Procedure consigliate per la gestione sicura degli account locali in Windows 11

  • Separare gli account utente e amministratore, applicare il principio del minimo privilegio e utilizzare l'opzione "Esegui come" riduce drasticamente l'impatto di malware ed errori umani.
  • LAPS protegge gli account degli amministratori locali con password univoche e complesse, a condizione che le autorizzazioni di lettura in Active Directory siano fortemente limitate e soggette a verifica.
  • Le politiche di blocco delle password e degli account in Windows consentono di imporre password lunghe, complesse e a rotazione controllata, rendendo più difficile l'attacco tramite forza bruta e il riutilizzo delle password.
  • Limitare i punti di accesso consentiti agli account privilegiati, utilizzare smart card e monitorare l'utilizzo delle credenziali critiche rafforza la sicurezza e la tracciabilità in tutta la rete.
Joaquin Romero

14 minuti

Gestire gli account locali in Windows 11

Proteggere gli account locali e amministrativi in ​​Windows 11 non è più un'opzione: oggi è obbligatorio se non si vuole che i propri account vengano compromessi. Un singolo computer compromesso può mandare in tilt l'intero dominio.Inoltre, è consigliabile verificare se i propri account sono stati compromessi.

Il segreto sta nel combinare bene tutti i pezzi: Amministratori locali gestiti con LAPS, account di dominio con privilegi minimi, password complesse e politiche di blocco coerenti.Se a questo si aggiungono procedure chiare (chi può fare cosa, da dove e come viene effettuato il controllo), si otterrà una base molto solida per la gestione sicura degli account locali in Windows 11.

Perché gli amministratori e gli account locali sono così pericolosi

Gli account con privilegi elevati sono una facile preda per qualsiasi attaccante perché Hanno pieno accesso al computer e, spesso, all'intero dominio.Questo vale sia per l'amministratore locale classico che per i gruppi di primo livello in Active Directory.

In un tipico ambiente di dominio, troverai almeno i seguenti tipi di account e gruppi con un impatto elevato sulla sicurezza:

È vero che i sistemi appena installati sono più veloci.
Articolo correlato:
Verifica se i tuoi account sono stati compromessi e proteggiti rapidamente.
  • Account di amministratori locali: quello integrato di ogni squadra (puoi abilita l'account amministratore nascostoe qualsiasi utente aggiunto al gruppo Administrators locale. Hanno il controllo assoluto del sistema in cui risiedono.
  • Amministratori di dominio: account del gruppo Amministratori di dominio, con autorità su tutti i computer membri di tale dominio.
  • Amministratori forestali: nel dominio radice della foresta, con controllo su tutti i domini e, in pratica, sull'intera infrastruttura di Active Directory.
  • Amministratori del programma e altri gruppi specialiPossono modificare lo schema di Active Directory, gestire i Criteri di gruppo a livello di foresta, emettere certificati, ecc. Qualsiasi errore in questa fase ha un effetto a cascata.

Il problema non riguarda solo gli aggressori esterni. Anche gli utenti interni con troppi permessi o con conoscenze insufficienti possono causare danni ingenti.Eliminazione di dati critici, configurazione errata dei controller di dominio, disattivazione dell'antivirus o apertura involontaria della porta a malware.

Se inoltre prendi l'abitudine di lavorare sempre con i privilegi di amministratore, stai praticamente consegnando il tuo computer a qualsiasi codice dannoso: Il malware verrà eseguito con gli stessi privilegi della tua sessioneSarà in grado di creare utenti, scaricare hash, spostarsi lateralmente e, con un po' di fortuna, scalare al dominio. Per ridurre i vettori di compromissione fisica, rivedere Misure pratiche per proteggere il computer da unità USB dannose.

Tipologie di account amministrativi da monitorare

In pratica, quando si pianifica la sicurezza in Windows 11 in un ambiente aziendale, si è interessati a tre categorie principali di account privilegiati:

  • Account di amministratori locali sulle workstation e sui server dei membri. Ciò include l'account Administrator integrato e qualsiasi altro utente del gruppo Administrators locale.
  • Account di amministratore di dominio, in genere membri del gruppo Amministratori di dominio, che spesso dispongono anche di privilegi locali su molti server critici.
  • gestori forestali (membri del gruppo Organization Admins e, in alcuni casi, Schema Admins) che possono accedere a foreste, domini, CA, smart card, ecc.

