Parhaat käytännöt paikallisten tilien turvalliseen hallintaan Windows 11:ssä

  • Käyttäjä- ja järjestelmänvalvojatilien erottaminen, mahdollisimman pienten oikeuksien käyttäminen ja Suorita nimellä -toiminnon käyttäminen vähentää merkittävästi haittaohjelmien ja inhimillisten virheiden vaikutusta.
  • LAPS suojaa paikallisia järjestelmänvalvojan tilejä yksilöllisillä ja vahvoilla salasanoilla, edellyttäen, että AD:n lukuoikeudet ovat erittäin rajoitettuja ja auditoituja.
  • Windowsin salasana- ja tililukkokäytännöt mahdollistavat pitkien, monimutkaisten ja hallitusti kiertyvien salasanojen käytön, mikä vaikeuttaa raa'alla voimalla hyökkäämistä ja salasanojen uudelleenkäyttöä.
  • Etuoikeutettujen tilien sisäänkirjautumisten rajoittaminen, älykorttien käyttö ja kriittisten tunnistetietojen käytön auditointi vahvistavat tietoturvaa ja jäljitettävyyttä koko verkossa.
Joaquin Romero

14 minuuttia

Paikallisten tilien hallinta Windows 11:ssä

Paikallisten ja järjestelmänvalvojan tilien suojaaminen Windows 11:ssä ei ole enää valinnaista: nykyään se on pakollista, jos et halua tiliesi vaarantuvan. Yksikin vaarantunut kone voi kaataa koko verkkotunnuksesi.Lisäksi on hyvä tarkistaa, onko tilisi vaarantuneet.

Temppu on yhdistää kaikki palaset hyvin: Paikalliset järjestelmänvalvojat hallitaan LAPS-järjestelmällä, verkkotunnustileillä, joilla on vähiten käyttöoikeuksia, vahvoilla salasanoilla ja yhdenmukaisilla lukituskäytännöilläJos lisäät tähän selkeät menettelytavat (kuka voi tehdä mitä, mistä ja miten tarkastus tehdään), sinulla on erittäin vankka perusta paikallisten tilien turvalliselle hallinnalle Windows 11:ssä.

Miksi järjestelmänvalvojat ja paikalliset tilit ovat niin vaarallisia

Korkeilla käyttöoikeuksilla varustetut tilit ovat helppo saalis hyökkääjille, koska Heillä on täysi pääsy tietokoneeseen ja usein koko verkkotunnukseen.Tämä koskee sekä klassista paikallista järjestelmänvalvojan ryhmiä että Active Directoryn ylimmän tason ryhmiä.

Tyypillisessä verkkotunnusympäristössä on ainakin seuraavanlaisia ​​tilejä ja ryhmiä, joilla on suuri vaikutus tietoturvaan:

On totta, että vasta asennetut järjestelmät ovat nopeampia.
Aiheeseen liittyvä artikkeli:
Tarkista, onko tilisi vaarantunut, ja suojaa itsesi nopeasti
  • Paikalliset järjestelmänvalvojan tilit: kunkin joukkueen integroitu (voit ota käyttöön piilotettu järjestelmänvalvojan tili) ja kaikki paikalliseen Järjestelmänvalvojat-ryhmään lisätyt käyttäjät. Heillä on täydellinen hallinta järjestelmään, jossa he sijaitsevat.
  • Verkkotunnuksen ylläpitäjät: verkkotunnuksen järjestelmänvalvojat -ryhmän tilit, joilla on valtuudet kaikkiin kyseisen verkkotunnuksen jäsentietokoneisiin.
  • Metsähallinnonmetsän juurialueella, jolla on hallinta kaikissa verkkotunnuksissa ja käytännössä koko AD-infrastruktuurissa.
  • Järjestelmän ylläpitäjät ja muut erityisryhmätNe voivat muokata AD-kaavaa, hallita ryhmäkäytäntöobjekteja metsätasolla, myöntää varmenteita jne. Kaikilla virheillä on ketjureaktiovaikutus.

