Qual é o método padrão da indústria para administrar a alteração da senha do administrador local para todas as máquinas em um domínio?

13

Embora pareçam ter três opções disponíveis, uma das quais é realmente segura, parece haver apenas duas opções disponíveis que poderão impactar máquinas que não estão ligadas no momento da mudança ou que são móveis e não eram na rede no momento da mudança. Nenhum dos dois parece ser uma opção segura. As três opções que conheço são:

  1. Iniciar scripts com .vbs
  2. GPO usando as preferências de política de grupo
  3. Script do Powershell como uma tarefa agendada.

Deixo a opção Powershell porque não sei como segmentar / iterar efetivamente e descartar máquinas já alteradas, todas as máquinas na rede e o impacto que isso teria em sobrecarga de rede desnecessária, embora seja provavelmente a melhor solução disponível, pois a própria senha pode ser armazenada em um contêiner CipherSafe.NET (solução de terceiros) e a senha passada para o script na máquina de destino. Eu não verifiquei se o Powershell pode obter uma senha do Gerenciador de Credenciais de uma máquina Windows local para usar no script ou se é possível armazenar uma senha ali para uso com o script.

A opção de script .vbs é insegura porque a senha é armazenada em texto não criptografado no compartilhamento SYSVOL, disponível para qualquer máquina de domínio na rede. Qualquer um que esteja procurando por uma porta dos fundos e com um pouco de Google encontrará essa porta se persistente o suficiente.

A opção GPO também é insegura, conforme observado por esta nota do MSDN: link

Estou em busca de uma solução que não seja de terceiros e que eu acho que deve estar disponível ou ser capaz de ser desenvolvida internamente com o conhecimento ou orientação correta.

    
por Sn3akyP3t3 20.06.2013 / 23:49

2 respostas

5

Eu vou em frente e levo meu comentário para responder.

Terá que ser de terceiros. Como você já apontou, nenhuma das três opções mencionadas é ótima. A Microsoft não fornece uma maneira perfeita de fazer isso. Não há apenas um. Será de terceiros e quase certamente envolverá a instalação de um agente de software em todos os seus clientes.

Eu desenvolvi uma solução para este problema exato (exceto que ele trabalhou em várias florestas e domínios simultaneamente) e envolveu o VBscript para compatibilidade máxima com o máximo de versões diferentes do Windows, bem como alguns bits C #, bem como um agente de software de terceiros que, felizmente, a empresa já estava usando para fins de monitoramento e, portanto, já estava instalado em todas as máquinas, que eu pude alavancar.

Como alternativa, você pode simplesmente desativar todas as contas de administrador local por meio do GPO, o que é bastante comum. Mas se algo der errado com a sincronização de domínio nesse membro do domínio, a recuperação será mais PITA do que se você tivesse uma conta de recuperação "admin local".

Edit: Só para esclarecer: Estou confuso quando você diz que está "procurando por uma solução não-terceirizada que ... deve ser capaz de ser desenvolvida internamente ..." Eu consideraria qualquer coisa que não fosse escrito pela Microsoft como um componente incorporado do Windows neste contexto "terceiros". Você pode fazê-lo com algum código inteligente que usa comunicações de rede TLS e armazena os segredos em um banco de dados do SQL Server com criptografia de dados transparente com alguma função hash complexa que gera uma senha exclusiva para cada máquina? SIM. Ele é incorporado ao Windows sem o esforço necessário de sua parte? NÃO. :)

    
por 20.06.2013 / 23:57
0

Bem, para a opção de GPO, o Artigo da Microsoft que você apontou ( link ) especifica em sua documentação (baixe o arquivo Documentation.zip):

Transfer of password from managed computer to Active Directory is protected by Kerberos Encryption, so it is not possible to know the password by sniffing the network traffic.

Especificação técnica detalhada - Gerenciamento de senha da conta de administrador local - página 5

Talvez a definição do artigo não esteja atualizada, por isso digo que você dê uma olhada na documentação e talvez faça alguns testes enquanto fareja o tráfego, dessa forma você pode ter certeza.

    
por 28.06.2013 / 07:53