caz de Utilizare
unii clienți doresc să utilizeze un cont de administrator numai pentru sarcini „ridicate”, la fel ca modul în care sistemele unix acceptă conceptul de „sudo”. În plus, sistemele unix sunt configurate în mod obișnuit pentru a bloca conectarea directă de către conturile de administrator. Procedura stabilită este să vă conectați cu un utilizator neprivilegiat și apoi să ridicați sarcinile cu comanda „sudo” acolo unde este necesar.
nu există o mapare exactă a acestor concepte în mediul Windows. Microsoft a făcut câțiva pași în această direcție cu controlul contului de utilizator. De asemenea, comanda” run as „permite un model de comportament similar cu UNIX” sudo ” (deși nu identic).
deoarece mulți clienți au cele mai bune practici pentru a evita utilizarea conturilor de administrator ori de câte ori este posibil, să explorăm dacă putem permite utilizarea unui cont cu comanda „run as”, dar blocăm acel cont să se conecteze interactiv la desktop.
Internals
autentificările la desktopul Windows (fie prin consolă, fie prin acces la desktop la distanță) sunt cunoscute sub numele de conectări „Interactive”. Politica de grup ne permite să restricționăm cine se poate conecta interactiv, dar aceeași politică controlează și utilizarea comenzii „Executare ca”. (Windows utilizează același tip de conectare atunci când stabiliți o autentificare secundară, chiar dacă nu este afișat niciun desktop suplimentar.) Astfel, nu există nicio modalitate directă (prin politică) de a restricționa una, dar nu și cealaltă.
Politica de grup permite unui cont de utilizator să aibă un „shell” diferit specificat (shell-ul normal este „Explorer.exe”). Putem folosi această caracteristică pentru a forța o sesiune interactivă să se deconecteze imediat în loc să afișeze desktopul Windows.
procedură
- creați sau selectați o unitate organizațională care va reține utilizatorii restricționați la conectare.
- mutați utilizatorii în grup (dacă este necesar).
- creați un obiect de politică de grup și aplicați la ou
- Editați obiectul de politică de grup. Navigați la:
User Configuration > Policies > Administrative Templates > System
și setați Politica numită „Custom User Interface” la ” logoff.exe „
- rețineți că această politică nu se va aplica imediat; va trebui să utilizați” gpupdate ” pe sistemele dvs. dacă intenționați să testați imediat.
Atenționări
- utilizați numai true group policy pentru această setare. Nu aplicați această politică utilizând obiectul de politică de grup” Local ” al anumitor mașini, deoarece se va aplica apoi tuturor utilizatorilor. În mod eficient, niciun utilizator nu se va putea conecta la mașină (ceea ce probabil nu este ceea ce doriți).
- dacă aplicați această politică conturilor de utilizator de administrator de domeniu, asigurați-vă că modificați și Politica care permite doar administratorilor să se autentifice la controlerele de domeniu. În caz contrar, singurii utilizatori autorizați să se conecteze la DCs vor fi imediat deconectați (ceea ce probabil nu este ceea ce doriți).
limitări
scopul acestei proceduri este doar de a ghida comportamentul utilizatorilor legitimi prin prevenirea utilizării accidentale (sau leneșe) a contului lor ridicat pentru sesiunile desktop. Nu restricționează ceea ce poate face un atacator sau un administrator rău intenționat cu acreditările lor. Amintiți-vă că autentificarea pe desktopul interactiv nu este necesară pentru a schimba orice setare, inclusiv schimbarea shell-ului înapoi la „explorer.exe”.
prin urmare, este încă important să se asigure utilizatorilor administrativi acreditări cu 2 factori.