A questi dobbiamo aggiungere un sottotipo molto delicato: account associati a certificati agente (Agente di ripristino EFS, registrazione, recupero chiavi, ecc.). Questi account possono essere utilizzati per impersonare altri utenti, registrare smart card per altri utenti o decrittografare dati. Dovrebbero essere soggetti a politiche di sicurezza ancora più rigorose rispetto ai normali account amministratore.

Buone prassi di base: principio del minimo privilegio e separazione dei compiti.

Il principio che ti darà la massima sicurezza con il minimo sforzo è quello di privilegi minimiOgni utente, servizio o team dovrebbe avere esattamente le autorizzazioni necessarie, niente di più. Ma questo principio deve essere applicato concretamente, non solo nelle presentazioni PowerPoint.

L'applicazione di privilegi minimi implica diverse decisioni pratiche:

  • Due account per amministratoreÈ consigliabile avere un account principale per l'uso quotidiano (e-mail, navigazione, applicazioni Office) e un altro account dedicato esclusivamente alle attività amministrative. L'account amministratore non deve essere utilizzato per leggere le e-mail o navigare in internet.
  • Utilizzo sistematico di Run as (Runas o Servizio di accesso secondario) Anziché lavorare accedendo come amministratore, si avvia la console o lo strumento con credenziali elevate e il gioco è fatto.
  • Non concedere privilegi di dominio laddove non siano necessari.Un account che detiene diritti in una foresta non necessariamente li detiene in un'altra, anche se tra di esse esiste un rapporto di fiducia.
  • Revisione periodica dell'appartenenza a gruppi privilegiatirimuovendo account e gruppi che non vengono più utilizzati o che dispongono di autorizzazioni eccessive.
  Impostazioni NTFS e di Windows 11 per ottenere il massimo dal tuo SSD

Inoltre, è altamente raccomandato Definire chiaramente i ruoli di Amministratore di dominio e Amministratore dell'organizzazione.È possibile optare per un singolo account altamente protetto per gli amministratori dell'organizzazione, oppure, meglio ancora, crearlo solo quando necessario, utilizzarlo e cancellarlo immediatamente dopo.

GIRI: vantaggi reali e rischi se non lo si imposta correttamente

Gestire gli account locali in Windows 11

LAPS (Local Administrator Password Solution e la sua versione moderna, Windows LAPS) risolve uno dei difetti classici di molte reti: la stessa password di amministratore locale su tutti i computerQuesta pratica è la ricetta perfetta per il movimento laterale: si compromette un PC, si scaricano gli hash, si passa l'hash e si può saltare da una macchina all'altra.

Con LAPS, ogni team nel dominio ha Una password univoca, lunga e casuale per il tuo account amministratore locale.I dati vengono archiviati in forma crittografata in Active Directory e ruotati automaticamente. Questo offre vantaggi evidenti:

  • Attenua gli attacchi pass-the-hash e pass-the-ticketSe un utente malintenzionato ruba l'hash dell'amministratore locale di una macchina, l'attacco funzionerà solo su quella macchina.
  • Facilita il recupero delle attrezzatureSe un PC viene rimosso dal dominio o il profilo utente si corrompe, disponi di credenziali di amministratore locale estremamente robuste per accedere e risolvere il problema.
  • Elimina la necessità di condividere le password "master" locali tra i tecnici, con tutti i rischi per la sicurezza che ciò comporta.

Tuttavia, non è magia. Perché funzioni, devi avere account (o gruppi) con l'autorizzazione a leggere quelle password in ADEd è qui che subentra il timore: se qualcuno ruba quelle credenziali con permessi di lettura LAPS, può estrarre una per una le password locali dell'intero parco.

