Globale Beheerders Niet Lokale Beheerders [CHK-1166]
Deze check controleert of de functie is uitgeschakeld die Globale Beheerders automatisch toevoegt aan de Lokale Beheerdersgroep op nieuwe Windows-apparaten.
Rationale
Een aanvaller die toegang krijgt tot een account met zowel globale als lokale beheerrechten kan heel snel van het ene op het andere systeem bewegen en controle krijgen over de kern van de IT-omgeving. Het is verstandiger om deze rechten specifiek toe te wijzen.
Fix
Een geautomatiseerde fix is beschikbaar via Attic.
Handmatige stappen:
- Open het Entra portal https://entra.microsoft.com
- Ga naar Devices > All Devices > Device Settings
- Controleer of de instelling Global administrator role is added as local administrator on the device during Microsoft Entra join (preview) is uitgeschakeld
- Klik op Save
Impact
Na de wijziging hebben beheerders mogelijk geen lokale beheerrechten meer op hun PC of die van collega's. Als ze beheerrechten nodig hebben, moeten ze expliciet aan de globale beheerdersgroep worden toegevoegd op het betreffende systeem, of aan een specifieke centrale rol die bestaat voor de taak van lokaal beheer.