Was ist die branchenübliche Methode zum Verwalten der Änderung des lokalen Administratorkennworts für alle Computer in einer Domäne?

13

Obwohl anscheinend drei Optionen zur Verfügung stehen, von denen eine tatsächlich sicher ist, stehen anscheinend nur zwei zur Verfügung, die sich auf Maschinen auswirken können, die zum Zeitpunkt der Änderung nicht eingeschaltet waren oder mobil waren und nicht im Netzwerk waren zum Zeitpunkt der Änderung. Keiner der beiden scheint eine sichere Option zu sein. Die drei Optionen, die mir bekannt sind, sind:

  1. Startskripte mit .vbs
  2. Gruppenrichtlinienobjekt mit Gruppenrichtlinieneinstellungen
  3. Powershell-Skript als geplante Aufgabe.

Ich lehne die Powershell-Option ab, weil ich nicht weiß, wie ich alle Maschinen im Netzwerk effektiv ansteuern / iterieren und bereits geänderte Maschinen entlassen kann und welche Auswirkungen dies auf unnötigen Netzwerk-Overhead hätte, obwohl es wahrscheinlich die beste verfügbare Lösung ist da das Kennwort selbst in einem CipherSafe.NET-Container (3rd Party Solution) gespeichert und das Kennwort an das Skript an den Zielcomputer übergeben werden kann. Ich habe nicht geprüft, ob Powershell vom Anmeldeinformations-Manager eines lokalen Windows-Computers ein Kennwort zur Verwendung im Skript abrufen kann oder ob es möglich ist, dort ein Kennwort zur Verwendung mit dem Skript zu speichern.

Die .vbs-Skriptoption ist unsicher, da das Kennwort in der SYSVOL-Freigabe im Klartext gespeichert ist, die für jeden Domänencomputer im Netzwerk verfügbar ist. Jeder, der nach einer Hintertür sucht und ein bisschen Google hat, wird diese Tür finden, wenn er hartnäckig genug ist.

Die GPO-Option ist auch unsicher, wie in diesem MSDN-Hinweis angegeben: http://code.msdn.microsoft.com/Solution-for-management-of-ae44e789

Ich bin auf der Suche nach einer Lösung eines Drittanbieters, die meiner Meinung nach verfügbar sein sollte oder die mit dem richtigen Wissen oder der richtigen Anleitung im eigenen Haus entwickelt werden kann.

Sn3akyP3t3
quelle
Wie hier vorgeschlagen migriert: security.stackexchange.com/questions/36411/…
Sn3akyP3t3
1
Dies könnte geschlossen werden, aber ich hoffe es nicht. Das ist eine gute Frage.
MDMarra
In einem Fall haben wir mithilfe von Startskripten signalisiert, wann ein Computer online ist, und ein serverseitiges Skript verwendet, um eine Verbindung zum Computer herzustellen und das Kennwort entsprechend festzulegen. Dies ist jedoch immer noch anfällig für Netzwerk-Sniffing-Angriffe.
The-Wabbit

Antworten:

5

Ich werde weitermachen und meinen Kommentar an Answertown weiterleiten.

Es muss ein Drittanbieter sein. Wie Sie bereits betont haben, ist keine der drei genannten Optionen optimal. Microsoft bietet hierfür keine perfekte Möglichkeit. Es gibt einfach keinen. Es handelt sich um einen Drittanbieter, bei dem Sie mit ziemlicher Sicherheit einen Software-Agenten auf allen Ihren Clients installieren.

Ich habe eine Lösung für genau dieses Problem entwickelt (außer, dass es in vielen Gesamtstrukturen und Domänen gleichzeitig funktioniert hat) und VBscript für maximale Kompatibilität mit so vielen verschiedenen Windows-Versionen wie möglich sowie einigen C # -Bits und einem dritten verwendet Partysoftware-Agent, den das Unternehmen zum Glück bereits zu Überwachungszwecken einsetzte und der daher bereits auf jeder Maschine installiert war, die ich nutzen konnte.

Alternativ können Sie auch alle lokalen Administratorkonten über ein Gruppenrichtlinienobjekt deaktivieren, was ziemlich häufig vorkommt. Wenn jedoch bei der Domänensynchronisierung auf diesem Domänenmitglied ein Fehler auftritt, ist die Wiederherstellung eher ein PITA als ein lokales Administratorkonto für die Wiederherstellung.

Bearbeiten: Nur zur Verdeutlichung: Ich bin verwirrt, wenn Sie sagen, dass Sie "nach einer Lösung suchen, die nicht von einem Drittanbieter stammt und ... im eigenen Haus entwickelt werden sollte ...". Ich würde alles in Betracht ziehen, was nicht von Microsoft geschrieben wurde als eingebaute Komponente von Windows in diesem Zusammenhang "3rd Party". Können Sie dies mit cleverem Code tun, der die TLS-Netzwerkkommunikation verwendet und die Geheimnisse in einer SQL Server-Datenbank mit transparenter Datenverschlüsselung und einer komplexen Hash-Funktion speichert, die ein eindeutiges Kennwort für jeden Computer generiert? JA. Ist es in Windows integriert, ohne dass Ihr Aufwand erforderlich ist? NEIN. :)

Ryan Ries
quelle
Ich stimme zu, aber ich werde eine Wahl empfehlen, nur weil sie kostenlos ist und ich sie immer und immer wieder mit gutem Erfolg verwendet habe (sie ist nicht perfekt, aber immer noch). Ich mag es wirklich, dass es das Feld "Beschreibung" mit allem aktualisiert, was Sie wollen (wie Datum geändert und von wem): searchenterprisedesktop.techtarget.com/tip/…
TheCleaner
1
@TheCleaner Einverstanden - Es gibt viele Lösungen von Drittanbietern, worum es mir ging, aber nichts, was bei Windows "out of the box" ist. Ein cleverer Softwareentwickler kann dies ermöglichen. Achten Sie jedoch darauf, dass alle Sicherheitsanforderungen erfüllt werden, die Ihr Unternehmen und seine Prüfer benötigen. Wie ... überträgt diese Software das Passwort im Klartext über das Netzwerk? Etc.
Ryan Ries
0

Für die GPO-Option gibt der Microsoft-Artikel, auf den Sie hingewiesen haben ( http://code.msdn.microsoft.com/Solution-for-management-of-ae44e789 ), in seiner Dokumentation Folgendes an (laden Sie die Documentation.zip-Datei herunter):

Die Übertragung des Kennworts von einem verwalteten Computer zu Active Directory ist durch die Kerberos-Verschlüsselung geschützt, sodass das Kennwort nicht durch Aufspüren des Netzwerkverkehrs ermittelt werden kann.

Detaillierte technische Spezifikation - Verwaltung des Passworts des lokalen Administratorkontos - Seite 5

Vielleicht ist die Artikeldefinition nicht aktualisiert, also sollten Sie einen Blick in die Dokumentation werfen und möglicherweise einige Tests durchführen, während Sie den Datenverkehr abhören. Auf diese Weise können Sie sicher sein, dass dies der Fall ist.

Termiux
quelle