Защита группы локальных администраторов на каждом рабочем столе

Опубликовано: 10 Апреля, 2023

Введение

Если ваша компания похожа на большинство компаний, у вас есть пользователи, работающие как локальные администраторы на своих рабочих столах. Существуют решения, позволяющие устранить эту потребность, и это направление, которому должна следовать каждая компания. Когда пользователи работают как локальные администраторы, ИТ-персонал не имеет контроля над этим пользователем или его рабочим столом. Чтобы вы могли защитить локальную группу администраторов на каждом рабочем столе, вам необходимо иметь несколько мощных инструментов для выполнения этой работы. Обычно для защиты этой группы необходимо выполнить три разные задачи, которые мы рассмотрим в этой статье. Windows Server 2008 и Windows Vista SP1 (с установленным RSAT) предоставляют удивительные новые элементы управления, которые упрощают эти конфигурации!

Задача 1 — Удалить учетную запись пользователя домена

Первоначальная задача защиты локальной группы администраторов состоит в том, чтобы гарантировать, что пользователь больше не является членом этой группы. Это легче сказать, чем сделать, поскольку большинство компаний настроили учетную запись пользователя в домене для членства в этой группе при установке компьютера пользователя.

Рассмотрим сценарий, в котором вы решили проблему с пользователями, работающими в качестве локального администратора, и теперь вам нужно удалить учетные записи пользователей домена из группы локальных администраторов на каждом рабочем столе в вашей среде. У вас есть только 10 000 настольных компьютеров, ноутбуков и удаленных пользователей, поэтому перед вами стоит небольшая задача (да, верно!).

Если вы создаете сценарий для выполнения этой задачи, вы полагаетесь на то, что пользователь выйдет из системы и снова войдет в систему, чтобы сценарий запустился. Маловероятно, что это произойдет даже на половине рабочих столов, поэтому вам нужен другой вариант.

В качестве идеального решения вы можете использовать локальную группу — предпочтение групповой политики, чтобы выполнить задачу в течение примерно 90 минут после ее реализации. Чтобы выполнить эту работу, вам просто нужно отредактировать объект групповой политики (GPO) и настроить следующую политику: Конфигурация пользователяНастройкиПараметры панели управленияЛокальные пользователи и группыНоваяЛокальная группа, которая откроет новую локальную группу. Диалоговое окно «Свойства группы», как показано на рисунке 1.

Изображение 24280
 Рисунок 1: Локальная группа GPP, которая позволяет вам контролировать членство в локальной группе администраторов.

После того, как вы откроете этот лист свойств, просто выберите переключатель Удалить текущего пользователя. Это повлияет на все учетные записи пользователей, которые находятся в области управления объектом групповой политики, содержащим этот параметр. Этот параметр будет применяться во время следующего фонового обновления групповой политики, которое занимает менее 90 минут.

ПРИМЕЧАНИЕ:
Если вы не решили проблему с удалением пользователей из локальной группы администраторов из-за того, что локальные приложения требуют этого параметра, см. https://techgenix.com/Windows-Vista-Principle-Least-Privilege/.

Задача 2 — добавить администраторов домена и локального администратора

Следующим этапом защиты локальной группы администраторов является обеспечение того, чтобы глобальная группа администраторов домена и учетная запись локального администратора были добавлены в локальную группу администраторов на каждом рабочем столе.

Многие пытались сделать это, используя политику Restricted Groups, которая с самого начала была в групповой политике Windows Active Directory. Проблема с этим решением заключается в том, что политика групп с ограниченным доступом является политикой «удалить и заменить», а не политикой «добавления». Таким образом, когда вы настраиваете политику для выполнения этой задачи, вы уничтожаете содержимое локальной группы администраторов, заменяя ее только этими двумя учетными записями.

С помощью политики «Локальные пользователи и группы», описанной в Задаче 1, вы можете не только удалить текущего вошедшего в систему пользователя, но и добавить две ключевые учетные записи, которые обеспечат вам правильные административные привилегии, установленные на каждом рабочем столе, как показано на рисунке 2.

Изображение 24281
 Рисунок 2. Добавление членства в локальную группу администраторов очень просто

Задача 3 — Удалить определенные учетные записи

Заключительный этап защиты локальной группы администраторов заключается в том, чтобы убедиться, что только правильные учетные записи имеют членство. Во многих случаях группы из домена добавлялись в локальную группу администраторов для выполнения определенной задачи, завершения проекта или обслуживания. Если эти группы больше не нужны в локальной группе «Администраторы», вы можете просто удалить их с помощью новой политики «Локальные пользователи и группы».

Аналогично тому, как вы добавили две учетные записи в задаче 2, вы можете добавить в политику учетные записи, которые необходимо удалить. Для этого убедитесь, что вы выбрали опцию «Удалить из этой группы» при добавлении учетной записи в политику, как показано на рисунке 3.

Изображение 24282
 Рисунок 3: Возможно удаление определенного пользователя или группы из локальной группы администраторов

Теперь у вас есть полный контроль над членством в локальной группе администраторов, даже удаление только учетных записей пользователей и групп, которые не должны быть включены.

Получение инструментов и правил

Я снова и снова упоминал об использовании предпочтений групповой политики, поставляемых с Windows Server 2008 и Vista. Чтобы вы могли воспользоваться этими настройками, в вашей сети должен быть только ОДИН из следующих компонентов:

  • Windows Server 2008 Сервер
  • Windows Vista SP1 с установленным набором инструментов администрирования удаленного сервера

Обе эти операционные системы поставляются с новой и улучшенной консолью управления групповыми политиками и редактором управления групповыми политиками.

Параметры, включенные в новые предпочтения групповой политики, могут применяться к следующим операционным системам:

  • Windows XP SP2 и выше
  • Windows Server 2003 SP1 и выше
  • Windows Vista SP1 и выше
  • Windows Server 2008 и выше

Извините, ничего к Windows 2000 не относится!

Дополнительные сведения о предпочтениях групповой политики и RSAT см. по следующим ссылкам:

  • Комплект ресурсов групповой политики Windows: Windows Server 2008 и Windows Vista
  • Часто задаваемые вопросы (FAQ) о предпочтениях групповой политики
  • Средства удаленного администрирования сервера Microsoft для Windows Vista (KB941314)

Резюме

На 100 % верно, что ИТ-специалисты НЕ имеют НИКАКОГО контроля над рабочим столом, на котором у пользователя есть локальные административные привилегии. Всем компаниям необходимо вернуть контроль над рабочими столами, а также защитить локальную группу администраторов. Эти шаги теперь возможны благодаря предпочтениям групповой политики, которые поставляются с Windows Server 2008 и Vista. Всего несколькими щелчками мыши вы можете получить 100% контроль над вашими рабочими столами и локальной группой администраторов. Настройки будут применены примерно через 90 минут ко всем компьютерам, присоединенным к домену и находящимся в сети. От пользователей не требуется выходить из системы и снова входить в нее… просто применяются параметры политики!

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023