Ongelma ei ole vain ulkoiset hyökkääjät. Myös sisäiset käyttäjät, joilla on liikaa käyttöoikeuksia tai liian vähän tietoa, voivat aiheuttaa valtavia vahinkoja.kriittisten tietojen poistaminen, verkkotunnusohjainten virheellinen määrittäminen, virustorjunnan poistaminen käytöstä tai haittaohjelmien vahingossa tapahtuva avaaminen.

Jos sinulla on myös tapana työskennellä aina kirjautuneena sisään järjestelmänvalvojana, käytännössä annat tietokoneesi alttiiksi mille tahansa haitalliselle koodille: Haittaohjelma toimii samoilla oikeuksilla kuin istuntosi.Hän pystyy luomaan käyttäjiä, tallentamaan tiivisteitä (hash), liikkumaan sivusuunnassa ja onnella skaalautumaan verkkotunnukseen. Fyysisten vaarantumisvektorien vähentämiseksi tutustu seuraaviin aiheisiin: Käytännön toimenpiteitä tietokoneen suojaamiseksi haitallisilta USB-asemilta.

Seurattavien järjestelmänvalvojan tilien tyypit

Käytännössä Windows 11:n tietoturvaa yritysympäristössä suunniteltaessa olet kiinnostunut kolmesta etuoikeutettujen tilien pääkategoriasta:

  • Paikalliset järjestelmänvalvojan tilit jäsentyöasemilla ja -palvelimilla. Tämä sisältää sisäänrakennetun järjestelmänvalvojan tilin ja kaikki muut paikallisen järjestelmänvalvojaryhmän käyttäjät.
  • Verkkotunnuksen järjestelmänvalvojan tilit, tyypillisesti verkkotunnusten järjestelmänvalvojien jäseniä, joilla on usein myös paikalliset oikeudet monille kriittisille palvelimille.
  • Metsänhoitajat (organisaation ylläpitäjien ja joissakin tapauksissa rakenteiden ylläpitäjien jäsenet), jotka voivat käsitellä metsiä, toimialueita, varmenteita, älykortteja jne.

Näihin on lisättävä hyvin herkkä alatyyppi: agenttisertifikaatteihin liittyvät tilit (EFS-palautusagentti, rekisteröinti, avaimen palautus jne.). Näitä voidaan käyttää toisen henkilöllisyyden alaisena esiintymiseen, älykorttien rekisteröintiin muille käyttäjille tai tietojen salauksen purkamiseen. Niihin tulisi soveltaa vielä tiukempia suojauskäytäntöjä kuin tavallisiin järjestelmänvalvojan tileihin.

Hyvät peruskäytännöt: vähiten etuoikeuksia ja tehtävien eriyttäminen

Periaate, joka antaa sinulle eniten turvallisuutta vähimmällä vaivalla, on se, että minimaaliset oikeudetJokaisella käyttäjällä, palvelulla tai tiimillä tulisi olla juuri ne käyttöoikeudet, joita se tarvitsee, ei enempää. Mutta tätä on todella valvottava, ei vain PowerPoint-esityksissä.

Minimioikeuksien soveltaminen edellyttää useita käytännön päätöksiä:

  • Kaksi tiliä ylläpitäjää kohdenSinulla tulisi olla yksi tavallinen tili jokapäiväiseen käyttöön (sähköposti, selaaminen, toimistosovellukset) ja toinen pelkästään hallinnollisiin tehtäviin. Järjestelmänvalvojan tiliä ei tule käyttää sähköpostin lukemiseen tai internetin selaamiseen.
  • Suorita nimellä -toiminnon systemaattinen käyttö (Runas tai toissijainen kirjautumispalvelu) Sen sijaan, että työskentelisit kirjautuneena sisään järjestelmänvalvojana, käynnistät konsolin tai työkalun korotetuilla tunnistetiedoilla ja olet valmis.
  • Älä myönnä verkkotunnusoikeuksia paikkoihin, joissa niitä ei tarvita.Tilillä, jolla on oikeudet yhteen metsään, ei välttämättä ole oikeuksia toiseen, vaikka niiden välillä olisikin luottamussuhde.
  • Etuoikeutettujen ryhmien jäsenyyden säännöllinen tarkastelu, poistamalla tilejä ja ryhmiä, joita ei enää käytetä tai joilla on liialliset käyttöoikeudet.
  Reprompt: Hyökkäys, joka varastaa tietoja Copilot-keskusteluista

Lisäksi se on erittäin suositeltavaa Erota selkeästi verkkotunnuksen järjestelmänvalvojan ja organisaation järjestelmänvalvojan roolitVoit valita yhden, erittäin suojatun tilin organisaation järjestelmänvalvojille tai vielä parempaa, luoda sen vain silloin, kun tehtävä sitä vaatii, käyttää sitä ja poistaa sen heti sen jälkeen.

LAPS: Todelliset edut ja riskit, jos et määritä sitä oikein

Paikallisten tilien hallinta Windows 11:ssä

LAPS (Local Administrator Password Solution ja sen moderni versio, Windows LAPS) ratkaisee yhden monien verkkojen klassisista ongelmista: sama paikallinen järjestelmänvalvojan salasana kaikissa tietokoneissaTuo käytäntö on täydellinen resepti sivuttaiseen liikkumiseen: vaarannat tietokoneen, poistat tiivisteet, välität tiivisteen ja voit hypätä koneesta toiseen.

LAPSin avulla jokaisella toimialueen tiimillä on yksilöllinen, pitkä ja satunnainen salasana paikalliselle järjestelmänvalvojan tilillesitallennetaan salattuna Active Directoryyn ja kierrätetään automaattisesti. Tämä tarjoaa erittäin selkeitä etuja:

  • Lieventää hajautusarvojen ja lippujen välityshyökkäysten riskiäJos hyökkääjä varastaa koneen paikallisen järjestelmänvalvojan tiivisteen (hash), se toimii vain kyseisellä koneella.
  • Helpottaa laitteiden pelastamistaJos tietokoneen yhteys toimialueeseen katkeaa tai käyttäjäprofiili vioittuu, sinulla on erittäin luotettavat paikallisen järjestelmänvalvojan tunnukset, joilla voit kirjautua sisään ja korjata sen.
  • Poistaa tarpeen jakaa paikallisia "pääsalasanoja" teknikkojen keskuudessa kaikkine siihen liittyvine turvallisuuskatastrofeineen.

Se ei kuitenkaan ole taikuutta. Jotta se toimisi, sinun täytyy sinulla on tilejä (tai ryhmiä), joilla on oikeus lukea näitä salasanoja AD:ssäJa siinä kohtaa pelko iskee: jos joku varastaa nuo tunnistetiedot LAPS-lukuoikeuksilla, hän voi purkaa koko puiston paikalliset salasanat yksi kerrallaan.

Jotta LAPSista tulisi nettoetu eikä uusi haavoittuvuus, on tärkeää kohdella näitä lukuoikeuksia kuin kultaa:

  • Hyvin pieni joukko valtuutettuja teknikkoja (mieluiten erilliset käyttöoikeusryhmät AD:ssä), joilla on LAPS-attribuuttien lukuoikeudet vain niitä tarvitsevissa organisaatioyksiköissä.
  • Tiukka tarkastus kuka lukee minkäkin salasanan ja milloin. Tämä antaa sinulle jäljitettävyyden, kun haluat tarkistaa, kenellä on laajennetut oikeudet milläkin hetkellä.
  • Älä koskaan käytä LAPS-käyttöoikeuksilla varustettuja tilejä jokapäiväisiin tehtäviinKäytä erillisiä järjestelmänvalvojan tilejä tai Just-in-Time/Just-Enough -hallintaa, jos ympäristösi sen sallii.

Ja tärkeä kysymys: Tarkoittaako LAPS, että et enää tarvitse paikallisia toimialueen järjestelmänvalvojia tietokoneilla? Ei välttämättäJärkevintä on yhdistää:

  • Un paikallinen järjestelmänvalvoja, jota hallinnoidaan LAPS:n avulla vaaratilanteisiin, pelastustilanteisiin ja erittäin erityisiin tehtäviin.
  • Yksi tai useampi paikalliselle järjestelmänvalvojaryhmälle ryhmäkäytännön kautta määritettyjen verkkotunnusryhmien tukitehtäviin, ohjelmistojen käyttöönottoon, haavoittuvuuksien skannaukseen jne.

Tämä antaa sinulle tarvitsemaasi joustavuutta työkaluille, kuten haavoittuvuusskannereille tai käyttöönottojärjestelmille, mutta Et ole riippuvainen yhdestä kloonatusta paikallisesta tunnisteesta koko verkossa.

Näkyvyyden ylläpitäminen: kuka tekee mitä, kun oikeudet eskaloituvat

Herää kohtuullinen kysymys: jos käytät LAPSia vain yhdellä paikallisen järjestelmänvalvojan tilillä tietokonetta kohden, miten hallitset kuka on käyttänyt kyseistä tiliäKirjanpidon ja tilintarkastuksen näkökulmasta ei haluta "kaikkien ulottuville" -järjestelmää, johon kaikki tulevat sisään samalla henkilöllisyydellä jättämättä jälkiä.

Ratkaisu piilee useiden toimenpiteiden yhdistämisessä:

  • Älä käytä suoraa vuorovaikutteista istuntoa paikallisen järjestelmänvalvojan kanssa paitsi äärimmäisissä tapauksissa.Ihannetapauksessa teknikkojen tulisi todentaa itsensä omilla nimetyillä (toimialue)tileillään ja käyttää paikallisia tunnistetietoja vain tehtävissä, jotka niitä vaativat.
  • Kirjautumistapahtumien tarkastus (vuorovaikutteinen, RDP, Runausten käyttö jne.) työasemilla ja palvelimilla. Voit keskittää lokit SIEM-järjestelmään tai tapahtumienkeruupalvelimelle.
  • Yhdistä LAPS-salasanan lukeminen muutospyyntöön tai tikettiinJos sisäinen työkalu tai portaali vaatii perustelun sille, miksi laitteen salasanaa käytetään, jäljitettävyys on jo olemassa.

Jos teknikon on viime kädessä nähtävä LAPS-salasana AD:ssä, siitä pitäisi jäädä jälki: kuka sitä pyysi, mille joukkueelle ja mihin aikaanTämä kompensoi osittain sitä tosiasiaa, että tietokoneella myöhemmin aloitettava istunto on paikallisella "henkilökohtaisella" tilillä.

  Ohjelmistojen eristämistekniikat Windows 11:ssä ilman ulkoisia sovelluksia

Tilistrategia Windows 11:ssä: usean käyttäjän ja erilliset profiilit

Yritystason ulkopuolella se kannattaa jopa kotiympäristöissä tai pienyrityksissä. luo eri käyttäjä jokaiselle henkilölle tai roolilleSaman tilin (puhumattakaan järjestelmänvalvojan tilin) ​​jakaminen aina on huono idea useista syistä:

  • Nolla yksityisyyttäKuka tahansa voi nähdä tiedostosi, selaushistoriasi, paikallisissa asiakasohjelmissa avatut sähköpostit jne.
  • Haittaohjelmariski ja määritysmuutoksetJos kaikki ovat järjestelmänvalvojia, kokematon käyttäjä voi asentaa haittaohjelmia tai poistaa käytöstä tärkeitä asetuksia.
  • Jäljitettävyyden puuteTyöympäristössä, jos kaikki käyttävät "PCVentas"-tiliä samalla tilillä, on mahdotonta tietää, kuka teki minkäkin muutoksen.

Windows 11 helpottaa käyttäjien hallintaa huomattavasti:

  • Paikalliset tilitIhanteellinen vaihtoehto, jos olet huolissasi yksityisyydestä etkä halua kaiken kulkevan Microsoftin verkkoidentiteetin kautta. Sopii hyvin jaettuihin tietokoneisiin, ympäristöihin, joissa on omat käytäntönsä, tai kun et tarvitse integrointia Microsoft 365 -palveluihin.
  • Microsoft-tilitNe synkronoivat asetukset, tunnistetiedot ja pääsyn pilvipalveluihin (OneDrive, Office, Xbox jne.). Erittäin kätevää, kun yrityksen palveluita käytetään päivittäin.
  • PerhetilitSuunniteltu lapsille, sisältää vanhempien valvonnan, aikarajoitukset, sisällönsuodattimet ja keskitetyn valvonnan Microsoft Family Safetyn kautta.
Windows-käyttäjien hallinta PowerShellin avulla
Aiheeseen liittyvä artikkeli:
Opas Windows-käyttäjien hallintaan PowerShellin avulla

Käyttäjien luomiseen Windows 11:ssä on useita vaihtoehtoja: Asetukset > Tilit > Muut käyttäjät, tietokoneen hallinta (paikalliset käyttäjät ja ryhmät), työkalu netplwiz tai suoraan komentoja, kuten net user konsolista. Tärkeää ei ole niinkään polku kuin tulos: Jokaisella henkilöllä on oma tilinsä, ja vain ne, joiden pitäisi olla järjestelmänvalvojia, kuuluvat järjestelmänvalvojaryhmään..

Salasanakäytäntö Windowsissa: avain inhimillisten virheiden rajoittamiseen

Sillä ei ole väliä, kuinka hyvin arkkitehtuuri on suunniteltu, jos käyttäjät voivat asettaa salasanoja, kuten "123456" tai "password". Windowsin salasanakäytäntö on juuri tätä tarkoitusta varten. asettaa vähimmäisturvallisuussäännöt ja välttää absurdiuksia.

Tämä direktiivi on osa paikallisia tai verkkotunnuksen suojauskäytäntöjä ja sen avulla voit säätää esimerkiksi seuraavia ominaisuuksia:

  • Minimipituus: salasanan vähimmäismerkkimäärä.
  • Monimutkaisuus: sisällytetäänkö isot kirjaimet, pienet kirjaimet, numerot ja symbolit.
  • ennätysKuinka monta aiempaa salasanaa muistetaan, jotta käyttäjää ei voida käyttää niitä uudelleen?
  • Maksimi- ja vähimmäisvoimassaoloaikaKuinka usein se pitää vaihtaa ja kuinka kauan sitä pitää säilyttää ennen kuin sen voi vaihtaa uudelleen?
  • Tilin lukitus: epäonnistuneiden yritysten määrä ja estoaika raa'an voiman hyökkäysten estämiseksi.

Tämä määritetään ryhmäkäytäntöeditorissa (gpedit.msc) tai toimialuetilanteissa ryhmäkäytäntöobjektin kautta: Tietokoneen asetukset > Windowsin asetukset > Suojausasetukset > Tilikäytännöt > Salasanakäytäntö.

Millainen pitäisi olla kunnollinen salasana nykyään?

Jos haluat salasanoja, jotka todella kestävät nykyiset hyökkäykset, perusperiaate pitää edelleen paikkansa, mutta sitä on sovellettava tinkimättömästi. Hyvän salasanan tulisi olla:

  • vainEi käytetä uudelleen muissa palveluissa tai laitteissa. Näin vältät "dominoefektin", jos se vuotaa toiselle verkkosivustolle tai sovellukseen.
  • pitkä10–12 merkistä eteenpäin se alkaa olla kohtuullinen, vaikkakin kriittisille tileille (kuten verkkotunnusten ylläpitäjille) 15 tai enemmän merkkiä se on ihanne.
  • Monimutkainen mutta mieleenpainuva: yhdistelmä isoja ja pieniä kirjaimia, numeroita ja symboleja, mutta järjestettynä muotoon ohimenevä lause helppo muistaa ja vaikea rikkoa sanakirjalla.

Hyvin hyödyllinen kikka on salattujen lauseiden käyttö: valitset lauseen, jonka muistat ("Poikani Juan on kolme vuotta vanhempi kuin tyttäreni Ana") ja säilytät jokaisen sanan ensimmäisen kirjaimen, lisäämällä numeroita ja symboleja: MhJe3@mqmh@Tämä luo pitkiä ja vahvoja salasanoja pakottamatta sinua kirjoittamaan käsittämättömiä asioita.

Vielä vakavammissa tilanteissa voit vetää suoraan salasanageneraattorit ja tunnistetietojen hallinnoijat, kuten KeePassXCyhdistettynä monivaiheiseen todennukseen. Sinun tulisi välttää hinnalla millä hyvänsä seuraavia:

  • Tyhjät tai triviaalit salasanat (“admin”, “qwerty”, syntymäajat…).
  • Tarralapuille kirjoitettuja salasanoja jumiutunut näytölle tai tallentunut salaamattomiin asiakirjoihin.
  • Käytä samaa salasanaa sähköpostiin, sosiaaliseen mediaan, VPN:ään ja Windows-kirjautumiseen.
  Xbox Mode saapuu Windows 11:een huhtikuussa

Salasanakäytännön ja tilin lukituksen yhdistäminen

Salasanakäytäntö ei ole itsenäinen; Tätä täydentää tilin estokäytäntö.Tavoitteena on estää hyökkääjää käynnistämästä tuhansia peräkkäisiä yrityksiä tunnistetietoja vastaan.

Windowsissa voit määrittää:

  • Estokynnys: epäonnistuneiden kirjautumisyritysten määrä ennen tilin lukitsemista.
  • Saarron kesto: aika, jonka tili pysyy estettynä.
  • Laskentaikkuna: aikaväli, jonka aikana epäonnistuneet yritykset lasketaan sen määrittämiseksi, onko se estetty.

Aiemmissa Windows-versioissa oli apuohjelmia, kuten passprop.exe jopa sisäänrakennetun järjestelmänvalvojan tilin estämiseksi, aluksi vain etäkäynnistyksissä ja myöhemmin myös vuorovaikutteisissa käynnistyksissä. Nykyään Windows 11:n ja nykyisen Active Directoryn avulla voit paremmin mukauttaa näitä toimintoja ryhmäkäytäntöobjektien (GPO) avulla, mutta idea on sama: ettei edes klassinen järjestelmänvalvoja pääse eroon ohjaimista.

Heikkojen salasanojen tunnistus ja säännöllinen tarkastus

Sääntöjen asettaminen on ihan hyvä asia, mutta todellisuudessa on aina käyttäjiä, jotka vaativat vähiten vaivaa tai jotka ovat käyttäneet samaa salasanaa vuosia. Siksi on suositeltavaa täydentää direktiiviä salasana-analyysityökalut:

  • Verkkotyökalut, kuten MBSA (Microsoft Baseline Security Analyzer, vanhoissa ympäristöissä), jotka tarkistavat tyhjiä salasanoja tai salasanoja, jotka ovat samoja kuin käyttäjätunnus tai tietokoneen nimi.
  • Kolmannen osapuolen offline-työkalut jotka analysoivat tiivisteitä ja etsivät heikkoja salasanoja aiheuttamatta tilin lukitusta (suositeltu menetelmä).

Kun havaitset heikon salasanan, ihanteellinen ratkaisu on automatisoida vastaus: pakota vaihto vahvaan salasanaan tai lähetä omistajalle selkeä varoitusSäännellymmissä ympäristöissä välitön palauttaminen ja ilmoittaminen turvallisuustiimille voi olla tarpeen.

Tarkastus ei rajoitu salasanoihin, vaan sen on katettava myös etuoikeutettujen tilien käyttöKuka kirjautuu sisään minne, kuka muuttaa ryhmän jäsenyyksiä, kuka muokkaa suojauskäytäntöjä jne. Tapahtumienvalvonta, asianmukaiset ryhmäkäytäntöobjektit ja, jos organisaation koko sen oikeuttaa, SIEM ovat tässä liittolaisiasi.

Etuoikeutetut tilit: missä niitä voi käyttää ja miten niitä voidaan suojata paremmin

Toinen kriittinen osa on Rajoita tietokoneita, joilta korkeilla oikeuksilla varustettuja verkkotunnustilejä voidaan käyttääVerkkotunnuksen järjestelmänvalvojan ei tulisi koskaan kirjautua tavallisen käyttäjän tietokoneelle, olipa tämä kuinka kiireinen tahansa.

Joitakin erittäin tehokkaita toimenpiteitä ovat:

  • Salli toimialueen järjestelmänvalvojien interaktiiviset kirjautumiset vain toimialueen ohjauskoneissa ja erillisissä hallintatyöasemissaei koskaan epäluotettavilla käyttäjälaitteilla tai palvelimilla.
  • Estä järjestelmänvalvojan tilien käyttö palveluna tai erätehtävissäellei niitä hoideta äärimmäisen huolellisesti.
  • Poista käytöstä etuoikeutettujen tilien delegointi, merkitsemällä ne "Tili on tärkeä eikä sitä voida delegoida", estäen henkilöllisyyden käyttämisen luotettavien palvelimien kautta delegointia varten.

Tason nostamiseksi entisestään on erittäin suositeltavaa vaatia, että Ylläpitäjän kirjautumiset käyttävät älykortteja (Vahva kaksivaiheinen todennus). Tämä estää monia ongelmia, jotka johtuvat jaetuista, varastetuista tai näppäinpainallusten tallentajilla kaapatuista salasanoista, ja varmistaa, että sisäänkirjautuvalla henkilöllä on fyysisesti kortti ja PIN-koodi.

Erittäin arkaluontoisilla tileillä (esimerkiksi organisaation järjestelmänvalvojien jäsenillä) on mahdollista Jaa tili kahden henkilön kesken hallitustiToisella henkilöllä on älykortti ja toisella PIN-koodi, joten molempien on oltava läsnä käyttääkseen sitä. Se ei ole täydellinen yksilön vastuullisuuden näkökulmasta, mutta se lisää melko vankan fyysisen valvonnan ja valvonnan kerroksen.

PsLoggedOn Windows
Aiheeseen liittyvä artikkeli:
Opas käyttäjätoiminnan tarkastelemiseen PsLoggedOnin avulla

Tämä koko toimenpidekokonaisuus – hyvin konfiguroitu LAPS, tiukka mutta kohtuullinen salasanakäytäntö, vähimmäiskäyttöoikeudet, auditointi ja vahva todennus älykorteilla – mahdollistaa Paikallisten ja järjestelmänvalvojan tilien Windows 11:ssä tulisi olla hallittu työkalu, ei ladattu ase, joka on suunnattu omaan verkkoon.auttaa sinua ylläpitämään tietoturvaa, jäljitettävyyttä ja reagointikykyä häiritsemättä käyttäjien jokapäiväistä elämää tai ajamatta sinua hulluuden partaalle häiriöiden hallinnan kanssa. Jaa tietoa, niin muut käyttäjät oppivat aiheesta.