Bonjour à tous,
 
Je vous explique. Je suis responsable d'une équipe de support.  
J'ai des opérateurs qui utilisent la commande RUNAS afin d'utiliser un compte qui leur permet d'aller sur le net alors que la politique de sécurité l'interdit.
 
Je voudrais donc savoir si il y avait moyen de désactiver l'utilisation de cette commande RUNAS.
 
J'ai cherché sur le net et je n'ai rien trouvé de concluant.
 
Pourriez vous m'aider svp ?
 
Merci d'avance.

RUNAS afin d'utiliser un compte qui leur permet d'aller sur le net  
explique nous comment ceci est possible ?
il sont bloqué au niveau du proxy ?

En fait, leur compte nominatif ne permet pas d'aller sur le net, bloqués par le proxy.
Et ils ont eut des coordonnées d'un compte qui le permet.

En fait, leur compte nominatif ne permet pas d'aller sur le net, bloqués par le proxy.
Et ils ont eut des coordonnées d'un compte qui le permet.

change le mot de passe du compte en question. verifie dans les log qui usurpe l'iddentité petit mail au chef de service qu'il avertisse les utilisateur à ce qu'il risque en cas d'usurpation d'iddentité. Et aussi la personne qui à donné son mot de passe.

J'ai deja essayé tout ca mais pour des raisons que je ne développerais pas ici, je ne peux faire tout ça.
Y'a pas moyen de désactiver l'utilisation du RUNAS pour un utilisateur donné via les services ou le registre par exemple ?

Le seul vrai moyen, c'est qu'un compte avec des droits supérieurs arrête de se balader.

Met le services "Connexion secondaire"/"Secondary Logon" en Désactivé par GPO. (à tester, ça enlève le Exécuter en tant que mais peut etre que le runas marche).

Sinon bloque internet au niveau des ip plutot que user

 
Clairement mais ça n'est pas de mon ressort ...
 

 
Faut que je désactive ça sur quel compte ? Leurs comptes nominatif ou le compte qu'ils utilisent ?

Dans la GPO ordinateur (les services c'est propre à l'ordinateur)

  joli fail dans ta configuration.
 
Mais sinon, désactiver la commande runas alors qu'ils sont du support technique, c'est comme vouloir scier la branche sur laquelle tu es assis, mauvaise idée  
 
A ta place je ferais comme l'indique Je@nb :

 
Je ne suis pas l'administrateur hein
C'est dans un grand compte et je n'ai pas la main là dessus
 

 
Pour le support qu'ils font, ils n'ont pas besoin de la commande RUNAS.
Je vais voir pour faire ça par GPO
 
 

Méthode Radical : Tu prends ton téléphone et tu dis qu'un compte a été compromis , un changement de mot de passe est impératif . Et si possible un mot de passe complexe qd même ^^

De toute façon y-a pas 36 solutions , c comme si tu demandais comment faire pour qu'un pirate qui possède un compte administrateur d'entreprise ne puisse plus l'utiliser sur le système ... Bah soit tu vires le compte compromis ou tu le sécurises.En vérifiant avant qu'ils ont pas mis en place d'autres portes d’accès.

De toute façon Runas ou pas , ils peuvent se connecter avec se compte de plusieurs façons.

bonjour,
 
La solution la plus simple est un simple rappel à la loi article 323-1 à 323-3 en leur rappelant ce qu'ils risquent en utilisant le compte de quelqu'un d'autre... Et si cela ne suffit pas il suffit de porter plainte.
 
CDLT

Tu n'as pas la main sur ce compte, mais tu veux déployer une GPO pour bloquer l'accès à internet via ce compte  
Y'a pas comme un soucis quelque part là ?
 
Je partirais plutôt comme l'indique arnaud1206, après identification des fautifs et un bon rappel par mail auprès de tout le monde que l'utilisation abusive de ce compte entraînera des sanctions pouvant aller à l'exclusion de l'entreprise, et que certains personnels (dont tu indiques le nom après) sont déjà sur la sellette.
D'un côté tu fais les gros durs pour tout le monde, et les utilisateurs clairement visés sauront qu'ils ont intérêts à se tenir à carreau.
 

Mouais, bah donc en gros comme support ils font rien.

 
Je suis pas un expert, je pose la question hein ...
 

 
Deja fait ... Je cherchais surtout une solution expéditive ...
 

 
On fait de l'assistance sur un progiciel, y'a pas besoin de la commande RUNAS pour ça

 
Si tu n'as pas la main sur la sécu informatique, peux-tu voir avec ceux qui ont en charge l'accès à Internet et la gestion des comptes le problème ?
 

 
Oui enfin vous auriez tout aussi pu bien faire de l'assistance sur des aspirateurs.
Ce point n'a aucune importance. Ne t'attarde pas la dessus.

Ma phrase était à prendre dans le sens : pourquoi ont-ils accès à ce compte, si effectivement ils n'en ont pas besoin ?
Là c'est un problème non pas de sécu logicielle (quoique ) mais plus du fait que le mot de passe a été refilé à ces utilisateurs.
Donc il faut aussi voir pour une gestion administrative/RH du problème. Usurpation d'identité toussa quoi.

Pour le boulot, ils en ont pas besoin.
Ce compte ne sers qu'a aller sur le net ..
 
Pourquoi ça leur a été refilé ? Alors ça, ça me dépasse complètement ...
 
Le contrat des collabs s'arrête bientôt, je sens que ça va pas être renouvelé

Et là, il y a une bonne raison. Dommage pour eux, en ces temps de crise, de perdre un boulot mais ils l'auront bien cherché.
Penses quand même à faire un message global, voire d'inclure dans le contrat des nouveaux collaborateurs qui passeront, de ne pas utiliser de compte utilisateur autre que celui qui leur est assigné sans motif valable et sans autorisation du chef de service (cad toi )

mmm changer les droits d'accès du runas.exe et refuser l'exécution aux utilisateurs concernés ?

+1
un chmod -x /usr/bin/runas, mais en version windows.

  si seulement... mais bon, là c'est un problème purement de personnels, ils ont voulus jouer au con, ils ont perdus, ils doivent passer à la caisse.
Pas besoin d'aller chercher ouate milles solutions.

 
Ça changera pas grand chose si l'utilisateur est "root" .  
 

Humm...

C'est assez facile en fait; tu actives par GPO l'option "Deny log on locally" pour le compte utilisateur mutualisé qui pose problème sur les machines utilisées par ton équipe de support. Ils pourront toujours faire appel à l'application runas, mais ils ne pourront pas ouvrir de session avec l'utilisateur qui pose soucis.

Attention quand même, si ton équipe de support a besoin de ce compte dans d'autre contexte (pour travailler p.ex) ca risque de pas très bien se passer