Niektórzy nasi klienci pytali, czy administratorzy systemu Windows mogą być proszeni o przejście przez uwierzytelnianie wieloskładnikowe (MFA) przy każdej czynności administracyjnej (na przykład podczas usuwania użytkownika usługi Active Directory), nawet gdy są zalogowani jako administratorzy. Mimo iż konektor Rublon MFA dla systemu Windows zabezpiecza lokalne logowania i sesje pulpitu zdalnego za pomocą uwierzytelniania wieloskładnikowego (MFA), odpytywanie o MFA przy każdej czynności administracyjnej nie jest obsługiwane od razu.
Czy prawdziwe uwierzytelnianie MFA przy każdej czynności administracyjnej jest możliwe?
Chociaż można dostosować zasady systemu Windows, aby wymagały monitu UAC dla każdego zadania administracyjnego, takie podejście dodaje jedynie dodatkową warstwę weryfikacji hasła (co może wywołać uwierzytelnianie Rublon MFA), ale nie zapewnia prawdziwego uwierzytelniania MFA dla każdej czynności administratorskiej. Konektor Rublon MFA dla systemu Windows jest przeznaczony do zabezpieczania początkowego logowania i sesji RDP, a nie do wymuszania uwierzytelniania MFA dla każdej indywidualnej operacji administracyjnej po zalogowaniu.
Co możesz zrobić?
System Windows zawiera Kontrolę konta użytkownika (UAC) jako wbudowany mechanizm ochrony zadań administracyjnych. Domyślnie użytkownicy bez uprawnień administratora są proszeni o uwierzytelnienie, gdy podejmowana jest próba wykonania akcji wymagającej podwyższonych uprawnień, podczas gdy administratorzy nie są. Możesz jednak zmienić zasady systemu, aby wymusić monit UAC (który wymaga ponownego wprowadzenia hasła administratora) dla każdej akcji administratora.
Jak wymusić monit UAC dla administratorów
Jeśli masz zainstalowany konektor Rublon MFA for Windows Logon & RDP, wymuszenie monitu UAC dla akcji administratora może spełnić Twoje wymagania dotyczące wymuszania uwierzytelniania MFA dla administratorów przy każdym podniesieniu UAC.
Systemy autonomiczne lub zarządzane lokalnie: Użyj narzędzia gpedit.msc.
Lokalna usługa Active Directory: Użyj konsoli GPMC, aby wdrożyć ustawienia za pośrednictwem obiektu zasad grupy domeny (GPO).
Entra ID/Azure AD z usługą Intune: Użyj polityk konfiguracji w programie Microsoft Endpoint Manager.
Aby uzyskać szczegółowe instrukcje dotyczące wymuszania monitu UAC dla administratorów, zapoznaj się z poniższymi instrukcjami krok po kroku. Aby uzyskać więcej informacji, zapoznaj się z oficjalną dokumentacją firmy Microsoft: Ustawienia i konfiguracja Kontroli konta użytkownika | Microsoft Learn.
Dla systemów autonomicznych lub zarządzania lokalnego
Wykonaj poniższe kroki, aby dostosować ustawienia UAC za pomocą narzędzia Local Group Policy Editor:
1. Otwórz narzędzie Local Group Policy Editor:
Naciśnij Windows+R, wpisz gpedit.msc i naciśnij Enter.
2. Przejdź do opcji bezpieczeństwa:
W narzędziu Local Group Policy Editor, przejdź do: Computer Configuration → Windows Settings → Security Settings → Local Policies → Security Options
3. Zmień zachowanie monitu o podniesienie uprawnień:
Kliknij dwukrotnie opcję User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode i zmień jej wartość na Prompt for credentials on the secure desktop. Spowoduje to, że administratorzy będą musieli wpisać swoje hasło za każdym razem, gdy zostanie uruchomiona akcja wymagająca podwyższenia uprawnień.
4. Sprawdź dodatkowe ustawienia UAC (opcjonalnie):
Upewnij się, że opcja User Account Control: Run all administrators in Admin Approval Mode jest ustawiona na Enabled.
