Windowsドメインのシステム管理者の同時ログインを制限する
簡単な背景:私たちは小さなチームで、多機能の役割を果たしています。したがって、開発者は通常DBAでもあり、一部の開発者はドメイン管理者アクセス権を持っています。原則として、私たちのチームは通常の操作中に管理者アカウントを使用しません(匿名の管理者アカウントはなく、各管理者は指定された管理者アカウントを持っています)。変更、メンテナンスなどが必要な場合にのみ、オフサイトサポートのために2要素認証を使用します。あなたが多才で、働きすぎで、給与が不足している小さな会社が私が得ているものです:)
私たちは最近、管理者アカウントの同時ログインを制限/無効にするように要求された監査を受けました。一般的な考え方は次のとおりです。不正な管理者が悪意を持つのをどのように防ぐか、また、ログインした管理者アカウントが侵害されていないことをどのように知るか(ハッカーが管理者としてログインしている)。
私の調査によると、Windowsドメインのアカウントの同時ログインをすぐに制限する方法はありませんか?サードパーティのソフトウェアは必要ですか?
だから100%可能になるとは思いません。
サーバーを単一のRDPセッションに制限することができます: https://support.managed.com/kb/a1816/how-to-enable-disable-multiple-rdp-sessions-in-windows- 2012.aspx
防ぐことができないのは(私はそうは思いません)、コンソールセッション(MSTSC/admin)と同等の物理アクセスコンソールセッションを同時に使用しているユーザーです。
私の経験では、これは純粋なWindows環境では不可能です。
ただし、サイコティックシークレットサーバーや競合他社などの資格情報ボールトを使用することで、これを回避できます。ランダムなパスワードを使用して、ボールト内にすべての管理者資格情報を保持します。これにより、実際の人はパスワードを知らないため、資格情報ボールトを使用してRDPセッションを開始する必要があります。さらに、「チェックアウト」を必要とするように資格情報を設定しているため、一度しか使用できません。
これにより、すべての接続試行を監査して(技術的な使用制限よりもはるかに価値があります)、資格情報が使用されるたびにパスワードをリセットできるという利点があります。
これはまだ技術的には「同時ログインの制限」ではありませんが、実際にはかなり近づいているはずです。