Na era digital atual, a administração de sistemas e o gerenciamento de segurança geralmente exigem o uso de scripts. Um aspecto vital da manutenção da segurança do sistema é o controle dos administradores locais em máquinas Windows. Usar o PowerShell para obter esses dados pode ser um divisor de águas para muitos profissionais de TI. Leia este artigo para saber como usar o PowerShell para localizar administradores locais.
Histórico
O PowerShell evoluiu como uma linguagem de script e um shell robustos. Especialmente para profissionais de TI e provedores de serviços gerenciados (MSPs), scripts como o fornecido tornam-se indispensáveis. Os MSPs geralmente gerenciam vários ambientes de clientes, o que torna difícil monitorar cada detalhe manualmente. Ao utilizar scripts para obter informações, como a lista de administradores locais, os MSPs podem garantir que somente indivíduos autorizados tenham acesso elevado, protegendo-se contra possíveis ameaças e atividades mal-intencionadas.
O roteiro
<#
.SYNOPSIS
Updates a custom field with a list of local admins.
.DESCRIPTION
Updates a custom field with a list of local admins.
.EXAMPLE
No parameter needed
Local Admins Found: Administrator, kbohlander, TESTDomain Admins
Attempting to set Custom Field: LocalAdmins
PARAMETER: -CustomField "ReplaceWithAnyTextCustomField"
Updates the custom field you specified (defaults to "LocalAdmins"). The Custom Field needs to be writable by scripts (otherwise the script will report it as not found).
PARAMETER: -Delimiter "ReplaceWithYourDesiredDelimiter"
Places whatever is entered encased of quotes between each user name. See below example.
.EXAMPLE
-Delimiter " - "
Local Admins Found: Administrator - kbohlander - TESTDomain Admins
Attempting to set Custom Field: LocalAdmins
.OUTPUTS
None
.NOTES
Minimum OS Architecture Supported: Windows 7, Windows Server 2008
Release Notes:
Switched to using net localgroup as it's the most reliable. Removed PowerShell 5.1 requirement.
By using this script, you indicate your acceptance of the following legal terms as well as our Terms of Use at https://www.ninjaone.com/terms-of-use.
Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms.
Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party.
Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library or website belonging to or under the control of any other software provider.
Warranty Disclaimer: The script is provided “as is” and “as available”, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations.
Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks.
Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script.
EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA).
#>
[CmdletBinding()]
param (
[Parameter()]
[String]$CustomField = "LocalAdmins",
[Parameter()]
[String]$Delimiter = ', '
)
begin {
if ($env:customFieldName -and $env:customFieldName -notlike "null") { $CustomField = $env:customFieldName }
if ($env:delimiter -and $env:delimiter -notlike "null") { $Delimiter = $env:delimiter }
$CheckNinjaCommand = "Ninja-Property-Set"
}
process {
# Get objects in the Administrators group, includes user objects and groups
$Users = net.exe localgroup "Administrators" | Where-Object { $_ -AND $_ -notmatch "command completed successfully" } | Select-Object -Skip 4
if (-not $Users) {
Write-Error "[Error] No user's found! This is extremely unlikely is something blocking access to 'net localgroup administrators'?"
exit 1
}
Write-Host "Local Admins Found (Users & Groups): $($Users -join $Delimiter)"
if ($(Get-Command $CheckNinjaCommand -ErrorAction SilentlyContinue).Name -like $CheckNinjaCommand -and -not [string]::IsNullOrEmpty($CustomField) -and -not [string]::IsNullOrWhiteSpace($CustomField)) {
Write-Host "Attempting to set Custom Field: $CustomField"
Ninja-Property-Set -Name $CustomField -Value $($Users -join $Delimiter)
}
else {
Write-Warning "Unable to set customfield either due to legacy OS or this script is not running as an elevated user."
}
}
end {
}
Acesse mais de 300 scripts no NinjaOne Dojo
Detalhamento
O script é iniciado com a definição de parâmetros padrão, principalmente visando a um campo personalizado chamado “LocalAdmins” e usando uma vírgula como delimitador padrão. Veja como funciona:
- Inicialização: O script começa configurando os comandos necessários,“Get-LocalGroupMember” para buscar membros de grupos locais e“Ninja-Property-Set” para definir propriedades no NinjaOne, uma renomada plataforma de gerenciamento de TI.
- Obtenção de administradores: No bloco de processo, o script verifica se o comando“Get-LocalGroupMember” está disponível. Em caso afirmativo, ele usa isso para buscar administradores locais. Caso contrário, o padrão é usar o comando net.exe.
- Formatação da saída: Depois de recuperar a lista de administradores, ele formata os nomes de usuário, separando-os de qualquer domínio ou nome de máquina.
- Integração com o NinjaOne: Por fim, o script verifica se o comando“Ninja-Property-Set” está disponível e, em seguida, atualiza o campo personalizado no NinjaOne com a lista de administradores locais.
Casos de uso em potencial
Imagine ser um administrador de TI de uma empresa de médio porte com uma força de trabalho remota em expansão. Com os funcionários fazendo login em diferentes locais e dispositivos, torna-se crucial garantir que somente o pessoal autorizado tenha acesso administrativo. Ao implementar esse script, um profissional de TI pode obter a lista de todos os administradores locais em várias estações de trabalho, o que lhe permite auditar o acesso e tomar medidas corretivas, se necessário.
Comparações
Embora existam várias maneiras de recuperar uma lista de administradores locais, como usar interfaces gráficas de usuário ou ferramentas de terceiros,os scripts do PowerShelloferecem automação, escalabilidade e fácil integração. Por exemplo, enquanto a GUI nativa “Computer Management” permite verificar os administradores locais em uma única estação de trabalho, nosso script pode ser dimensionado para várias máquinas, proporcionando uma maneira mais eficiente de obter esses dados, especialmente para MSPs que lidam com vários ambientes de clientes.
Implicações
Entender quem tem privilégios administrativos é fundamental para a segurança de TI. Administradores não autorizados ou desonestos podem fazer alterações no sistema, instalar software malicioso ou acessar informações confidenciais. Ao monitorar e auditar regularmente os administradores locais, as organizações podem reduzir significativamente os possíveis riscos à segurança.
Recomendações
- Auditorias regulares: Execute esse script periodicamente para manter uma lista atualizada de administradores locais.
- Integrar com o monitoramento: Integre a saída com soluções de monitoramento para receber alertas sobre alterações na lista de administradores locais.
- Documentação: Mantenha a documentação de todos os usuários aos quais foram concedidos direitos administrativos locais, garantindo que haja um motivo comercial válido para cada atribuição.
Considerações finais
Embora os scripts do PowerShell, como o fornecido, facilitem muito o processo de obtenção e gerenciamento de administradores locais, plataformas como o NinjaOne elevam essas funcionalidades. O recurso de integração perfeita do NinjaOne, aliado a ferramentas robustas de gerenciamento de TI, garante que os administradores de sistemas estejam sempre no controle, possam responder rapidamente às mudanças e garantir a segurança e o desempenho ideais do sistema.