Możesz także chcieć włączyć opcję User Account Control: Switch to the secure desktop when prompting for elevation dla wyższego poziomu bezpieczeństwa
5. Zastosuj i uruchom ponownie:
Kliknij Apply, a następnie OK, aby zapisać zmiany, a następnie zamknij narzędzie Local Group Policy Editor. Uruchom ponownie komputer, aby zmiany zostały zastosowane.
W przypadku środowisk domenowych korzystających z usługi Active Directory
Wykonaj następujące kroki, aby dostosować ustawienia UAC za pomocą konsoli GPMC:
1. Otwórz konsolę zarządzania zasadami grupy (GPMC):
Na kontrolerze domeny otwórz konsolę GPMC.
2. Utwórz nowy obiekt zasad grupy (GPO):
Kliknij prawym przyciskiem myszy domenę lub żądaną jednostkę organizacyjną (OU) i wybierz opcję Create a GPO in this domain, and Link it here…
Nadaj mu nazwę (np. „Enforce UAC Prompt for Admin Actions”).
3. Edytuj obiekt GPO:
Kliknij prawym przyciskiem myszy nowy obiekt GPO i wybierz opcję Edit.
Przejdź do: Computer Configuration → Policies → Windows Settings → Security Settings → Local Policies → Security Options
4. Skonfiguruj ustawienie UAC:
Ustaw opcję User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode na Prompt for credentials on the secure desktop. Spowoduje to, że administratorzy będą musieli wpisać swoje hasło za każdym razem, gdy zostanie uruchomiona akcja wymagająca podwyższenia uprawnień.
5. Połącz i wdróż obiekt GPO:
Połącz obiekt GPO z odpowiednią jednostką organizacyjną zawierającą komputery docelowe.
Wymuś aktualizację zasad grupy za pomocą polecenia gpupdate /force lub poczekaj na następne odświeżenie zasad.
Dla organizacji korzystających z usługi Entra ID (Azure AD) z usługą Microsoft Intune
1. Zaloguj się do Centrum administracyjnego programu Microsoft Endpoint Manager:
2. Utwórz nową zasadę konfiguracji:
Przejdź do Devices → Windows → Configuration.
Utwórz nową zasadę konfiguracji urządzenia dla systemu Windows 10 i nowszych, używając typu profilu Administrative Templates
3. Skonfiguruj ustawienie UAC:
W profilu Administrative Templates, wyszukaj opcję User Account Control: Behavior of the elevation prompt for administrators in Admin Approval Mode i ustaw ją na Prompt for credentials on the secure desktop. Spowoduje to, że administratorzy będą musieli wpisać swoje hasło za każdym razem, gdy zostanie uruchomiona akcja wymagająca podwyższenia uprawnień.
4. Przypisz zasadę:
Przypisz zasadę do odpowiednich grup/urządzeń i upewnij się, że urządzenia są zsynchronizowane, aby nowe ustawienia zostały zastosowane.
Znane ograniczenia
Nie do końca MFA dla dosłownie każdej akcji admina: Wymuszanie monitów UAC będzie wymagało ponownego wprowadzenia hasła administratora (i ukończenia wyzwania Rublon MFA) podczas uruchamiania zadania administracyjnego. Jednak monit pojawia się tylko podczas otwierania narzędzia administracyjnego lub okna — nie podczas każdej czynności administracyjnej.
Czas monitu: Dodatkowe uwierzytelnianie następuje w momencie zainicjowania czynności administracyjnej (na przykład otwarcia konsoli zarządzania), a nie w momencie wykonywania każdej konkretnej operacji (takiej jak usunięcie użytkownika w usłudze Active Directory).
Przydatne linki
Ustawienia i konfiguracja Kontroli konta użytkownika | Microsoft Learn
Czy ten artykuł był pomocny?
To wspaniale!
Dziękujemy za opinię
Przepraszamy, że nie udało nam się pomóc!
Dziękujemy za opinię
Wysłano opinię
Doceniamy Twój wysiłek i postaramy się naprawić artykuł