La chiave per far sì che LAPS diventi un vantaggio netto e non una nuova vulnerabilità è trattare quei permessi di lettura come oro:

  • Un gruppo molto ristretto di tecnici autorizzati (idealmente gruppi di sicurezza dedicati in AD) con autorizzazioni di lettura degli attributi LAPS solo nelle unità organizzative che ne hanno bisogno.
  • Audit rigoroso Chi legge quale password e quando. Questo ti garantisce la tracciabilità quando vuoi verificare chi ha avuto privilegi elevati in un dato momento.
  • Non utilizzare mai quegli account con autorizzazioni LAPS per le attività quotidiane.Utilizza account amministrativi dedicati o l'amministrazione Just-in-Time/Just-Enough, se il tuo ambiente lo consente.

E una domanda importante: LAPS significa che non avrete più bisogno di amministratori di dominio locali sui computer? Non necessariamenteLa cosa più sensata da fare è combinare:

  • Un Amministratore locale gestito con LAPS per incidenti, salvataggi e compiti molto specifici.
  • Uno o più gruppi di dominio assegnati al gruppo Administrators locale tramite GPO per attività di supporto, implementazione di software, scansione delle vulnerabilità, ecc.

Questo ti dà la flessibilità di cui hai bisogno per strumenti come gli scanner di vulnerabilità o i sistemi di distribuzione, ma Non dipendi da un'unica credenziale locale clonata per l'intera rete..

Come mantenere la visibilità: chi fa cosa quando vengono aumentati i privilegi

Sorge spontanea una domanda: se si utilizza LAPS con un solo account amministratore locale per computer, come si controlla? chi ha utilizzato quell'accountDal punto di vista contabile e di revisione, non si vuole un sistema "tuttofare" in cui tutti entrino con la stessa identità senza lasciare traccia.

La soluzione sta nel combinare diverse misure:

  • Non utilizzare la sessione interattiva diretta con l'amministratore locale se non in casi estremi.Idealmente, i tecnici dovrebbero autenticarsi con i propri account nominativi (di dominio) e utilizzare le credenziali locali solo per le attività che lo richiedono.
  • Controlla gli eventi di accesso (interattivo, RDP, utilizzo di Runas, ecc.) su workstation e server. È possibile centralizzare i log in un SIEM o su un server di raccolta eventi.
  • Collega la lettura della password LAPS a una richiesta di modifica o a un ticket.Se uno strumento o un portale interno richiede una giustificazione per l'accesso alla password di un dispositivo, allora la tracciabilità è già garantita.

In definitiva, se un tecnico deve visualizzare la password LAPS in Active Directory, deve rimanerne una traccia: chi l'ha richiesto, per quale squadra e a che oraCiò compensa parzialmente il fatto che la sessione che verrà avviata successivamente sul computer sarà con l'account locale "impersonale".

  HWiNFO e CPU-Z: gli strumenti chiave per la diagnosi del tuo PC

Strategia di gestione degli account in Windows 11: multiutente e profili separati

Oltre al livello aziendale, i vantaggi si ripagano anche in ambito domestico o nelle piccole imprese. creare un utente diverso per ogni persona o ruoloCondividere sempre lo stesso account (per non parlare dell'account amministratore) è una cattiva idea per diversi motivi:

  • Privacy zeroChiunque può visualizzare i tuoi file, la cronologia di navigazione, le email aperte nei client locali, ecc.
  • Rischio malware e modifiche alla configurazioneSe tutti gli utenti hanno i privilegi di amministratore, anche un utente inesperto potrebbe installare software dannoso o disabilitare opzioni critiche.
  • Mancanza di tracciabilitàIn un ambiente di lavoro, se tutti utilizzano "PCVentas" con lo stesso account, è impossibile sapere chi ha apportato quale modifica.

