Qual è il metodo standard del settore per amministrare la modifica della password dell'amministratore locale per tutte le macchine in un dominio?

13

Sebbene sembrino esserci tre opzioni disponibili, una delle quali è effettivamente sicura, sembrano esserci solo due scelte disponibili che saranno in grado di avere un impatto su macchine che non sono accese al momento del cambiamento o sono mobili e non erano in rete al momento del cambiamento. Nessuna delle due sembra essere un'opzione sicura. Le tre opzioni di cui sono a conoscenza sono:

  1. Script di avvio con .vbs
  2. Oggetto Criteri di gruppo utilizzando Preferenze criteri di gruppo
  3. Script Powershell come attività pianificata.

Respingo l'opzione Powershell perché non so come scegliere come target / iterare in modo efficace e chiudere le macchine già modificate, tutte le macchine sulla rete e quale impatto avrebbe sull'overhead di rete non necessario, anche se è probabilmente la migliore soluzione disponibile poiché la password stessa può essere archiviata in un contenitore CipherSafe.NET (soluzione di terze parti) e la password passata allo script al computer di destinazione. Non ho verificato se Powershell è in grado di ottenere una password dal Gestore credenziali di un computer Windows locale da utilizzare nello script o se è possibile memorizzare una password da utilizzare con lo script.

L'opzione di script .vbs non è sicura perché la password è memorizzata in chiaro nella condivisione SYSVOL che è disponibile per qualsiasi macchina di dominio sulla rete. Chiunque stia cercando una porta sul retro e con un po 'di Google troverà quella porta se abbastanza persistente.

L'opzione GPO è anche insicura come indicato da questa nota MSDN: http://code.msdn.microsoft.com/Solution-for-management-of-ae44e789

Sto cercando una soluzione non di terze parti che penso dovrebbe essere disponibile o in grado di essere sviluppata internamente con la giusta conoscenza o guida.

active-directory  group-policy  scripting  powershell  password-management 
Sn3akyP3t3
fonte
Migrato come suggerito da qui: security.stackexchange.com/questions/36411/…
Sn3akyP3t3
1
Questo potrebbe essere chiuso, ma spero di no. Questa è un'ottima domanda
MDMarra,
Ciò che abbiamo fatto in un caso è stato l'utilizzo di script di avvio per segnalare quando una macchina è online e utilizzare uno script lato server per connettersi alla macchina e impostare la password di conseguenza. Ciò è comunque suscettibile agli attacchi di sniffing della rete.
the-wabbit il

Risposte:

5

Vado avanti e porterò il mio commento a answertown.

Dovrà essere di terze parti. Come hai già sottolineato, nessuna delle tre opzioni menzionate è ottimale. Microsoft non offre un modo perfetto per farlo. Non ce n'è uno. Sarà di terze parti e ti coinvolgerà quasi sicuramente nell'installazione di un agente software su tutti i tuoi client.

Ho sviluppato una soluzione per questo esatto problema (tranne per il fatto che ha funzionato contemporaneamente su molte foreste e domini) e ha coinvolto VBscript per la massima compatibilità con quante più versioni possibili di Windows, nonché con alcuni bit C #, nonché un terzo agente software di partito che fortunatamente la società stava già utilizzando a fini di monitoraggio ed era quindi già installato su ogni macchina, che sono stato in grado di sfruttare.

In alternativa, puoi semplicemente disabilitare tutti gli account Admin locali tramite GPO, il che è abbastanza comune. Ma se qualcosa va storto con la sincronizzazione del dominio su quel membro del dominio, il recupero sarà più un PITA che se avessi un account di "amministratore locale" di recupero.

Modifica: solo per chiarire: sono confuso quando dici che stai "cercando una soluzione non di terze parti che ... dovrebbe essere in grado di essere sviluppata in casa ..." Considererei tutto ciò che non è stato scritto da Microsoft come componente integrato di Windows in questo contesto "di terze parti". Riesci a farlo con un codice intelligente che utilizza le comunicazioni di rete TLS e memorizza i segreti in un database SQL Server con crittografia dei dati trasparente con alcune funzioni hash complesse che generano una password univoca per ogni macchina? SÌ. È integrato in Windows senza alcuno sforzo da parte tua? NO. :)

Ryan Ries
fonte
Sono d'accordo, ma consiglierò una scelta, solo perché è gratuito e l'ho usato più volte con un buon successo (non è perfetto ma comunque). Mi piace molto che aggiorna il campo "descrizione" con quello che vuoi (come la data cambiato e da chi): searchenterprisedesktop.techtarget.com/tip/...
TheCleaner
1
@TheCleaner Concordato - ci sono molte soluzioni di terze parti là fuori, che era il mio punto, ma niente che viene fuori dalla scatola con Windows. Uno sviluppatore di software intelligente può far sì che ciò accada, ma fai attenzione a soddisfare tutti i requisiti di sicurezza di cui la tua azienda e i suoi revisori avranno bisogno. Come ... questo software trasmette la password in chiaro sulla rete? Ecc. Ecc.
Ryan Ries,
0

Bene per l'opzione GPO l'articolo Microsoft che hai indicato ( http://code.msdn.microsoft.com/Solution-for-management-of-ae44e789 ) specifica nella sua documentazione (scarica il file Documentation.zip) questo:

Il trasferimento della password dal computer gestito ad Active Directory è protetto da Kerberos Encryption, quindi non è possibile conoscere la password annusando il traffico di rete.

Specifiche tecniche dettagliate - Gestione della password dell'account amministratore locale - pagina 5

Forse la definizione dell'articolo non è aggiornata, quindi dico che dai un'occhiata alla documentazione e magari fai dei test mentre annusi il traffico, in questo modo puoi esserne sicuro.

Termiux
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.