пятница, 16 июля 2010 г.

Локальный администратор

По сути дела эта заметка так, ничего особенного. Просто мне, почему-то раньше эта мысль в голову не приходила. Наверное не задумывался.

Так вот. Часто бывает, когда необходимо залогиниться на компьютер пользователя с привилегиями администратора. Не runas использовать, а именно войти в графическую сессию. В этом кроется опасность, особенно если компьютер доменный, а аккаунт, под которым вы входите – доменного администратора. Если на компьютере “вирус” – он получит права доменного админа и вперде :), заре на встречу. Это, само собой – не хорошо. Что делать? А ничего сложного. Есть специальная доменная политика Restricted groups. Попросту говоря, вы можете указать, в какой локальной группе, какие пользователи должны содержаться. В этом случае вы можете создать доменного пользователя, с правами обычного пользователя, и централизованно добавить его в группу локальных администраторов на всех машинах домена. Само собой, что этот пользователь должен иметь сложный длинный пароль. Но зато зайдя под ним вы не дадите возможности вирусам шастать по домену.

PS.
Коллега, Ростислав, справедливо ткнул меня носом в мою ошибку:

2. По заметке: если ты запустишь процесс от имени локального админа, который также является локальным адмиом на других рабочих станциях, то у него будут все права на заражение парка машин.

Да, действительно, это так [заготавливает ведро пепла].

Однако продолжим. В конечном итоге, целью является возможность получить права локального администратора, зайдя на машину, и при этом не дать возможности добраться по сетке на другие. Если задачу поставить таким образом, то ответ напрашивается сам собой. Политика deny access to this computer from network должна помочь с этим делом. Есть смысл, кроме добавления пользователя в локальные админы, запретить этому же пользователю, при помощи указанной политики доступ по сети на другие машины. Записал небольшой ролик по этому поводу:

Собственно говоря, вот такой вот вариант. Думаю, есть смысл попробовать. Жду ваших каментов, коллеги!

Небольшое замечание по использованию решения. Не стоит, в сессии этого пользователя запускать какие либо процессы под доменным администратором например. Поскольку этот пользователь – админ на локальной машине, вирус, если он есть на ней, сможет захватить контроль над таким процессом и все наши ухищрения прахом. Если нужна сетка – runas, но не доменного админа, а обычного пользователя. Это несколько “геморно”, но … Может есть какие-нибудь другие варианты?

2 комментария:

Ростислав комментирует...

Привет!
Есть 2 вопроса:
1. Почему мне как постоянному читателю не приходят сообщения о добавлении новой статьи?
2. По заметке: если ты запустишь процесс от имени локального админа, который также является локальным адмиом на других рабочих станциях, то у него будут все права на заражение парка машин.

Unknown комментирует...

1. Вот этого я не знаю. Надо посмотреть в настроках.
2. Проверим ;)