La politica aziendale consente solo agli utenti di connettere le macchine emesse dall'azienda alla rete gestita da Active Directory. Esistono modi per registrare o rilevare in altro modo quando lo stesso account utente si unisce al dominio con macchine "non autorizzate"? Supponiamo che l'utente si connetta non simultaneamente e possa rinominare la propria macchina in modo che corrisponda al nome di una macchina "autorizzata".
Presumo che tu sia preoccupato per gli utenti del dominio che utilizzano il privilegio predefinito per aggiungere fino a 10 workstation al dominio, senza l'autorizzazione di Domain Admin.
Per controllare chi ha accesso per aggiungere utenti al dominio, modifica questa politica di sicurezza locale sul DC
Computer Configuration | Windows settings | Security Settings | User Rights Assignment | Add Workstations to the Domain
Successivamente, se vuoi vedere chi ha aggiunto una workstation al dominio ti suggerisco di guardare:
Il registro di controllo di AD su ogni controller di dominio
L'oggetto Computer AD stesso con ADSI Edit (potrebbe esserci un "creato da" SID lì)
Inoltre hai chiesto:
Suppose the user connects non-simultaneously and can rename their machine to match an "authorized" machine's name.
Ci sono due parti in questo: la rappresentazione di Kerberos e la rappresentazione di NetBIOS. A seconda delle impostazioni del GPO, una persona può rinominare e impersonare uno o entrambi i tipi di autenticazione per una determinata "macchina non autorizzata".
Se l'impostore può convincere il DNS, che è protetto da un ACL, e può modificare l'AD (tramite SPN o altre funzioni amministrative), è possibile impersonare un server Kerberos. Spetta alla tua applicazione rilevare questa imitazione. Un esempio di rappresentazione è Windows Terminal Server 2008 e versioni successive. Apparirà una finestra di dialogo che indica che c'è una connessione di rete non protetta.
D'altra parte l'autenticazione basata su NTLM può avere "impostori" ed è quasi impossibile per il client rilevarla. L'unica difesa che hai è di disabilitare NTLM e usare Kerberos esclusivamente.
Se hai bisogno di usare NTLM per alcuni host e non per altri, segui i suggerimenti di Eric G.
Credo che sia necessario disporre delle credenziali dell'amministratore del dominio per entrare in un dominio (o un account a cui è stata delegata questa capacità). Non dovrebbe essere possibile per un utente aggiungere il proprio personal computer a un dominio. Non dovresti dare agli utenti la possibilità di copiare i file di sistema dal loro pc di lavoro al loro pc di casa (non dare loro i privilegi di amministratore locale).
In teoria, è possibile che possano immaginare la propria macchina da lavoro e metterla sul proprio hardware, ma che non consentirebbe loro di modificare le impostazioni di sistema e ottenere maggiori privilegi, in genere sarà comunque influenzato dal proprio oggetto Criteri di gruppo. Per contrastare questo, una combinazione di TPM e crittografia potrebbe aiutare.
Se si desidera bloccare l'accesso alla rete da parte di sistemi non autorizzati, è consigliabile eseguire questo dominio di livello da Active Directory a livello di rete. È possibile implementare la sicurezza della porta 802.1x o qualsiasi altro tipo di controllo di accesso alla rete (NAC).
Altre risorse:
Leggi altre domande sui tag access-control active-directory network