Com o boletim de segurança MS14-025 , o GPMC e as ferramentas relacionadas agora são corrigidos para não permitir mais o uso da configuração itens dentro de Prefs de Política de Grupo que incorporariam senhas ofuscadas. O boletim consulta KB256345 como solução alternativa usando o método "herdado" de configurar os Serviços do Windows usando a Diretiva de Grupo. Mas, até onde eu sei, esse método só permite que você defina as ACLs de segurança no serviço (e seu tipo de inicialização) ... não a conta na qual o serviço é executado. Eu adoraria ser provado errado.
Quais outras formas existem para configurar um serviço para ser executado como uma conta de serviço de domínio específica usando a política de grupo? Não podemos simplesmente tocar todas essas máquinas manualmente para configurar o serviço. Suponha, no momento, que não tenhamos outras ferramentas de gerenciamento de configuração baseadas no Windows para usar, e estamos presos à política de grupo e quaisquer outras ferramentas integradas disponíveis, como o Powershell.
Por enquanto, em nosso ambiente, simplesmente bloqueamos o patch no WSUS. Mas estou procurando uma solução de longo prazo. As senhas que estamos configurando dessa maneira são todas contas de baixo privilégio que não importam se suas senhas estão comprometidas.
Existe talvez uma solução utilizando contas de serviço gerenciado? Devemos chegar a algum tipo de solução baseada em powershell que rode na inicialização? Os GPOs que estamos usando se aplicam a grupos de computadores que nem todos têm o serviço instalado. Então, idealmente, essa solução não iniciará o spam do log de eventos com erros de política de grupo