Apa metode standar industri untuk mengelola perubahan kata sandi administrator lokal untuk semua mesin di domain?

13

Meskipun tampaknya ada tiga opsi yang tersedia, salah satunya sebenarnya aman, tampaknya hanya ada dua pilihan yang tersedia yang akan dapat berdampak pada mesin yang tidak dinyalakan pada saat perubahan atau mobile dan tidak pada jaringan pada saat perubahan. Tak satu pun dari keduanya tampaknya menjadi opsi yang aman. Tiga opsi yang saya ketahui adalah:

  1. Skrip startup dengan .vbs
  2. GPO menggunakan Preferensi Kebijakan Grup
  3. Script Powershell sebagai tugas yang dijadwalkan.

Saya mengabaikan opsi Powershell karena saya tidak tahu cara menargetkan / beralih secara efektif, dan memberhentikan mesin yang sudah berubah, semua mesin di jaringan dan dampak apa yang akan terjadi pada overhead jaringan yang tidak perlu, meskipun itu mungkin solusi terbaik yang tersedia karena kata sandi itu sendiri dapat disimpan dalam wadah CipherSafe.NET (solusi pihak ketiga) dan kata sandi diteruskan ke skrip ke mesin yang ditargetkan. Saya belum memeriksa untuk melihat apakah Powershell bisa mendapatkan kata sandi dari Manajer Kredensial mesin Windows lokal untuk digunakan dalam skrip atau apakah mungkin untuk menyimpan kata sandi di sana untuk digunakan dengan skrip juga.

Opsi skrip .vbs tidak aman karena kata sandi disimpan dalam teks yang jelas di bagian SYSVOL yang tersedia untuk mesin domain apa pun di jaringan. Siapa pun yang mencari untuk menemukan pintu belakang dan dengan sedikit Google akan menemukan pintu itu jika cukup gigih.

Opsi GPO juga tidak aman seperti yang dicatat oleh catatan MSDN ini: http://code.msdn.microsoft.com/Solution-for-management-of-ae44e789

Saya mencari solusi pihak ketiga yang menurut saya harus tersedia atau dapat dikembangkan sendiri dengan pengetahuan atau panduan yang tepat.

Sn3akyP3t3
sumber
Bermigrasi seperti yang disarankan dari sini: security.stackexchange.com/questions/36411/…
Sn3akyP3t3
1
Ini mungkin ditutup, tapi saya harap tidak. Ini pertanyaan yang bagus.
MDMarra
Apa yang kami lakukan dalam satu kasus adalah menggunakan skrip startup untuk memberi sinyal ketika mesin online dan menggunakan skrip sisi server untuk terhubung ke mesin dan mengatur kata sandi yang sesuai. Ini masih rentan terhadap serangan jaringan sniffing.
the-wabbit

Jawaban:

5

Saya akan pergi ke depan dan membawa komentar saya ke answerertown.

Itu harus menjadi pihak ke-3. Seperti yang sudah Anda tunjukkan, tidak satu pun dari tiga opsi yang Anda sebutkan yang optimal. Microsoft tidak menyediakan cara sempurna untuk melakukan ini. Tidak ada satu pun. Ini akan menjadi pihak ketiga, dan hampir pasti melibatkan Anda menginstal agen perangkat lunak pada semua klien Anda.

Saya mengembangkan solusi untuk masalah yang tepat ini (kecuali itu bekerja di banyak hutan dan domain secara bersamaan,) dan itu memang melibatkan VBscript untuk kompatibilitas maksimum dengan sebanyak mungkin versi Windows yang berbeda, serta beberapa bit C #, serta ke-3 agen perangkat lunak pihak yang untungnya perusahaan sudah menggunakan untuk tujuan pemantauan dan karena itu sudah diinstal pada setiap mesin, yang saya dapat memanfaatkan.

Atau, Anda bisa menonaktifkan semua akun Admin lokal melalui GPO, yang sangat umum. Tetapi jika ada yang salah dengan sinkronisasi domain pada anggota domain itu, pemulihan akan lebih menjadi PITA daripada jika Anda memiliki akun "admin lokal" pemulihan.

Sunting: Hanya untuk memperjelas: Saya bingung ketika Anda mengatakan bahwa Anda "mencari solusi pihak ketiga yang ... harus dapat dikembangkan di rumah ..." Saya akan mempertimbangkan apa pun yang tidak ditulis oleh Microsoft sebagai komponen bawaan Windows dalam konteks ini "pihak ketiga." Bisakah Anda melakukannya dengan beberapa kode pintar yang menggunakan komunikasi jaringan TLS dan menyimpan rahasia dalam database SQL Server dengan enkripsi data transparan dengan beberapa fungsi hash kompleks yang menghasilkan kata sandi unik untuk setiap mesin? IYA. Apakah sudah terpasang pada Windows tanpa upaya yang diperlukan dari pihak Anda? TIDAK. :)

Ryan Ries
sumber
Saya setuju, tetapi saya akan merekomendasikan satu pilihan, hanya karena itu gratis dan saya telah menggunakannya berulang kali dengan kesuksesan yang baik (itu tidak sempurna tetapi masih). Aku benar-benar seperti itu update "description" lapangan dengan apa pun yang Anda inginkan (seperti tanggal berubah dan oleh siapa): searchenterprisedesktop.techtarget.com/tip/...
TheCleaner
1
@TheCleaner Setuju - ada banyak solusi pihak ketiga di luar sana, yang merupakan poin saya, tetapi tidak ada yang "keluar dari kotak" dengan Windows. Pengembang perangkat lunak yang pandai dapat mewujudkan hal ini, tetapi berhati-hatilah karena memenuhi semua persyaratan keamanan yang diperlukan oleh perusahaan Anda dan auditornya. Seperti ... apakah perangkat lunak ini mengirimkan kata sandi dalam teks yang jelas melalui jaringan? Dll dll.
Ryan Ries
0

Nah untuk opsi GPO, Artikel Microsoft yang Anda tunjukkan ( http://code.msdn.microsoft.com/Solution-for-management-of-ae44e789 ) menetapkan dalam dokumentasinya (unduh file Documentation.zip) ini:

Transfer kata sandi dari komputer yang dikelola ke Active Directory dilindungi oleh Enkripsi Kerberos, sehingga tidak mungkin untuk mengetahui kata sandi dengan mengendus lalu lintas jaringan.

Spesifikasi Teknis Terperinci - Manajemen kata sandi akun Administrator lokal - halaman 5

Mungkin definisi artikel tidak diperbarui, jadi saya katakan Anda melihat ke dokumentasi dan mungkin melakukan beberapa pengujian sambil mengendus lalu lintas, dengan cara itu Anda bisa yakin.

Termiux
sumber