Моя компания в настоящее время находится в процессе получения сертификата Cyber Essential, поэтому нам необходимо повысить безопасность учетной записи администратора, чтобы пройти.
Мой вопрос: как настроить учетную запись администратора, которая не может войти в сеанс в Windows, но может давать разрешение на запуск служб. Например, с помощью функции «Запуск от имени администратора» для открытия приложений, которым требуется разрешение администратора.
это было бы сделано для того, чтобы администраторы не имели прямого доступа к Интернету и работали как форма двухфакторной аутентификации, поскольку администраторам потребуется их стандартная учетная запись пользователя вместе с учетной записью администратора.
Я пробовал использовать настройки GPO, но не нашел ничего полезного, пожалуйста, помогите!
Спасибо.
Runas требует возможности интерактивного / локального входа в систему.
Одним из вариантов может быть использование права Windows «Запретить вход через службы удаленных рабочих столов» и его применение к группе безопасности, членом которой являются учетные записи администратора. Это смягчило бы некоторые боковые движения для серверов, но они все равно смогли бы войти в консоль.
Для рабочих станций другим вариантом может быть требование использования локальной учетной записи для локальных административных функций и использование такого продукта, как Microsoft LAPS, для управления паролями и ротацией.
Я нашел решение, которое отлично подходит для этого, ссылка здесь: http://www.authlite.com/kb/allow-runas-but-block-interactive-logon/
это позволит вам создавать учетные записи, которые дают разрешения, но по-прежнему не могут войти в систему.