Executando métodos WMI por proxy - como posso manter as credenciais longe das mãos dos usuários?

Question

Executando métodos WMI por proxy - como posso manter as credenciais longe das mãos dos usuários?

#1 resposta do (2 votos)

2

O gerenciamento deseja que eu crie um script / aplicativo / artefato mágico antigo que permita que os técnicos de campo realizem uma tarefa em nosso servidor do Configuration Manager (atualizando associações de coleta - muito facilmente feitas por meio de chamadas WMI) sem realmente conceder aos técnicos permissões para conduzir dita tarefa. A primeira solução que vem à mente é criar uma conta de serviço que tenha as permissões necessárias e, em seguida, encontrar uma maneira de permitir que os técnicos executem comandos nessa conta sem realmente revelar as credenciais da conta de serviço para eles. Eu suponho que eu poderia fazer isso através de criptografia assimétrica para criptografar as credenciais, mas eu sou bastante ignorante sobre criptografia, então eu teria um tempo muito difícil com isso.

Outra opção que estou vendo é criar um provedor de método WMI personalizado que fará as chamadas WMI apropriadas para realizar a tarefa que preciso dentro de um conjunto de restrições que gostaria de aplicar aos técnicos usando a ferramenta que quer. Então, vou apenas registrar este provedor no servidor do ConfigManager e dar aos técnicos de campo permissões de "Métodos de Execução" para ele.

Antes de me aprofundar em quebrar o servidor SCCM da minha organização com lixo WMI customizado e louco que provavelmente será difícil para meus sucessores modificarem ou recriarem, há algo óbvio que esteja perdendo que torne isso estúpido ou inviável? Caso contrário, existem outras práticas comuns que eu não conheço que permitiriam o tipo de execução por proxy para nossos técnicos realizarem uma tarefa que eles especificamente não têm permissão para fazer?

security credentials wmi sccm

por Prosun 19.06.2014 / 00:05

1 resposta

Tags security credentials wmi sccm

Se cada máquina em um cluster de alta disponibilidade tiver o mesmo fuso horário? Existe um driver gráfico virtual baseado em software?

score 2 · Accepted Answer

O que você está falando é segurança através da obscuridade. Você quer que um grupo de técnicos tenha permissão para fazer alguma coisa, mas você não quer dar a eles acesso a um console grande e assustador com muitos botões que poderiam causar problemas se usados de maneira inadequada. Entendi. Mas é um pensamento falacioso porque é apenas um cobertor quentinho que se sente confortável, mas não aumenta a segurança.

Eu vejo isso com empresas o tempo todo; eles querem fornecer aos técnicos de help desk de nível inferior a capacidade de redefinir as senhas do AD, mas não desejam conceder-lhes acesso à ferramenta RSAT Usuários e Computadores do Active Directory. Então eles acabam criando uma página da web ou algum aplicativo de redefinição de senha que usa uma conta de serviço para fazer o trabalho. Você poderia argumentar que ele reduz a superfície de ataque em busca de malware (pois há apenas uma conta que você precisa proteger em vez de 20 ou mais), mas na realidade tudo o que você está fazendo é ocultar informações que um usuário nefasto poderia obter por outros meios de qualquer forma, se eles realmente quisessem.

O resultado é que você pode instalar o console do SCCM em uma estação de trabalho de tecnologia sem dar acesso ao servidor, e esse console é totalmente seguro. Você tem controle total sobre quem pode ver o quê. É um pouco de trabalho para acertar, mas certamente muito menos trabalho do que o insustentável script WMI de Rube Goldberg sobre o qual você está falando é.

Ensine a seus técnicos como usar o console adequadamente, estabelecer limites claros quanto ao escopo de suas responsabilidades e dar a eles permissões suficientes para executar seus trabalhos. Se eles encontrarem uma maneira de fazer acidentalmente algo que você não pretendia que eles pudessem fazer, a culpa é sua. Se eles deliberadamente fizerem algo que você não pretendia, eles devem ser demitidos (ou promovidos se eles fizerem algo habilmente útil sem quebrar nada).

Lobby duro com gerenciamento contra o uso de tecnologia para resolver um problema de pessoas. Ele acaba sendo mais trabalho para você no final, e os encoraja a pensar que a rede é mais segura do que realmente é.