Jaka jest standardowa metoda zarządzania zmianą hasła administratora lokalnego dla wszystkich komputerów w domenie?

13

Chociaż wydaje się, że istnieją trzy dostępne opcje, z których jedna jest faktycznie bezpieczna, wydaje się, że istnieją tylko dwie dostępne opcje, które będą miały wpływ na maszyny, które nie zostały włączone w momencie zmiany lub są mobilne i nie były w sieci w momencie zmiany. Żadne z tych dwóch nie wydaje się być bezpieczną opcją. Trzy znane mi opcje to:

  1. Skrypty startowe z .vbs
  2. GPO przy użyciu Preferencji zasad grupy
  3. Skrypt PowerShell jako zaplanowane zadanie.

Odrzucam opcję PowerShell, ponieważ nie wiem, jak skutecznie celować / iterować, i odrzucać maszyny już zmienione, wszystkie komputery w sieci i jaki wpływ miałby to na niepotrzebne obciążenie sieci, nawet jeśli jest to prawdopodobnie najlepsze dostępne rozwiązanie ponieważ samo hasło może być przechowywane w kontenerze CipherSafe.NET (rozwiązanie innej firmy), a hasło przekazywane do skryptu na docelową maszynę. Nie sprawdziłem, czy Powershell może uzyskać hasło z Menedżera poświadczeń lokalnego komputera z systemem Windows do użycia w skrypcie, czy też można tam zapisać hasło do użycia ze skryptem.

Opcja skryptu .vbs jest niepewna, ponieważ hasło jest przechowywane jako zwykły tekst w udziale SYSVOL, który jest dostępny dla dowolnego komputera z domeną w sieci. Każdy, kto chce znaleźć tylne drzwi i przy odrobinie Google, znajdzie te drzwi, jeśli będzie wystarczająco trwały.

Opcja GPO jest również niepewna, jak zauważono w tej notatce MSDN: http://code.msdn.microsoft.com/Solution-for-management-of-ae44e789

Szukam rozwiązania innej firmy, które moim zdaniem powinno być dostępne lub możliwe do opracowania we własnym zakresie z odpowiednią wiedzą lub wskazówkami.

Sn3akyP3t3
źródło
Migrowano zgodnie z sugestią tutaj: security.stackexchange.com/questions/36411/…
Sn3akyP3t3
1
To może zostać zamknięte, ale mam nadzieję, że nie. To świetne pytanie.
MDMarra
W jednym przypadku zrobiliśmy to, używając skryptów startowych do sygnalizowania, kiedy komputer jest w trybie online, i użyliśmy skryptu po stronie serwera, aby połączyć się z maszyną i odpowiednio ustawić hasło. Jest to jednak nadal podatne na ataki typu wąchanie sieci.
the-wabbit

Odpowiedzi:

5

Zamierzam iść dalej i wziąć mój komentarz, aby odpowiedzieć.

Musi to być firma zewnętrzna. Jak już wskazałeś, żadna z trzech wymienionych przez Ciebie opcji nie jest optymalna. Microsoft nie zapewnia idealnego sposobu na zrobienie tego. Po prostu nie ma. Będzie to firma zewnętrzna i prawie na pewno będzie wymagać instalacji agenta oprogramowania na wszystkich klientach.

Opracowałem rozwiązanie tego konkretnego problemu (z wyjątkiem tego, że działało to jednocześnie w wielu lasach i domenach) i wymagało VBscript dla maksymalnej kompatybilności z tak wieloma różnymi wersjami systemu Windows, jak i niektórymi bitami C #, a także 3. agent oprogramowania firmowego, który na szczęście firma już używała do celów monitorowania, a zatem była już zainstalowana na każdym komputerze, który mogłem wykorzystać.

Ewentualnie możesz po prostu wyłączyć wszystkie lokalne konta administracyjne za pomocą GPO, co jest dość powszechne. Ale jeśli coś pójdzie nie tak z synchronizacją domeny na tym elemencie domeny, odzyskiwanie będzie bardziej przypominało PITA niż gdybyś miał konto „lokalnego administratora” do odzyskiwania.

Edycja: Tylko dla wyjaśnienia: Jestem zdezorientowany, gdy mówisz, że „szukasz rozwiązania innej firmy, które ... powinno być możliwe do opracowania we własnym zakresie ...” Rozważyłbym wszystko, co nie zostało napisane przez Microsoft jako wbudowany składnik systemu Windows w tym kontekście „firma zewnętrzna”. Czy możesz to zrobić za pomocą jakiegoś sprytnego kodu, który wykorzystuje komunikację sieciową TLS i przechowuje sekrety w bazie danych SQL Server z przezroczystym szyfrowaniem danych z jakąś złożoną funkcją skrótu, która generuje unikalne hasło dla każdej maszyny? TAK. Czy jest wbudowany w system Windows bez żadnego wysiłku z Twojej strony? NIE. :)

Ryan Ries
źródło
Zgadzam się, ale zalecę jeden wybór, tylko dlatego, że jest bezpłatny i używałem go w kółko z dobrym skutkiem (nie jest idealny, ale nadal). Bardzo podoba mi się to, że aktualizuje pole „Opis” o cokolwiek chcesz (jak data zmieniła i przez kogo): searchenterprisedesktop.techtarget.com/tip/...
TheCleaner
1
@TheCleaner zgodził się - istnieje wiele rozwiązań innych firm, o co mi chodziło, ale nic nie wychodzi „z pudełka” z Windows. Sprytny programista może to zrobić, ale uważaj, aby spełniał wszystkie wymagania bezpieczeństwa, które będą potrzebne Twojej firmie i jej audytorom. Na przykład ... czy to oprogramowanie przesyła hasło w postaci zwykłego tekstu przez sieć? Itd. Itp.
Ryan Ries
0

W przypadku opcji GPO wskazany artykuł Microsoft ( http://code.msdn.microsoft.com/Solution-for-management-of-ae44e789 ) określa w swojej dokumentacji (pobierz plik Documentation.zip):

Przeniesienie hasła z zarządzanego komputera do usługi Active Directory jest chronione przez szyfrowanie Kerberos, więc nie można poznać hasła poprzez wąchanie ruchu sieciowego.

Szczegółowa specyfikacja techniczna - Zarządzanie hasłem lokalnego konta administratora - strona 5

Być może definicja artykułu nie została zaktualizowana, więc mówię, że zajrzałeś do dokumentacji i może przeprowadziłeś testy podczas wykrywania ruchu, w ten sposób możesz być pewien.

Termiux
źródło