Caso de uso
Algunos clientes quieren usar una cuenta de administrador solo para tareas «elevadas», al igual que los sistemas unix soportan el concepto de»sudo». Además, los sistemas unix se configuran comúnmente para bloquear el inicio de sesión directo de las cuentas de administrador. El procedimiento establecido es iniciar sesión con un usuario sin privilegios y, a continuación, elevar las tareas con el comando «sudo» cuando sea necesario.
No hay una asignación exacta de estos conceptos al entorno Windows. Microsoft dio algunos pasos en esta dirección con el Control de Cuentas de usuario. Además, el comando» ejecutar como «permite un patrón de comportamiento similar al «sudo» de unix (aunque no idéntico).
Dado que muchos clientes tienen prácticas recomendadas para evitar el uso de cuentas de administrador siempre que sea posible, exploremos si podemos permitir que una cuenta se use con el comando «ejecutar como», pero bloquear que esa cuenta inicie sesión de forma interactiva en el escritorio.
Funcionamiento interno
Las autenticaciones en el escritorio de Windows (ya sea mediante consola o acceso a escritorio remoto) se conocen como inicios de sesión «Interactivos». La directiva de grupo nos permite restringir quién puede iniciar sesión de forma interactiva, pero esta misma directiva también controla el uso del comando «ejecutar como». (Windows utiliza el mismo tipo de inicio de sesión cuando se establece una autenticación secundaria, aunque no se muestre ningún escritorio adicional.) Por lo tanto, no hay ninguna forma directa (a través de la política) de restringir uno, pero no el otro.
La directiva de grupo permite que una cuenta de usuario tenga especificado un «shell» diferente (el shell normal es » Explorer.exe»). Podemos usar esta función para forzar que una sesión interactiva se cierre inmediatamente en lugar de mostrar el escritorio de Windows.
Procedimiento
- Cree o seleccione una Unidad Organizativa que contenga a los usuarios con acceso restringido.
- Mover usuarios al grupo (si es necesario).
- Crear un objeto de directiva de grupo y aplicarlo a la unidad organizativa
- Editar el objeto de directiva de grupo. Navegar a:
User Configuration > Policies > Administrative Templates > System
y establezca la política denominada » Interfaz de usuario personalizada «en» cerrar sesión.exe »
- Tenga en cuenta que esta política no se aplicará de inmediato; deberá usar «gpupdate» en sus sistemas si tiene la intención de realizar pruebas de inmediato.
Advertencias
- Utilice solo la directiva de grupo verdadera para esta configuración. No aplique esta directiva mediante el objeto de directiva de grupo» Local » de máquinas específicas, ya que se aplicará a todos los usuarios. Efectivamente, ningún usuario podrá iniciar sesión en la máquina (que probablemente no sea lo que desea).
- Si aplica esta directiva a las cuentas de usuario administrador de dominio, asegúrese de cambiar también la directiva que solo permite a los administradores autenticarse en controladores de dominio. De lo contrario, los únicos usuarios autorizados a iniciar sesión en el DCs se desconectarán inmediatamente (lo que probablemente no sea lo que desea).
Limitaciones
El propósito de este procedimiento es solo guiar el comportamiento de los usuarios legítimos evitando el uso inadvertido (o perezoso) de su cuenta elevada para sesiones de escritorio. No restringe lo que un atacante o administrador malicioso puede hacer con sus credenciales. Recuerde que la autenticación en el escritorio interactivo no es necesaria para cambiar cualquier configuración, incluido el cambio de su shell a «explorador».exe».
Por lo tanto, sigue siendo importante proteger a los usuarios administrativos con credenciales de 2 factores.
