Use case
někteří zákazníci chtějí používat účet správce pouze pro „zvýšené“ úkoly, podobně jako systémy unix podporují koncept „sudo“. Kromě toho jsou unixové systémy běžně konfigurovány tak, aby blokovaly přímé Přihlášení účty správce. Zavedeným postupem je přihlásit se s neprivilegovaným uživatelem a v případě potřeby povýšit úkoly příkazem „sudo“.
neexistuje přesné mapování těchto konceptů do prostředí Windows. Společnost Microsoft provedla v tomto směru několik kroků pomocí kontroly uživatelských účtů. Také příkaz „Spustit jako“ umožňuje podobný vzor chování jako unix „sudo“ (i když není totožný).
vzhledem k tomu, že mnoho zákazníků má osvědčené postupy, jak se vyhnout používání účtů správce, kdykoli je to možné, pojďme prozkoumat, zda můžeme povolit použití účtu pomocí příkazu „Spustit jako“, ale zablokovat tento účet v interaktivním přihlášení na plochu.
interní soubory
autentizace na ploše Windows (ať už prostřednictvím konzoly nebo přístupu ke vzdálené ploše) jsou známé jako“ interaktivní “ logony. Zásady skupiny nám umožňují omezit, kdo se může interaktivně přihlásit, ale stejné zásady také řídí použití příkazu „Spustit jako“. (Systém Windows používá stejný typ Přihlášení Při navázání sekundární autentizace, i když se nezobrazí žádná další Plocha.) Neexistuje tedy žádný přímý způsob (prostřednictvím politiky), jak omezit jednu, ale ne druhou.
Zásady skupiny umožňují uživatelskému účtu zadat jiný“ shell „(normální shell je „Průzkumník“.exe“). Tuto funkci můžeme použít k tomu, abychom vynutili okamžité odhlášení interaktivní relace místo zobrazení plochy Windows.
procedura
- Vytvořte nebo vyberte organizační jednotku, která bude držet uživatele s omezeným přihlášením.
- přesuňte uživatele do skupiny (pokud je to nutné).
- vytvořte objekt zásad skupiny a aplikujte na OU
- upravte objekt zásad skupiny. Přejít na:
User Configuration > Policies > Administrative Templates > System
a nastavte zásady s názvem „Vlastní uživatelské rozhraní“ na “ odhlášení.exe“
- Všimněte si, že tato zásada nebude platit okamžitě; budete muset použít „gpupdate“na vašich systémech, pokud máte v úmyslu testovat hned.
upozornění
- pro toto nastavení používejte pouze zásady true group. Nepoužívejte tyto zásady pomocí objektu“ Místní “ zásady skupiny konkrétních strojů, protože se pak budou vztahovat na všechny uživatele. Účinně se žádní uživatelé nebudou moci přihlásit k počítači(což pravděpodobně není to, co chcete).
- Použijete – li tyto zásady na uživatelské účty správce domény, nezapomeňte také změnit zásady, které umožňují pouze správcům autentizaci k řadičům domény. V opačném případě budou okamžitě odhlášeni pouze uživatelé, kteří se mohou přihlásit do DCs(což pravděpodobně není to, co chcete).
omezení
účelem tohoto postupu je pouze řídit chování legitimních uživatelů tím, že zabrání neúmyslnému (nebo línému) použití jejich zvýšeného účtu pro relace na ploše. Neomezuje to, co může útočník nebo škodlivý Správce udělat se svými pověřeními. Připomeňme, že ověření interaktivní plochy není nutné, aby bylo možné změnit jakékoli nastavení, včetně změny jejich shellu zpět na „průzkumník“.exe“.
je proto stále důležité zabezpečit administrátorské uživatele pomocí 2faktorových pověření.