Авторизация только локального администратора с помощью rutoken

Здравствуйте!
В корпоративной сети есть компьютеры с Windows Xp/Vista/7, так же есть AD.
1. Требуется защитить на всех компьютерах только одного пользователя локальный  Администратор, остальных пользователей не трогать.
2. В идеале еще нужно защитить биос.

Подскажите, пожалуйста, возможно это сделать с помощью rutoken?

Re: Авторизация только локального администратора с помощью rutoken

Добрый день, ga6.

Не совсем понятно, какую проблему Вы хотите решить. Если все Ваши рабочие станции входят в AD, то вы можете просто отключать на них локальных Администраторов или запретить им вход.
Какого плана защиту БИОС вы ищите? На БИОС можно поставить пароль. Вы хотите вход в БИОС по токену?

(2017-06-08 12:47:39 отредактировано ga6)

Re: Авторизация только локального администратора с помощью rutoken

Здравствуйте, Владимир Салыкин.
1. Да я могу отключить локального администратора через AD, но в случае отсутствия сети на рабочей станции(вирус, сломалась служба и т.д.), для решения проблемы нужны права администратора, и что бы мне их восстановить мне потребуется загружаться с LiveCD и править реестр, что не совсем удобно. Я хотел не выключать локального Администратора, а защитить его с помощью аппаратно-программных средств Рутокена,  но при этом на рабочих станциях есть еще по несколько доменных пользователей, и хотелось бы не выдавать каждому из них usb-ключ, а раздать их только инженерам ТП, для авторизации на всех рабочих станция под учетной записью локального Администратора. Я читал про КриптоПро  Winlogon, но она насколько я понял защищает все учетные записи, верно?
2. Биос по токену, а здесь интересует вопрос, сколько токенов нужно что бы защитить например 10 биосов?

Re: Авторизация только локального администратора с помощью rutoken

Я правильно понимаю, что вы хотите:
1. Чтобы обычные пользователи входили через логины\пароли, а локальный администратор только по токену?
У нас такого решения, к сожалению, нет.

2. Вам могло бы хватить и 1 токена на 10 БИОСов, тут проблемы в другом. БИОС хранит свои настройки в энергозависимой памяти. Даже если бы вы могли настроить БИОС для входа по токенам, то извлечение батарейки из материнской платы приведет к сбросу этих настроек. Такая защита есть на корпоративных ноутбуках, со считывателями смарт-карт, так как там добраться до батарейки сложнее. Возможно на дорогих корпоративных рабочих станциях тоже есть такая возможность.
Для того, чтобы защитить БИОС обычно используют модули типа АПМДЗ, которые вставляются в материнские платы или уже интегрированы в них. Но один АПМДЗ стоит как 5-10 токенов.