自从我们迁移到 Intune 以来,我们几乎“管理”了一切。这使得 Intune 成为我们大多数 PC 上唯一需要的本地管理员。
触及这项政策的边缘,我想让技术人员能够自定义 PC。同时以某种方式知道哪些 PC 可能已被自定义。假设是,任何被发现有管理员登录和/或提升权限的 PC 都应被视为“自定义”。
我知道启用敏感特权使用审核,然后观察安全日志事件 ID 4673。就我而言,Azure AD SID(以 S-1-12-1- 开头)很可能是人类。但是,我只需要找到一个条目就知道发生了这种情况。此外,添加的审核条目很嘈杂,扫描安全日志很慢,并且由于日志滚动而容易失败,而且这些条目没有用处,因为它们没有捕获您期望的信息。
还有其他方法可以检测人类在 PC 上的升高情况吗?
答案1
DSC - 所需状态配置 - 可能对你想要的有点过度,但相信它可能会起到作用。取决于配置的参数配置为代码 https://learn.microsoft.com/en-us/powershell/dsc/getting-started/wingettingstarted?view=dsc-1.1