Windows 11 semplifica notevolmente la gestione degli utenti:

  • Conti localiIdeale se la privacy è una priorità e non si desidera che ogni operazione passi attraverso l'identità online di Microsoft. Una soluzione adatta a PC condivisi, ambienti con policy proprie o quando non è necessaria l'integrazione con i servizi di Microsoft 365.
  • Conti MicrosoftSincronizzano impostazioni, credenziali e accesso ai servizi cloud (OneDrive, Office, Xbox, ecc.). Molto comodo quando si utilizzano quotidianamente i servizi aziendali.
  • Racconti familiariProgettato per i bambini, con controlli parentali, limiti di tempo, filtri per i contenuti e monitoraggio centralizzato tramite Microsoft Family Safety.
Gestire gli utenti Windows con PowerShell
Articolo correlato:
La guida definitiva alla gestione degli utenti Windows con PowerShell

Per creare utenti in Windows 11 hai diverse opzioni: Impostazioni > Account > Altri utenti, il gestore computer (utenti e gruppi locali), lo strumento netplwiz o comandi diretti come net user dalla console. L'importante non è tanto il percorso quanto il risultato: Ogni persona con il proprio account, e solo coloro che dovrebbero essere amministratori, nel gruppo Amministratori..

Criteri per le password in Windows: la chiave per limitare gli errori umani

Non importa quanto sia ben progettata l'architettura se poi si permette agli utenti di impostare password come "123456" o "password". La politica delle password di Windows serve proprio a questo. imporre norme minime di sicurezza ed evitare assurdità.

Questa direttiva fa parte delle policy di sicurezza locali o di dominio e consente di regolare aspetti quali:

  • Lunghezza minima: numero minimo di caratteri che una password deve avere.
  • Complessità: se includere lettere maiuscole, lettere minuscole, numeri e simboli.
  • recordQuante password precedenti vengono memorizzate per impedire all'utente di riutilizzarle?
  • Validità massima e minimaCon quale frequenza va sostituito e per quanto tempo deve essere conservato prima di poterlo sostituire nuovamente?
  • Blocco dell'account: numero di tentativi falliti e tempo di blocco per prevenire attacchi di forza bruta.

Questa impostazione viene configurata tramite l'Editor Criteri di gruppo (gpedit.msc) oppure, negli scenari di dominio, tramite GPO: Configurazione computer > Impostazioni di Windows > Impostazioni di sicurezza > Criteri account > Criteri password.

Quali caratteristiche dovrebbe avere una password sicura al giorno d'oggi?

Se desideri password che resistano davvero agli attacchi attuali, la teoria di base rimane valida, ma deve essere applicata rigorosamente. Una buona password dovrebbe essere:

  • soloNon riutilizzato su altri servizi o dispositivi. Si evita l'effetto domino nel caso in cui si diffonda su un altro sito web o app.
  • lungoDa 10-12 caratteri in poi inizia ad essere ragionevole, anche se per gli account critici (come gli amministratori di dominio) 15 o più caratteri è l'ideale.
  • Complesso ma memorabile: una combinazione di lettere maiuscole, lettere minuscole, numeri e simboli, ma organizzati nella forma di frase di passaggio Facile da ricordare e difficile da decifrare con un dizionario.

Un trucco molto utile è quello delle frasi cifrate: si sceglie una frase che si ricorda ("Mio figlio Juan ha tre anni più di mia figlia Ana") e si conserva la prima lettera di ogni parola, inserendo numeri e simboli: MhJe3@mqmh@Questo genera password lunghe e sicure senza costringerti a digitare cose incomprensibili.

In contesti ancora più seri, puoi estrarre direttamente da generatori di password e gestori di credenziali come KeePassXCcombinato con l'autenticazione a più fattori. Ciò che dovresti evitare a tutti i costi è:

  • Password vuote o banali (“amministratore”, “qwerty”, date di nascita…).
  • Password scritte su post-it incollati allo schermo o salvati in documenti non crittografati.
  • Riutilizza la stessa password per email, social media, VPN e accesso a Windows..
  Guida avanzata alla creazione di schemi di risparmio energia personalizzati in Windows 11

Combinazione di criteri per le password e blocco dell'account

La politica sulle password non è un elemento isolato; A ciò si aggiunge la politica di blocco degli account.L'obiettivo è impedire a un malintenzionato di effettuare migliaia di tentativi consecutivi contro una credenziale.

In Windows è possibile definire:

  • Soglia di blocco: numero di tentativi di accesso falliti prima del blocco dell'account.
  • Durata del blocco: tempo durante il quale l'account rimarrà bloccato.
  • Finestra di conteggio: intervallo di tempo durante il quale vengono conteggiati i tentativi falliti per determinare se è bloccato.

