Anwendungsfall
Einige Kunden möchten ein Administratorkonto nur für „erhöhte“ Aufgaben verwenden, ähnlich wie Unix-Systeme das Konzept von „sudo“ unterstützen. Darüber hinaus sind Unix-Systeme häufig so konfiguriert, dass die direkte Anmeldung durch Administratorkonten blockiert wird. Das etablierte Verfahren besteht darin, sich mit einem nicht privilegierten Benutzer anzumelden und dann Aufgaben mit dem Befehl „sudo“ zu erhöhen, falls erforderlich.
Es gibt keine genaue Zuordnung dieser Konzepte zur Windows-Umgebung. Microsoft hat mit der Benutzerkontensteuerung einige Schritte in diese Richtung unternommen. Außerdem ermöglicht der Befehl „Ausführen als“ ein ähnliches Verhaltensmuster wie der Unix-Befehl „sudo“ (wenn auch nicht identisch).
Da viele Kunden Best Practices haben, um die Verwendung von Administratorkonten nach Möglichkeit zu vermeiden, wollen wir untersuchen, ob wir die Verwendung eines Kontos mit dem Befehl „Ausführen als“ zulassen, dieses Konto jedoch daran hindern können, sich interaktiv am Desktop anzumelden.
Interna
Authentifizierungen auf dem Windows-Desktop (ob über Konsole oder Remotedesktopzugriff) werden als „interaktive“ Anmeldungen bezeichnet. Mit der Gruppenrichtlinie können wir einschränken, wer sich interaktiv anmelden kann, aber dieselbe Richtlinie steuert auch die Verwendung des Befehls „Ausführen als“. (Windows verwendet denselben Anmeldetyp, wenn Sie eine sekundäre Authentifizierung einrichten, obwohl kein zusätzlicher Desktop angezeigt wird.) Daher gibt es keine direkte Möglichkeit (über Richtlinien), die eine einzuschränken, die andere jedoch nicht.
Die Gruppenrichtlinie erlaubt es einem Benutzerkonto, eine andere „Shell“ anzugeben (die normale Shell ist „Explorer.exe“). Mit dieser Funktion können wir die sofortige Abmeldung einer interaktiven Sitzung erzwingen, anstatt den Windows-Desktop anzuzeigen.
Prozedur
- Erstellen oder wählen Sie eine Organisationseinheit, die Ihre Benutzer mit eingeschränkter Anmeldung enthält.
- Benutzer in die Gruppe verschieben (falls erforderlich).
- Erstellen Sie ein Gruppenrichtlinienobjekt und wenden Sie es auf die Organisationseinheit an
- Bearbeiten Sie das Gruppenrichtlinienobjekt. Navigieren Sie zu:
User Configuration > Policies > Administrative Templates > System
und legen Sie die Richtlinie mit dem Namen „Benutzerdefinierte Benutzeroberfläche“ auf „Abmelden“ fest.exe“
- Beachten Sie, dass diese Richtlinie nicht sofort gilt; Sie müssen „gpupdate“ auf Ihren Systemen verwenden, wenn Sie sofort testen möchten.
Hinweise
- Verwenden Sie für diese Einstellung nur echte Gruppenrichtlinien. Wenden Sie diese Richtlinie nicht mit dem „lokalen“ Gruppenrichtlinienobjekt bestimmter Computer an, da sie dann für alle Benutzer gilt. Effektiv können sich keine Benutzer an der Maschine anmelden (was wahrscheinlich nicht das ist, was Sie wollen).
- Wenn Sie diese Richtlinie auf Domänenadministrator-Benutzerkonten anwenden, stellen Sie sicher, dass Sie auch die Richtlinie ändern, die nur Administratoren die Authentifizierung bei Domänencontrollern ermöglicht. Andernfalls werden die einzigen Benutzer, die sich am DCs anmelden dürfen, sofort abgemeldet (was wahrscheinlich nicht das ist, was Sie wollen).
Einschränkungen
Der Zweck dieses Verfahrens besteht nur darin, das Verhalten legitimer Benutzer zu steuern, indem die unbeabsichtigte (oder verzögerte) Verwendung ihres erhöhten Kontos für Desktopsitzungen verhindert wird. Es schränkt nicht ein, was ein Angreifer oder böswilliger Administrator mit seinen Anmeldeinformationen tun kann. Denken Sie daran, dass die Authentifizierung beim interaktiven Desktop nicht erforderlich ist, um Einstellungen zu ändern, einschließlich des Zurücksetzens der Shell in „Explorer.exe“.
Es ist daher weiterhin wichtig, administrative Benutzer mit 2-Faktor-Anmeldeinformationen zu sichern.
