Qual é o método padrão do setor para administrar a alteração da senha do administrador local para todas as máquinas em um domínio?

13

Embora pareça haver três opções disponíveis, uma das quais é realmente segura, parece haver apenas duas opções disponíveis que poderão afetar as máquinas que não estão ligadas no momento da mudança ou são móveis e não estavam na rede no momento da mudança. Nenhum dos dois parece ser uma opção segura. As três opções que eu conheço são:

  1. Scripts de inicialização com .vbs
  2. GPO usando Preferências de Diretiva de Grupo
  3. Script do PowerShell como uma tarefa agendada.

Rejeito a opção Powershell porque não sei como direcionar / iterar efetivamente e descartar máquinas já alteradas, todas as máquinas na rede e que impacto isso teria em sobrecarga desnecessária da rede, mesmo que seja provavelmente a melhor solução disponível já que a senha em si pode ser armazenada em um contêiner CipherSafe.NET (solução de terceiros) e a senha passada para o script na máquina de destino. Não verifiquei se o Powershell pode obter uma senha do Credential Manager de uma máquina Windows local para usar no script ou se é possível armazenar uma senha lá para uso com o script.

A opção de script .vbs é insegura porque a senha é armazenada em texto não criptografado no compartilhamento SYSVOL, disponível para qualquer máquina de domínio na rede. Qualquer pessoa que esteja procurando uma porta dos fundos e com um pouco do Google encontrará essa porta se persistir o suficiente.

A opção GPO também é insegura conforme observado nesta observação do MSDN: http://code.msdn.microsoft.com/Solution-for-management-of-ae44e789

Estou procurando uma solução de terceiros que acho que deveria estar disponível ou capaz de ser desenvolvida internamente com o conhecimento ou orientação corretos.

Sn3akyP3t3
fonte
Migrado conforme sugerido aqui: security.stackexchange.com/questions/36411/…
Sn3akyP3t3
1
Isso pode ser fechado, mas espero que não. Esta é uma grande pergunta.
MDMarra
O que fizemos em um caso foi usar scripts de inicialização para sinalizar quando uma máquina está online e usar um script do lado do servidor para conectar-se à máquina e definir a senha de acordo. Isso ainda é suscetível a ataques de detecção de rede.
the-wabbit

Respostas:

5

Vou seguir em frente e levar meu comentário para responder.

Terá que ser de terceiros. Como você já apontou, nenhuma das três opções mencionadas é ideal. A Microsoft não fornece uma maneira perfeita de fazer isso. Simplesmente não há um. Será de terceiros e quase certamente envolverá a instalação de um agente de software em todos os seus clientes.

Desenvolvi uma solução para esse problema exato (exceto que funcionava em várias florestas e domínios simultaneamente) e envolveu o VBscript para compatibilidade máxima com o maior número possível de versões diferentes do Windows, além de alguns bits de C # e um terceiro agente de software de terceiros que felizmente a empresa já estava usando para fins de monitoramento e, portanto, já estava instalado em todas as máquinas, que eu era capaz de aproveitar.

Como alternativa, você pode simplesmente desativar todas as contas de administrador local via GPO, o que é bastante comum. Mas se algo der errado com a sincronização de domínio nesse membro, a recuperação será mais uma PITA do que se você tivesse uma conta de "administrador local" de recuperação.

Edit: Apenas para esclarecer: Estou confuso quando você diz que está "procurando uma solução de terceiros que ... deve poder ser desenvolvida internamente ..." Eu consideraria qualquer coisa que não seja escrita pela Microsoft como um componente interno do Windows neste contexto "de terceiros". Você pode fazer isso com algum código inteligente que usa as comunicações de rede TLS e armazena os segredos em um banco de dados do SQL Server com criptografia de dados transparente com alguma função de hash complexa que gera uma senha exclusiva para cada máquina? SIM. Ele está embutido no Windows sem nenhum esforço necessário de sua parte? NÃO. :)

Ryan Ries
fonte
Concordo, mas vou recomendar uma opção, apenas porque é gratuita e a usei repetidamente com bom sucesso (não é perfeito, mas ainda assim). Eu realmente gosto que atualiza o campo "descrição" com o que quiser (como data mudou e por quem): searchenterprisedesktop.techtarget.com/tip/...
TheCleaner
1
@ TheCleaner concordou - existem muitas soluções de terceiros por aí, que era o meu ponto, mas nada que sai "pronto para uso" com o Windows. Um desenvolvedor de software inteligente pode fazer isso acontecer, mas tenha cuidado para atender a todos os requisitos de segurança de que sua empresa e seus auditores precisarão. Como ... este software transmite a senha em texto não criptografado pela rede? Etc. etc.
Ryan Ries
0

Bem, para a opção GPO, o artigo da Microsoft que você apontou ( http://code.msdn.microsoft.com/Solution-for-management-of-ae44e789 ) especifica em sua documentação (faça o download do arquivo Documentation.zip):

A transferência de senha do computador gerenciado para o Active Directory é protegida pela criptografia Kerberos, portanto, não é possível saber a senha detectando o tráfego da rede.

Especificações técnicas detalhadas - Gerenciamento da senha da conta local do administrador - página 5

Talvez a definição do artigo não seja atualizada, então eu digo que você dê uma olhada na documentação e talvez faça alguns testes enquanto fareja o tráfego, dessa maneira você pode ter certeza.

Termiux
fonte