Phương pháp tiêu chuẩn công nghiệp để quản lý việc thay đổi mật khẩu quản trị viên cục bộ cho tất cả các máy trên một miền là gì?


13

Mặc dù dường như có ba tùy chọn khả dụng, một trong số đó là thực sự an toàn, dường như chỉ có hai lựa chọn khả dụng sẽ có thể tác động đến các máy không được bật vào thời điểm thay đổi hoặc là thiết bị di động và không có trên mạng tại thời điểm thay đổi. Cả hai dường như là một lựa chọn an toàn. Ba tùy chọn mà tôi biết là:

  1. Các kịch bản khởi động với .vbs
  2. GPO sử dụng Tùy chọn chính sách nhóm
  3. Kịch bản Powershell như một nhiệm vụ theo lịch trình.

Tôi loại bỏ tùy chọn Powershell vì tôi không biết cách nhắm mục tiêu / lặp lại hiệu quả và loại bỏ các máy đã thay đổi, tất cả các máy trên mạng và tác động nào có thể xảy ra đối với chi phí mạng không cần thiết, mặc dù đó có thể là giải pháp khả dụng tốt nhất vì chính mật khẩu có thể được lưu trữ trong một thùng chứa CodesSafe.NET (giải pháp của bên thứ 3) và mật khẩu được chuyển đến tập lệnh đến máy được nhắm mục tiêu. Tôi chưa kiểm tra xem Powershell có thể lấy mật khẩu từ Trình quản lý xác thực của máy Windows cục bộ để sử dụng trong tập lệnh hay không hoặc có thể lưu mật khẩu ở đó để sử dụng với tập lệnh hay không.

Tùy chọn tập lệnh .vbs không an toàn vì mật khẩu được lưu trữ trong văn bản rõ ràng trong chia sẻ SYSVOL có sẵn cho bất kỳ máy miền nào trên mạng. Bất cứ ai đang tìm kiếm một cửa sau và với một chút Google sẽ tìm thấy cánh cửa đó nếu đủ kiên trì.

Tùy chọn GPO cũng không an toàn như được ghi chú bởi ghi chú MSDN này: http://code.msdn.microsoft.com/Solution-for-manloyment-of-ae44e789

Tôi đang tìm kiếm một giải pháp không phải của bên thứ 3 mà tôi nghĩ nên có sẵn hoặc có thể được phát triển trong nhà với kiến ​​thức hoặc hướng dẫn phù hợp.


Đã di chuyển theo đề xuất từ ​​đây: security.stackexchange.com/questions/36411/iêng
Sn3akyP3t3

1
Điều này có thể bị đóng cửa, nhưng tôi hy vọng nó không. Đâ là một câu hỏi tuyệt vời.
MDMarra

Những gì chúng tôi đã làm trong một trường hợp là sử dụng các tập lệnh khởi động để báo hiệu khi máy trực tuyến và sử dụng tập lệnh phía máy chủ để kết nối với máy và đặt mật khẩu phù hợp. Điều này vẫn dễ bị tấn công mạng đánh hơi, mặc dù.
the-wợi

Câu trả lời:


5

Tôi sẽ tiếp tục và đưa nhận xét của mình để trả lời.

Nó sẽ phải là bên thứ 3. Như bạn đã chỉ ra, không có tùy chọn nào trong ba tùy chọn bạn đề cập là tối ưu. Microsoft không cung cấp một cách hoàn hảo để làm điều này. Không có cái nào cả. Nó sẽ là bên thứ ba và gần như chắc chắn sẽ liên quan đến việc bạn cài đặt một đại lý phần mềm trên tất cả các khách hàng của mình.

Tôi đã phát triển một giải pháp cho vấn đề chính xác này (ngoại trừ nó hoạt động đồng thời trên nhiều khu rừng và miền) và nó liên quan đến VBscript để tương thích tối đa với càng nhiều phiên bản Windows khác nhau càng tốt, cũng như một số bit C #, cũng như thứ 3 đại lý phần mềm bên mà may mắn là công ty đã sử dụng cho mục đích giám sát và do đó đã được cài đặt trên mọi máy, mà tôi có thể tận dụng.

Ngoài ra, bạn chỉ có thể vô hiệu hóa tất cả các tài khoản Quản trị viên cục bộ thông qua GPO, điều này khá phổ biến. Nhưng nếu có sự cố xảy ra với đồng bộ hóa tên miền trên thành viên tên miền đó, việc khôi phục sẽ giống với PITA hơn là khi bạn có tài khoản "quản trị viên cục bộ" khôi phục.

Chỉnh sửa: Chỉ cần làm rõ: Tôi bối rối khi bạn nói rằng bạn đang "tìm kiếm một giải pháp không phải của bên thứ 3 mà ... có thể được phát triển trong nhà ..." Tôi sẽ xem xét bất cứ điều gì không được viết bởi Microsoft như một thành phần tích hợp của Windows trong ngữ cảnh này "bên thứ 3". Bạn có thể làm điều đó với một số mã thông minh sử dụng giao tiếp mạng TLS và lưu trữ các bí mật trong cơ sở dữ liệu SQL Server với mã hóa dữ liệu trong suốt với một số hàm băm phức tạp tạo mật khẩu duy nhất cho mỗi máy không? ĐÚNG. Có phải nó được tích hợp vào Windows mà không cần nỗ lực từ phía bạn không? KHÔNG. :)


Tôi đồng ý, nhưng tôi sẽ đề xuất một lựa chọn, chỉ vì nó miễn phí và tôi đã sử dụng nó nhiều lần với thành công tốt đẹp (nó không hoàn hảo nhưng vẫn còn). Tôi thực sự thích nó cập nhật trường "mô tả" với bất cứ điều gì bạn muốn (như ngày thay đổi và bởi ai): searchenterprisedesktop.techtarget.com/tip/ Kẻ
TheCleaner

1
@TheCleaner Đồng ý - có rất nhiều giải pháp của bên thứ ba, đó là quan điểm của tôi, nhưng không có gì "vượt trội" với Windows. Một nhà phát triển phần mềm thông minh có thể thực hiện điều này, nhưng, hãy cẩn thận rằng nó đáp ứng tất cả các yêu cầu bảo mật mà công ty và kiểm toán viên của bạn sẽ cần. Chẳng hạn như ... phần mềm này có truyền mật khẩu bằng văn bản rõ ràng qua mạng không? V.v.
Ryan Ries

0

Vâng, đối với tùy chọn GPO, Bài viết của Microsoft mà bạn đã chỉ ra ( http://code.msdn.microsoft.com/Solution-for-man Quản lý-of-ee44e789 ) chỉ định trong tài liệu của mình (tải xuống tệp Documentation.zip) này:

Chuyển mật khẩu từ máy tính được quản lý sang Active Directory được bảo vệ bởi Mã hóa Kerberos, do đó không thể biết mật khẩu bằng cách đánh hơi lưu lượng mạng.

Thông số kỹ thuật chi tiết - Quản lý mật khẩu của tài khoản Quản trị viên cục bộ - trang 5

Có thể định nghĩa bài viết không được cập nhật, vì vậy tôi nói bạn hãy xem tài liệu và có thể thực hiện một số thử nghiệm trong khi đánh hơi lưu lượng, theo cách đó bạn có thể chắc chắn.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.