Estou tentando remover diligentemente o máximo de contas/funções com privilégios excessivos em nosso ambiente Active Directory e Windows (servidor e desktop). Isso significa retirar o maior número possível de usuários das funções de administrador local e administrador de domínio. (Isso inclui nossa própria equipe de segurança).
Tal como muitas organizações que são forçadas a cumprir regulamentos externos, somos obrigados a manter a separação de funções.
Um tipo de função interna que eu mataria no Windows seria a função "Administrador local somente leitura" ou "Auditor". Existem diversas classes de usuários que devem ter direitos para examinar todas as configurações, todos os sistemas de arquivos e executar todas as ferramentas padrão que não alteram o sistema. Dois exemplos: nossas equipes de segurança e auditores, que muitas vezes precisam de acesso irrestrito para examinar sem a possibilidade (por acaso ou intencionalmente) de alterar as configurações. Pode ser útil para ferramentas e contas de serviço que estupidamente “exigem” privilégios de administrador, forçando-nos a pesquisar as configurações “reais” necessárias.
Esses usuários precisam ser capazes de agir de forma independente das equipes operacionais e NÃO depender delas ou de outras pessoas para coletar informações sobre todas as configurações do sistema no nível do sistema operacional.
Resumindo - sei que nada disso está embutido. Estou procurando recursos aqui - por exemplo, scripts Powershell, que poderíamos executar em servidores como base para pré-estabelecer (na medida do possível), o equivalente funcional do acima.
Até mesmo uma lista de fontes de configurações sugeridas ou como fazer isso seria útil. Tenho muitos em mente (ACLS em disco, registro, compartilhamentos), GPOs, etc, etc.
Para que conste, vi a pergunta: É possível criar uma conta de usuário somente leitura para fins de auditoria de segurança?.
Espero que minha postagem seja distinta o suficiente, com explicações suficientes para atrair mais do que a única resposta que recebeu.