Я очень усердно пытаюсь удалить как можно больше чрезмерно привилегированных учетных записей/ролей в нашей среде Active Directory и Windows (сервер и настольный компьютер). Это означает удаление как можно большего числа пользователей из ролей локального администратора и администратора домена. (Сюда входит и наша собственная команда безопасности).
Как и многие организации, вынужденные соблюдать внешние правила, мы обязаны соблюдать разделение обязанностей.
Один из типов встроенных ролей, за который я бы убил в Windows, — это роль «Локальный администратор только для чтения» или «Аудитор». Существует несколько классов пользователей, которые должны иметь права на проверку всех настроек, всех файловых систем и запуск всех стандартных инструментов, которые не изменяют систему. Два примера — наши команды безопасности и аудиторы, которым часто нужен беспрепятственный доступ для проверки без возможности (случайно или намеренно) изменить настройки. Это может быть полезно для инструментов и учетных записей служб, которые по глупости «требуют» привилегий администратора, заставляя нас исследовать «реальные» необходимые настройки.
Эти пользователи должны иметь возможность действовать независимо от операционных групп и НЕ полагаться на них или других лиц в сборе информации обо всех настройках системы на уровне ОС.
Короче говоря, я знаю, что ничего подобного не встроено. Я ищу здесь ресурсы, например, скрипты Powershell, которые мы могли бы запустить на серверах в качестве основы для предварительного установления (насколько это возможно) функционального эквивалента вышеизложенного.
Даже список исходных предлагаемых настроек или как это сделать был бы полезен. У меня много на примете (ACLS на диске, реестре, общих папках), GPO и т. д. и т. п.
Для справки, я видел вопрос: Можно ли создать учетную запись пользователя с доступом только для чтения для целей аудита безопасности?.
Надеюсь, мой пост достаточно выразителен и содержит достаточно объяснений, чтобы привлечь больше людей, чем просто один полученный ответ.