無許可のワークステーションがWindowsドメインに参加するのを防ぐ
企業ポリシーでは、ユーザーは企業が発行したマシンをActive Directoryが管理するネットワークに接続することのみを許可します。同じユーザーアカウントが「権限のない」マシンでドメインに参加したときに、ログに記録するか、検出する手段はありますか?ユーザーが同時に接続せず、「承認された」マシンの名前と一致するようにマシンの名前を変更できるとします。
ドメインユーザーがデフォルトの特権を使用して、ドメイン管理者の許可なしに、最大10台のワークステーションをドメインに追加することについて心配していると思います。
ドメインにユーザーを追加するアクセス権を持つユーザーを制御するには、DCでこのローカルセキュリティポリシーを編集します
コンピュータ構成| Windowsの設定|セキュリティ設定|ユーザー権利の割り当て|ワークステーションをドメインに追加する
次に、ドメインにワークステーションを追加したユーザーを確認したい場合は、以下を確認することをお勧めします。
すべてのドメインコントローラーのAD監査ログ
ADSI Editを使用するADコンピューターオブジェクト自体(そこに「作成者」SIDがある場合があります)
さらにあなたが尋ねた:
ユーザーが同時に接続せず、「承認された」マシンの名前と一致するようにマシンの名前を変更できるとします。
これには2つの部分があります。Kerberosの偽装とNetBIOSの偽装です。 GPO=設定によっては、特定の「許可されていないマシン」の認証タイプの1つまたは両方を偽装できる可能性があります。
詐称者がACLで保護されているDNSを説得でき、ADを編集できる場合(SPNまたはその他の管理機能を介して)、Kerberosサーバーを偽装することが可能です。このなりすましを検出するのはアプリケーションの責任です。偽装の例は、Windows Terminal Server 2008以降です。安全でないネットワーク接続があることを示すダイアログボックスが表示されます。
一方、NTLMベースの認証には「なりすまし」があり、クライアントがこれを検出することはほとんど不可能です。唯一の防御策は、NTLMを無効にし、Kerberosのみを使用することです。
一部のホストでNTLMを使用する必要がある場合は、Eric G.の提案に従ってください。
ドメイン(またはこの機能が委任されたアカウント)に参加するには、ドメイン管理者の資格情報が必要だと思います。ユーザーが自分のパソコンをドメインに追加することはできません。ユーザーにシステムPCを仕事用のPCから自宅のPCにコピーする機能を与えるべきではありません(ローカルの管理者権限を与えないでください)。
理論的には、彼らが自分の作業マシンをイメージ化して自分のハードウェアに置くことは可能ですが、システム設定を変更してより多くの特権を取得することはできませんが、それでも通常はGPOが影響します。これに対抗するには、TPMと暗号化の組み合わせが役立ちます。
権限のないシステムがネットワークに参加するのをブロックしたい場合は、おそらくこれをネットワークレベルのActive Directoryからのレイヤードメインにする必要があります。 802.1xポートセキュリティまたはその他のタイプのネットワークアクセスコントロール(NAC)を実装できます。
その他のリソース: