Препятствуйте тому, чтобы сервисные учетные записи загрузились в местном масштабе или удаленно

У нас есть компания, делающая развитие для нас внутренний, и у них есть доступ к нескольким сервисным учетным записям. Компания вращает людей в и, и вместо того, чтобы просить счета, разработчики используют сервисные учетные записи, чтобы войти в серверы.

Что лучший способ состоит в том, чтобы заблокировать способность использовать тот счет, не затрагивая цель сервисной учетной записи?

Мы можем безопасно проверить, "Отказывают этому в полномочиях пользователя войти в какой-либо Терминальный сервер" tickbox в н. э. под Профилем Служб удаленных рабочих столов?

Если бы мы создали доменную политику, чтобы предотвратить вход в систему, для который OU, который был бы лучшим способом пойти?

5
nl ja de

2 ответы

Можно создать параметры настройки в местной групповой политике (gpedit.msc), чтобы достигнуть этого. Посмотрите под Компьютерной Конфигурацией | Windows Settings | Настройки безопасности | Местная политика | Пользовательское Назначение Прав. Определенные, которые вы хотите, Отрицают вход в систему как пакетное задание, Отрицают вход в систему в местном масштабе и Отрицают вход в систему через Службы удаленных рабочих столов.

Можно также настроить некоторые из других параметров настройки здесь, тех, которые Получают доступ к этому компьютеру от сети, чтобы укрепить его далее.

Это само собой разумеется, но внесите эти изменения по одному и проверьте свои сервисные работы правильно после каждого прежде, чем продолжиться к следующему.

7
добавлено

На самом деле есть намного более простой путь. Используя активный справочник можно на самом деле определить машины, в которые пользователь в состоянии войти. Если вы не хотите, чтобы определенный пользователь был в состоянии зарегистрироваться на какую-либо машину, просто позволяете им регистрироваться на машину, которая не существует в вашей сети.

IE: если ваши компьютеры - DT001, DT002, DT003 просто позволяют пользователю регистрироваться на только DT000.

0
добавлено
Что, если они создали виртуальную машину под названием DT000?
добавлено автор Mohamad-jaafar, источник
Кибербезопасность АСУ ТП: RUSCADASEC Community
Кибербезопасность АСУ ТП: RUSCADASEC Community
1 389 участник(ов)

Группа открытого независимого сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC для интерактивного обмена информацией по теме Подробнее: www.ruscadasec.ru Наш канал для основных новостей и материалов @RUSCADASECnews

Про Windows
Про Windows
941 участник(ов)

Microsoft Windows и всё, что с этим связано. Список интересных групп и каналов: https://github.com/goq/telegram-list

secinfosec
secinfosec
697 участник(ов)

Эта группа про информационную безопасность. Целевая аудитория: пентестеры, ресерчеры, ибшники всех мастей. Реклама, криминал, политика и прочая чушь карается родовыми проклятьями. Митапы: https://www.youtube.com/channel/UCagEjp1FmxY9gsVxi6_d4SQ

Linux Security
Linux Security
652 участник(ов)

Данная группа принципиально про безопасность и в частности про безопасность Linux. Прочие темы просим обсуждать в профильных чатах.

Chat Security / ИБач чат
Chat Security / ИБач чат
601 участник(ов)

Чат канала @ibach Обсуждение всего, что касается информационной безопасности Правила: https://t.me/chat_security/65

Microsoft Developer Community Chat
Microsoft Developer Community Chat
584 участник(ов)

Чат для разработчиков и системных администраторов Microsoft Developer Community. __________ Новостной канал: @msdevru __________ Баним за: оскорбления, мат, рекламу, флуд, флейм, спам, NSFW контент, а также большое количество оффтоп тем. @banofbot