Вопрос или проблема
Некоторые пользователи в компании требуют возможность изменять IP-адрес на сетевых адаптерах. (Пользователи инженерного отдела нуждаются в прямом подключении своих ноутбуков к различным машинам, которые не предоставляют адрес через DHCP).
Мы рассматривали группу операторов сетевых конфигураций как решение, и это немного работает, но не так, как нам нужно. Из-за ограничений, наложенных требованиями сертификации Cyber Essentials, мы не можем добавлять пользователей напрямую в группу NCO. Мы можем только создать вторичный аккаунт, который является членом группы, и затем его можно использовать для повышения привилегий в запросе UAC. Это было протестировано и работает хорошо на автономных и присоединенных к домену машинах, но когда мы пытались использовать это на устройстве, присоединенном к Azure AD, возникла проблема. На устройстве, присоединенном к Azure, каким-то образом невозможно повысить привилегии с помощью вторичного аккаунта, если он не является администратором. Членство в операторах конфигурации сети технически должно быть достаточным для доступа к настройкам сетевых адаптеров, но это не так. Я пытался запустить окно PS/CMD от имени вторичного пользователя и изменить IP с помощью команды netsh, но это также жалуется на отсутствие разрешений.
Тем не менее, всё ещё возможно изменить настройки адаптера, если войти напрямую во вторичный аккаунт, но пользователи жалуются, что переключение между аккаунтами занимает слишком много времени, если им нужно изменить настройки IP более нескольких раз в день.
На данный момент я не уверен, является ли это общей проблемой для машин, присоединенных к Azure, или одной из наших стандартных конфигурационных политик, которая каким-то образом это блокирует.
Я посмотрел на сторонние инструменты, такие как NetSet man, которые после установки позволяют пользователю управлять сетевыми настройками без повышения привилегий, но это приложение от небольшого разработчика, и наш отдел безопасности обеспокоен процессом обновления, также оно немного глючило во время тестирования.
Мы потенциально рассматриваем возможность внесения этого действия в белый список через ThreatLocker, но это всё ещё в процессе развертывания, поэтому может не быть вариантом прямо сейчас.
Кто-нибудь сталкивался с этой проблемой? В идеале я хотел бы, чтобы вторичный аккаунт NCO работал для повышения привилегий, но любые другие предложения, соответствующие вышеуказанным ограничениям, будут приняты с благодарностью.
Ответ или решение
Чтобы разрешить пользователям, не обладающим правами администратора, изменять IP-адреса на сетевых адаптерах, не добавляя их напрямую в группу Операторов Настройки Сети (NCO), необходимо рассмотреть несколько подходов. Данная задача возникает в ситуациях, когда пользователям, таким как инженеры, необходимо подключать свои устройства к различным машинам, которые не могут получать адреса через DHCP.
Шаги по разрешению проблемы
-
Создание локального разрешения для изменения IP-адреса:
Рассмотрите возможность использования Group Policy Objects (GPO) для создания локальной политики, которая позволит определённым пользователям изменять настройки сетевых адаптеров. Можно создать отдельную группу безопасности, которая будет использоваться для этих целей. -
Использование PowerShell с правами доступа:
Храните скрипты, которые выполняются с правами администратора для изменения IP-адреса. Эти скрипты можно запускать через Task Scheduler, назначив им запуск от имени учётной записи, обладающей правами в группе NCO. Однако имейте в виду, что для этого сценария потребуется минимальная настройка и понимание работы планировщика задач. -
Программное обеспечение для управления сетью:
Ваши опасения по поводу сторонних приложений, таких как NetSetMan, вполне обоснованы. Рассмотрите возможность создания собственного приложения или использования инструментов с открытым исходным кодом, которые вы сможете модифицировать и поддерживать с минимальными рисками. Это даст вам больший контроль над безопасностью и обновлениями. -
Использование явных привилегий:
Если вы всё же решили использовать учётную запись вторичного администратора, упростите процесс для пользователей. Например, можете создать скрытую учётную запись с правами администраторов, которая может предоставлять необходимые права при выполнении действий, попадающих под группу NCO. Разработайте упрощённую процедуру входа и использования этой учётной записи. -
Контроль доступа на уровне сети:
Посмотрите на ваши параметры конфигурации Azure AD для проверки возможных ограничений, установленных по умолчанию. Возможно, некоторые политические настройки мешают пользователям с правами NCO подходить к сетевым адаптерам. Убедитесь, что необходимые пороги безопасности позволят осуществлять нужные операции.
Проверка и тестирование настроек
После внедрения предложенных методов обязательно проведите тестирование в безопасной среде прежде, чем претворять их в жизнь. Это позволит избежать непредвиденных ситуаций и даст возможность откорректировать настройки в соответствии с требованиями вашей организации.
Заключение
Подходя к решению данной проблемы, важно соблюдать как требования безопасности вашего предприятия, так и удобство работы инженерного состава. Используйте комбинированные методы, чтобы предоставить пользователям доступ для важной работы, одновременно учитывая аспекты безопасности. В случае затруднений всегда можно обратиться за дополнительной помощью к IT-экспертам для поиска наилучшего решения, соответствующего конкретным условиям вашей инфраструктуры.
Следуя данным рекомендациям, вы сможете найти баланс между необходимостью настраивать IP-адреса и соблюдением мер безопасности вашей компании.