver este grupo yendo a "Administración de equipos" -> "Usuarios locales" y "Grupo" -> "Grupos".

En la captura de pantalla anterior, puede ver que tengo cuatro miembros en el grupo de administración local. Dos de estos miembros son grupos de dominio (ADPRO Administradores de dominio y ADPRO Usuarios de dominio). Los administradores de dominio y la cuenta de administrador local normalmente se encuentran en este grupo.

Los usuarios del dominio no deben estar en este grupo. Esto significa que todos los usuarios del dominio tienen plenos derechos de administrador en el equipo.

Echemos un vistazo a dos métodos para encontrar usuarios que tengan derechos de administrador local.

Índice

    Método 1: Localice los derechos de administrador local utilizando la herramienta GUI

    AD Pro Toolkit incluye una herramienta que facilita la obtención de todos los administradores locales.

    Requisitos:

    1. AD Pro Toolkit: puede descargar una versión de prueba gratuita aquí.
    2. WMI debe estar abierto en el firewall del punto final. Si tiene esto bloqueado, puede usar la Política de grupo para abrirlo en todas los ordenadores.

    Paso 1: Abre la herramienta

    Haga clic en Administrar grupo local

    Paso 2: Seleccionar opciones de búsqueda

    Puede optar por buscar en todo el dominio o seleccionar una unidad organizativa o un grupo.

    Paso 3: Haga clic en Ejecutar

    Ahora solo presiona el botón de inicio. Los resultados se mostrarán en la sección de informes.

    De forma predeterminada, la herramienta mostrará todos los grupos locales y los miembros del grupo. Puede usar el filtro incorporado para eliminar grupos y miembros de grupos no deseados. En el paso 4, le mostraré cómo filtrar el grupo de administradores.

    Etapa 4: Filtrar Resultados

    Haga clic con el botón derecho en la columna Nombre del grupo y seleccione "Editor de filtros"

    Cree un filtro de Nombre de grupo = Administradores y haga clic en Aceptar.

    El informe ahora simplemente mostrará el grupo de administradores.

    En este punto, tiene un informe de quién tiene derechos de administrador local en todas los ordenadores. Puede usar un filtro para filtrar algunos miembros que se pueden ignorar, como los administradores de dominio.

    Si desea agregar más filtros, simplemente agregue otra condición. Este es un ejemplo de eliminación de administradores de dominio. El nombre de usuario no coincide con los administradores del dominio

    Para exportar, simplemente haga clic en el botón exportar, seleccione el formato y seleccione "exportar todas las filas"

    Ahora tendrá un informe de todos los administradores locales en todas los ordenadores. En la captura de pantalla a continuación, he resaltado algunas cuentas que no deberían tener derechos de administrador. Necesitaré investigar estas ordenadores.

    Método 2: Localice los derechos de administrador local mediante PowerShell

    Para buscar administradores locales mediante PowerShell, puede utilizar el comando Get-LocalGroupMember.

    Aquí hay un ejemplo de trabajo en un ordenador local

    Get-LocalGroupMember -Group "Administrators"

    El ejemplo anterior está ejecutando un comando en un ordenador local. Puede usar el comando de invocación para ejecutar en un ordenador remota. Para que este comando funcione, debe habilitar la comunicación remota de PowerShell. Por defecto, está deshabilitado.

    Puede usar el comando Enable-PSRemoting para habilitar PowerShell Remoting. Deberá usar la directiva de grupo u otro método de implementación para habilitar en todas los ordenadores.

    Si PowerShell Remoting está habilitado, puede usar este comando para obtener administradores locales en equipos remotos.

    Invoke-Command -ComputerName pc2 -ScriptBlock{Get-LocalGroupMember -Name 'Administrators'}

    Para ejecutar este comando en varias ordenadores, simplemente sepárelas con una coma. Aquí hay un ejemplo de cómo ejecutar este comando en ordenadores llamadas host PC1 y PC2.

    Invoke-Command -ComputerName pc1, pc2 -ScriptBlock{Get-LocalGroupMember -Name 'Administrators'}

    La salida no es perfecta en comparación con la herramienta GUI, pero si usa PowerShell, puede cambiar la salida.

    Quitar los derechos de administrador local

    Acabo de mostrarte dos formas de buscar derechos de administrador. Ahora debe identificar a los usuarios que no necesitan estos derechos y eliminarlos.

    La mejor manera de eliminar los derechos de Administrador local es usar la Política de grupo y los Grupos restringidos. Los grupos restringidos le permiten administrar de manera centralizada grupos locales en todas los ordenadores de su dominio. También puede apuntar a ordenadores u unidades organizativas específicas en lugar de a todo el dominio.

    Escribí una guía separada sobre esto, puedes consultarla aquí.

    Artículos de interés

    Subir