我的公司目前正在进行网络安全基本认证,因此我们需要提高管理员帐户的安全性才能通过。
我的问题是:如何设置一个管理员帐户,该帐户无法登录 Windows 会话,但可以授予运行服务的权限。例如,使用“以管理员身份运行”功能打开需要管理员权限的应用程序。
这是为了防止管理员直接访问互联网并作为一种双因素身份验证的形式,因为管理员需要他们的标准用户帐户和管理员帐户。
我尝试使用 GPO 设置但没有找到任何有用的信息,请帮忙!
谢谢。
答案1
Runas 需要交互/本地登录的能力。
一个选项可能是使用“拒绝通过远程桌面服务登录”Windows 权限,并将其应用于管理员帐户所属的安全组。这将减轻服务器的一些横向移动,但它们仍能登录到控制台。
对于工作站,另一种选择可能是要求使用本地帐户执行本地管理功能,并使用 Microsoft LAPS 等产品来管理密码和轮换。
答案2
我找到了一个非常有效的解决方案,链接在这里: http://www.authlite.com/kb/allow-runas-but-block-interactive-logon/
它将允许您创建授予权限但仍然无法登录的帐户。