Ich versuche mit aller Sorgfalt, so viele überprivilegierte Konten/Rollen in unserer Active Directory- und Windows-Umgebung (Server und Desktop) zu entfernen. Das bedeutet, dass ich so viele Benutzer wie möglich aus den Rollen „Lokaler Administrator“ und „Domänenadministrator“ entferne. (Dazu gehört auch unser eigenes Sicherheitsteam.)
Wie viele Organisationen, die externe Vorschriften einhalten müssen, sind wir verpflichtet, die Aufgabentrennung aufrechtzuerhalten.
Eine Art von integrierter Rolle, für die ich in Windows töten würde, wäre die Rolle „Nur-Lese-Administrator“ oder „Auditor“. Es gibt mehrere Benutzerklassen, die das Recht haben sollten, alle Einstellungen und alle Dateisysteme zu prüfen und alle Standardtools auszuführen, die das System nicht ändern. Zwei Beispiele: unsere Sicherheitsteams und Auditoren, die oft ungehinderten Zugriff benötigen, um Einstellungen zu prüfen, ohne (zufällig oder absichtlich) die Möglichkeit zu haben, sie zu ändern. Dies könnte für Tools und Dienstkonten nützlich sein, die dummerweise Administratorrechte „erfordern“, sodass wir gezwungen sind, die „wirklich“ benötigten Einstellungen zu recherchieren.
Diese Benutzer müssen unabhängig von den Betriebsteams agieren können und dürfen sich NICHT darauf verlassen, dass diese oder andere Informationen zu allen Systemeinstellungen auf Betriebssystemebene sammeln.
Kurz gesagt – ich weiß, dass nichts dergleichen eingebaut ist. Ich suche hier nach Ressourcen – beispielsweise Powershell-Skripts, die wir auf Servern als Basis ausführen könnten, um (soweit wie möglich) das funktionale Äquivalent des oben genannten vorab festzulegen.
Sogar eine Quellenangabe mit vorgeschlagenen Einstellungen oder Anleitungen wäre hilfreich. Mir fallen da viele ein (ACLS auf Festplatte, Registrierung, Freigaben), GPOs usw. usw.
Fürs Protokoll, ich habe die Frage gesehen: Ist es möglich, für Sicherheitsüberprüfungszwecke ein schreibgeschütztes Benutzerkonto zu erstellen?.
Ich hoffe, dass mein Beitrag deutlich genug ist und genügend Erklärungen enthält, um mehr als nur eine Antwort hervorzurufen.