Автоматическое отключение локальных учетных записей через GPO

Локальные учетные записи являются слабым звеном в вопросе обеспечения безопасности Active Directory, позволяя получить доступ к системе в обход существующих политик, особенно если это учетные записи группы локальных администраторов. Поэтому, если безопасность для вас играет не последнюю роль, то локальные учетные записи следует отключить, лучше всего сразу после установки ОС. Но если по какой-либо причине это не было сделано, то самое время выполнить отключение централизовано, а поможет нам в этом инструмент групповых политик.

Онлайн-курс по устройству компьютерных сетей
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.

Отключаем встроенную учетную запись Администратора

Открываем оснастку Управление групповой политикой, создаем новую политику и открываем ее на редактирование. Переходим в Конфигурация компьютера - Настройка - Параметры панели управления - Локальные пользователи и группы, где выполняем действие Создать - Локальный пользователь.

В открывшемся окне выбираем: Действие - Обновить, Пользователь - Администратор (встроенная учетная запись), а также устанавливаем флаги Отключить учетную запись и Срок действия учетной записи не ограничен.

Удаляем учетные записи из группы локальных Администраторов

Кроме локального Администратора в группу Администраторов входит как минимум первая созданная на компьютере учетная запись, также там могут быть и другие учетные записи. В целях безопасности правильно будет удалить их из этой группы, т.е. лишить привилегий локального Администратора. Данную настройку можно добавить в уже созданную нами политику.

Переходим в Конфигурация компьютера - Настройка - Параметры панели управления - Локальные пользователи и группы, где выполняем действие Создать - Локальная группа. Затем указываем следующие настройки: Действие - Обновить, Имя группы - Администраторы (встроенная учетная запись), ниже устанавливаем флаги Удалить всех пользователей-членов этой группы и Удалить все группы-члены этой группы. Затем добавляем в Члены группы группу Администраторы домена и группу техподдержки (если есть).

Отключение локальных учетных записей

Стандартными средствами GPO отключить произвольные локальные учетные записи нельзя, поэтому для этих целей будем использовать скрипт. Создайте новый файл и внесите в него следующее содержимое:

 1'*************************************************
 2' File: Disable Local User Accounts.vbs
 3' Author: Andrew Barnes
 4' version: 1.0 Date: 07 September 2009 By : Andrew D Barnes
 5' Lists local accounts and disables all except local admin and ASPNET
 6'*************************************************
 7Set objShell = CreateObject("Wscript.Shell")
 8Set objNetwork = CreateObject("Wscript.Network")
 9
10strComputer = objNetwork.ComputerName
11
12Set colAccounts = GetObject("WinNT://" & strComputer & "")
13
14colAccounts.Filter = Array("user")
15    Message = Message & "Local User accounts:" & vbCrLf & vbCrLf
16
17For Each objUser In colAccounts
18   If objUser.Name <> "Administrator" AND objUser.Name <> "ASPNET" Then
19       Message = Message & objUser.Name
20       If objUser.AccountDisabled = TRUE then
21          Message = Message & " is currently disabled" & vbCrLf
22       Else
23          Message = Message & " was enabled" & vbCrLf
24          objUser.AccountDisabled = True
25          objUser.SetInfo
26      End If
27    End If
28Next
29
30' Initialize title text.
31Title = "Local User Accounts By Andrew Barnes"
32objShell.Popup Message, , Title, vbInformation + vbOKOnly

Сохраните его с расширением VBS, например, LocalAccountDisable.vbs

Разместите этот скрипт в общей папке? к которой имеют доступ все компьютеры, для примера будем использовать \\fileserver\share\LocalAccountDisable.vbs

Затем создадим новую или отредактируем уже существующую политику. Переходим в Конфигурация компьютера - Политики - Конфигурация Windows - Сценарии (запуск/завершение), открываем сценарий Автозагрузка и добавляем туда полный путь к нашему скрипту.

Данную политику также нацеливаем и линкуем на OU с компьютерами.

Онлайн-курс по устройству компьютерных сетей
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.

Помогла статья? Поддержи автора и новые статьи будут выходить чаще:

Или подпишись на наш Телеграм-канал: