Pour empêcher l’exposition et la dissémination des identifiants des comptes à privilèges sur les stations de travail une solution simple consiste à interdire l’ouverture de session pour ces comptes à l’aide d’une GPO.
4 paramètres sont disponibles dans Computer > Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignments :
- Deny log on locally
- Deny log on as a batch job
- Deny log on as a service
- Deny log on through Remote Desktop Services
Il est également possible d’utiliser les GPO LoginRestrictions du modèle HardenAD.
