Chociaż wydaje się, że istnieją trzy dostępne opcje, z których jedna jest faktycznie bezpieczna, wydaje się, że istnieją tylko dwie dostępne opcje, które będą miały wpływ na maszyny, które nie zostały włączone w momencie zmiany lub są mobilne i nie były w sieci w momencie zmiany. Żadne z tych dwóch nie wydaje się być bezpieczną opcją. Trzy znane mi opcje to:
- Skrypty startowe z .vbs
- GPO przy użyciu Preferencji zasad grupy
- Skrypt PowerShell jako zaplanowane zadanie.
Odrzucam opcję PowerShell, ponieważ nie wiem, jak skutecznie celować / iterować, i odrzucać maszyny już zmienione, wszystkie komputery w sieci i jaki wpływ miałby to na niepotrzebne obciążenie sieci, nawet jeśli jest to prawdopodobnie najlepsze dostępne rozwiązanie ponieważ samo hasło może być przechowywane w kontenerze CipherSafe.NET (rozwiązanie innej firmy), a hasło przekazywane do skryptu na docelową maszynę. Nie sprawdziłem, czy Powershell może uzyskać hasło z Menedżera poświadczeń lokalnego komputera z systemem Windows do użycia w skrypcie, czy też można tam zapisać hasło do użycia ze skryptem.
Opcja skryptu .vbs jest niepewna, ponieważ hasło jest przechowywane jako zwykły tekst w udziale SYSVOL, który jest dostępny dla dowolnego komputera z domeną w sieci. Każdy, kto chce znaleźć tylne drzwi i przy odrobinie Google, znajdzie te drzwi, jeśli będzie wystarczająco trwały.
Opcja GPO jest również niepewna, jak zauważono w tej notatce MSDN: http://code.msdn.microsoft.com/Solution-for-management-of-ae44e789
Szukam rozwiązania innej firmy, które moim zdaniem powinno być dostępne lub możliwe do opracowania we własnym zakresie z odpowiednią wiedzą lub wskazówkami.
Odpowiedzi:
Zamierzam iść dalej i wziąć mój komentarz, aby odpowiedzieć.
Musi to być firma zewnętrzna. Jak już wskazałeś, żadna z trzech wymienionych przez Ciebie opcji nie jest optymalna. Microsoft nie zapewnia idealnego sposobu na zrobienie tego. Po prostu nie ma. Będzie to firma zewnętrzna i prawie na pewno będzie wymagać instalacji agenta oprogramowania na wszystkich klientach.
Opracowałem rozwiązanie tego konkretnego problemu (z wyjątkiem tego, że działało to jednocześnie w wielu lasach i domenach) i wymagało VBscript dla maksymalnej kompatybilności z tak wieloma różnymi wersjami systemu Windows, jak i niektórymi bitami C #, a także 3. agent oprogramowania firmowego, który na szczęście firma już używała do celów monitorowania, a zatem była już zainstalowana na każdym komputerze, który mogłem wykorzystać.
Ewentualnie możesz po prostu wyłączyć wszystkie lokalne konta administracyjne za pomocą GPO, co jest dość powszechne. Ale jeśli coś pójdzie nie tak z synchronizacją domeny na tym elemencie domeny, odzyskiwanie będzie bardziej przypominało PITA niż gdybyś miał konto „lokalnego administratora” do odzyskiwania.
Edycja: Tylko dla wyjaśnienia: Jestem zdezorientowany, gdy mówisz, że „szukasz rozwiązania innej firmy, które ... powinno być możliwe do opracowania we własnym zakresie ...” Rozważyłbym wszystko, co nie zostało napisane przez Microsoft jako wbudowany składnik systemu Windows w tym kontekście „firma zewnętrzna”. Czy możesz to zrobić za pomocą jakiegoś sprytnego kodu, który wykorzystuje komunikację sieciową TLS i przechowuje sekrety w bazie danych SQL Server z przezroczystym szyfrowaniem danych z jakąś złożoną funkcją skrótu, która generuje unikalne hasło dla każdej maszyny? TAK. Czy jest wbudowany w system Windows bez żadnego wysiłku z Twojej strony? NIE. :)
źródło
W przypadku opcji GPO wskazany artykuł Microsoft ( http://code.msdn.microsoft.com/Solution-for-management-of-ae44e789 ) określa w swojej dokumentacji (pobierz plik Documentation.zip):
Szczegółowa specyfikacja techniczna - Zarządzanie hasłem lokalnego konta administratora - strona 5
Być może definicja artykułu nie została zaktualizowana, więc mówię, że zajrzałeś do dokumentacji i może przeprowadziłeś testy podczas wykrywania ruchu, w ten sposób możesz być pewien.
źródło