Caso d’uso
Alcuni clienti vogliono utilizzare un account amministratore solo per attività “elevate”, proprio come i sistemi unix supportano il concetto di “sudo”. Inoltre, i sistemi unix sono comunemente configurati per bloccare l’accesso diretto da parte degli account amministratore. La procedura stabilita consiste nell’accedere con un utente non privilegiato e quindi elevare le attività con il comando “sudo” dove necessario.
Non esiste una mappatura esatta di questi concetti nell’ambiente Windows. Microsoft ha fatto alcuni passi in questa direzione con il controllo dell’account utente. Inoltre, il comando” esegui come “consente un modello di comportamento simile a quello di unix “sudo” (anche se non identico).
Poiché molti clienti hanno le migliori pratiche per evitare l’uso di account di amministrazione, ove possibile, esaminiamo se possiamo consentire l’utilizzo di un account con il comando “esegui come”, ma bloccare l’accesso interattivo a quell’account sul desktop.
Internals
Le autenticazioni sul desktop di Windows (tramite console o accesso desktop remoto) sono note come accessi “interattivi”. La politica di gruppo ci consente di limitare chi può accedere in modo interattivo, ma questa stessa politica controlla anche l’uso del comando “esegui come”. (Windows utilizza lo stesso tipo di accesso quando si stabilisce un’autenticazione secondaria, anche se non viene visualizzato alcun desktop aggiuntivo.) Quindi, non c’è alcun modo diretto (tramite la politica) per limitare uno, ma non l’altro.
I criteri di gruppo consentono a un account utente di avere una” shell ” diversa specificata (la shell normale è “Explorer.exe”). Possiamo usare questa funzione per forzare una sessione interattiva per disconnettersi immediatamente invece di visualizzare il desktop di Windows.
Procedura
- Creare o selezionare un’unità organizzativa che manterrà gli utenti con accesso limitato.
- Sposta gli utenti nel gruppo (se necessario).
- Creare un oggetto criteri di gruppo e applicare alla OU
- Modificare l’oggetto criteri di gruppo. Vai a:
User Configuration > Policies > Administrative Templates > System
e impostare il criterio denominato “Interfaccia utente personalizzata” su ” disconnessione.exe ”
- Nota che questa politica non si applica immediatamente; dovrai usare “gpupdate” sui tuoi sistemi se intendi testare subito.
Avvertenze
- Utilizzare solo criteri di gruppo true per questa impostazione. Non applicare questo criterio utilizzando l’oggetto criteri di gruppo “Locale” di macchine specifiche, perché verrà applicato a tutti gli utenti. In effetti, nessun utente sarà in grado di accedere alla macchina (che probabilmente non è quello che vuoi).
- Se si applica questo criterio agli account utente amministratore di dominio, assicurarsi di modificare anche il criterio che consente solo agli amministratori di autenticarsi ai controller di dominio. Altrimenti gli unici utenti autorizzati ad accedere al DCS verranno immediatamente disconnessi (che probabilmente non è quello che vuoi).
Limitazioni
Lo scopo di questa procedura è solo quello di guidare il comportamento degli utenti legittimi impedendo l’uso involontario (o pigro) del loro account elevato per le sessioni desktop. Non limita ciò che un utente malintenzionato o un amministratore dannoso può fare con le proprie credenziali. Ricorda che l’autenticazione sul desktop interattivo non è necessaria per modificare qualsiasi impostazione, inclusa la modifica della shell in “explorer.exe”.
È comunque importante proteggere gli utenti amministrativi con credenziali a 2 fattori.