Nelle versioni precedenti di Windows erano presenti utilità come passprop.exe sottoporre persino l'account Administrator predefinito a criteri di blocco, inizialmente solo per gli avvii remoti e in seguito anche per gli avvii interattivi. Oggi, con Windows 11 e l'attuale Active Directory, è possibile modulare meglio questi comportamenti utilizzando gli Oggetti Criteri di gruppo (GPO), ma l'idea è la stessa: che nemmeno l'amministratore classico sfugge ai controlli.

Rilevamento di password deboli e verifiche periodiche

Stabilire delle regole va bene, ma la realtà è che ci saranno sempre utenti che cercano il minimo sforzo o che usano la stessa password da anni. Ecco perché è consigliabile integrare la direttiva con strumenti di analisi delle password:

  • Strumenti online (in rete) come MBSA (Microsoft Baseline Security Analyzer, negli ambienti legacy) che verifica la presenza di password vuote, password uguali al nome utente o al nome del computer.
  • Strumenti offline di terze parti che analizzano gli hash e cercano password deboli senza causare il blocco dell'account (metodo consigliato).

Quando si rileva una password debole, la soluzione ideale è automatizzare la risposta: imporre il passaggio a una password complessa oppure inviare un avviso molto chiaro al proprietarioIn ambienti più regolamentati, potrebbe essere richiesto il ripristino immediato e la notifica al team di sicurezza.

L'audit non è limitato alle password; deve coprire anche utilizzo di account privilegiatiChi effettua l'accesso e dove, chi modifica l'appartenenza ai gruppi, chi modifica le policy di sicurezza, ecc. Un visualizzatore di eventi, le opportune GPO e, se le dimensioni dell'organizzazione lo giustificano, un SIEM sono i vostri alleati in questo caso.

Account privilegiati: dove possono essere utilizzati e come proteggerli ulteriormente

Un altro elemento fondamentale è Limitare i computer da cui è possibile utilizzare account di dominio con privilegi elevati.Un amministratore di dominio non dovrebbe mai accedere al PC di un utente comune, a prescindere da quanta fretta abbia.

Alcune misure molto efficaci sono:

  • Consentire l'accesso interattivo solo agli amministratori di dominio sui controller di dominio e sulle workstation di gestione dedicate.mai su apparecchiature utente o server inaffidabili.
  • Vietare l'utilizzo degli account amministratore come servizio o per attività batch.a meno che non vengano gestiti con estrema cura.
  • Disabilita la delega per gli account privilegiaticontrassegnandoli come "L'account è importante e non può essere delegato", impedendo così l'impersonificazione tramite server di delega affidabili.

Per elevare ulteriormente il livello, si raccomanda vivamente di richiedere che Gli accessi amministrativi utilizzano smart card. (Autenticazione forte a due fattori). Questo previene molti problemi derivanti da password condivise, rubate o intercettate da keylogger e garantisce che la persona che effettua l'accesso sia fisicamente in possesso della carta e del PIN.

Negli account estremamente sensibili (membri degli amministratori dell'organizzazione, ad esempio), è possibile Condividi l'account tra due persone in modo controllato.Una persona detiene la smart card e l'altra il PIN, quindi entrambe devono essere presenti per poterla utilizzare. Non è una soluzione perfetta dal punto di vista della responsabilità individuale, ma aggiunge un livello piuttosto solido di controllo fisico e supervisione.

PsLoggedOn Windows
Articolo correlato:
Guida alla visualizzazione dell'attività dell'utente con PsLoggedOn

Questo intero quadro di misure—un LAPS ben configurato, una politica di password rigorosa ma ragionevole, il principio del minimo privilegio, l'audit e l'autenticazione forte con smart card—consente di Gli account locali e amministrativi in ​​Windows 11 dovrebbero essere uno strumento controllato, non un'arma puntata contro la propria rete.Ti aiutiamo a mantenere sicurezza, tracciabilità e reattività senza interrompere la vita quotidiana degli utenti o farti impazzire nella gestione degli incidenti. Condividi le informazioni e altri utenti potranno conoscere l'argomento..