Use case
sommige klanten willen een administrator-account alleen gebruiken voor “verhoogde” taken, net zoals unix-systemen het concept “sudo”ondersteunen. Daarnaast worden unix-systemen meestal geconfigureerd om directe aanmelding door administratoraccounts te blokkeren. De vastgestelde procedure is om in te loggen met een gebruiker zonder privileges, en vervolgens taken te verheffen met het “sudo” commando waar nodig.
er is geen exacte toewijzing van deze concepten aan de Windows-omgeving. Microsoft maakte een aantal stappen in deze richting met User Account Control. Ook staat het commando” run as “een vergelijkbaar gedragspatroon toe als het unix” sudo ” (hoewel niet identiek).
aangezien veel klanten best practices hebben om het gebruik van admin accounts waar mogelijk te vermijden, laten we eens onderzoeken of we een account kunnen toestaan om gebruikt te worden met het commando “run as”, maar dat account blokkeren om interactief in te loggen op het bureaublad.
Internals
authenticatie van het Windows-bureaublad (via console of Extern bureaublad) staat bekend als” interactieve ” aanmeldingen. Groepsbeleid stelt ons in staat om te beperken wie interactief kan inloggen, maar ditzelfde beleid regelt ook het gebruik van het commando “run as”. (Windows gebruikt hetzelfde aanmeldingstype wanneer u een secundaire verificatie tot stand brengt, hoewel er geen extra bureaublad wordt weergegeven.) Er is dus geen directe manier (via beleid) om de ene te beperken, maar niet de andere.
Groepsbeleid staat toe dat een gebruikersaccount een andere” shell “heeft opgegeven (de normale shell is” Explorer.executable”). We kunnen deze functie gebruiken om een interactieve sessie te dwingen zich onmiddellijk af te melden in plaats van het bureaublad van Windows weer te geven.
Procedure
- maak of selecteer een organisatie-eenheid die uw gebruikers met aanmeldingsbeperking zal bevatten.
- Verplaats gebruikers naar de groep (indien nodig).
- Maak een groepsbeleidsobject aan en pas het toe op de organisatie-eenheid
- Bewerk het groepsbeleidsobject. Navigeren naar:
User Configuration > Policies > Administrative Templates > System
en stel het beleid met de naam “Custom User Interface” in op “Afmelden.exe ”
- merk op dat dit beleid niet onmiddellijk van toepassing zal zijn; u moet “gpupdate” gebruiken op uw systemen als u van plan bent om direct te testen.
waarschuwingen
- gebruik alleen true group policy voor deze instelling. Pas dit beleid niet toe met het “lokale” groepsbeleidsobject van specifieke machines, omdat het dan op alle gebruikers van toepassing zal zijn. Effectief, geen gebruikers in staat zal zijn om in te loggen op de machine (dat is waarschijnlijk niet wat je wilt).
- als u dit beleid toepast op domeinbeheerdersaccounts, moet u ook het beleid wijzigen dat alleen beheerders toestaat om zich aan te melden bij domeincontrollers. Anders worden de enige gebruikers die mogen inloggen op het DCs onmiddellijk uitgelogd (wat waarschijnlijk niet is wat je wilt).
beperkingen
het doel van deze procedure is alleen om het gedrag van legitieme gebruikers te begeleiden door het onbedoeld (of lui) gebruik van hun verhoogde account voor desktopsessies te voorkomen. Het beperkt niet wat een aanvaller of kwaadaardige admin kan doen met hun referenties. Bedenk dat authenticatie aan de interactieve desktop is niet nodig om een instelling te wijzigen, met inbegrip van het veranderen van hun shell terug naar ” explorer.executable”.
het is daarom nog steeds belangrijk om administratieve gebruikers met 2-factor referenties te beveiligen.
