användningsfall
vissa kunder vill bara använda ett administratörskonto för ”förhöjda” uppgifter, ungefär som hur unix-system stöder begreppet ”sudo”. Dessutom är unix-system vanligtvis konfigurerade för att blockera direkt inloggning av administratörskonton. Det etablerade förfarandet är att logga in med en icke-privilegierad användare och sedan höja uppgifter med kommandot ”sudo” vid behov.
det finns ingen exakt kartläggning av dessa begrepp till Windows-miljön. Microsoft gjorde några steg i den här riktningen med Användarkontokontroll. Kommandot ” Kör som ”tillåter också ett liknande beteendemönster som unix” sudo ” (även om det inte är identiskt).
eftersom många kunder har bästa praxis för att undvika användning av administratörskonton när det är möjligt, låt oss undersöka om vi kan tillåta att ett konto används med kommandot ”Kör som”, men blockera det kontot från att logga in interaktivt till skrivbordet.
interna
autentiseringar till Windows-skrivbordet (antingen via konsol eller fjärrskrivbord) kallas ”interaktiva” inloggningar. Grupppolicy tillåter oss att begränsa vem som kan logga in interaktivt, men samma policy styr också användningen av kommandot ”Kör som”. (Windows använder samma inloggningstyp när du skapar en sekundär autentisering, även om inget extra skrivbord visas.) Således finns det inget direkt sätt (via policy) att begränsa en, men inte den andra.
grupppolicy tillåter ett användarkonto att ha ett annat” skal ”angivet (det normala skalet är” Explorer.exe”). Vi kan använda den här funktionen för att tvinga en interaktiv session att logga ut omedelbart istället för att visa Windows-skrivbordet.
procedur
- skapa eller välj en organisationsenhet som kommer att hålla dina inloggningsbegränsade användare.
- flytta användare till gruppen (om det behövs).
- skapa ett grupprincipobjekt och tillämpa på OU
- redigera grupprincipobjektet. Navigera till:
User Configuration > Policies > Administrative Templates > System
och ställ in policyn ” Custom User Interface ”till” Logga ut.exe ”
- Observera att denna policy inte gäller omedelbart; du måste använda ”gpupdate” på dina system om du tänker testa direkt.
varningar
- Använd endast sann Grupprincip för den här inställningen. Använd inte denna policy med hjälp av det ”lokala” grupprincipobjektet för specifika maskiner, eftersom det då kommer att gälla för alla användare. Effektivt kommer Inga användare att kunna logga in på maskinen (vilket förmodligen inte är vad du vill).
- om du tillämpar den här principen på domänadministratörskonton måste du också ändra principen som bara tillåter administratörer att autentisera till domänkontrollanter. Annars kommer de enda användare som får logga in på DCs omedelbart att loggas av (vilket förmodligen inte är vad du vill).
begränsningar
syftet med denna procedur är endast att styra beteendet hos legitima användare genom att förhindra oavsiktlig (eller lat) användning av deras förhöjda konto för skrivbordssessioner. Det begränsar inte vad en angripare eller skadlig administratör kan göra med sina referenser. Kom ihåg att autentisering till det interaktiva skrivbordet inte är nödvändigt för att ändra någon inställning, inklusive att ändra sitt skal tillbaka till ”explorer.exe”.
det är därför fortfarande viktigt att säkra administrativa användare med 2-faktorsuppgifter.
