Quelle est la méthode standard de l'industrie pour administrer la modification du mot de passe administrateur local pour toutes les machines d'un domaine?

13

Bien qu'il semble y avoir trois options disponibles, dont l'une est réellement sécurisée, il ne semble y avoir que deux choix disponibles qui pourront avoir un impact sur les machines qui ne sont pas sous tension au moment du changement ou qui sont mobiles et n'étaient pas sur le réseau au moment du changement. Aucun des deux ne semble être une option sûre. Les trois options que je connais sont:

  1. Scripts de démarrage avec .vbs
  2. GPO utilisant les préférences de stratégie de groupe
  3. Script Powershell en tant que tâche planifiée.

Je rejette l'option Powershell parce que je ne sais pas comment cibler / itérer efficacement et rejeter les machines déjà modifiées, toutes les machines sur le réseau et quel impact cela aurait sur la surcharge réseau inutile, même si c'est probablement la meilleure solution disponible car le mot de passe lui-même peut être stocké dans un conteneur CipherSafe.NET (solution tierce) et le mot de passe transmis au script sur la machine cible. Je n'ai pas vérifié si Powershell peut obtenir un mot de passe du gestionnaire d'informations d'identification d'une machine Windows locale à utiliser dans le script ou s'il est possible d'y stocker un mot de passe à utiliser avec le script.

L'option de script .vbs n'est pas sécurisée car le mot de passe est stocké en texte clair dans le partage SYSVOL qui est disponible pour n'importe quelle machine de domaine sur le réseau. Quiconque cherche à trouver une porte dérobée et avec un peu de Google trouvera cette porte si elle est suffisamment persistante.

L'option GPO est également non sécurisée, comme indiqué par cette note MSDN: http://code.msdn.microsoft.com/Solution-for-management-of-ae44e789

Je recherche une solution non tierce qui, je pense, devrait être disponible ou capable d'être développée en interne avec les bonnes connaissances ou les bons conseils.

Sn3akyP3t3
la source
Migration comme suggéré à partir d'ici: security.stackexchange.com/questions/36411/…
Sn3akyP3t3
1
Cela pourrait être fermé, mais j'espère que non. c'est une excellente question.
MDMarra
Dans un cas, nous avons utilisé des scripts de démarrage pour signaler quand une machine est en ligne et utilisé un script côté serveur pour se connecter à la machine et définir le mot de passe en conséquence. Cependant, cela est toujours sensible aux attaques de reniflement du réseau.
the-wabbit

Réponses:

5

Je vais aller de l'avant et apporter mon commentaire à la réponse.

Il faudra que ce soit un tiers. Comme vous l'avez déjà souligné, aucune des trois options que vous mentionnez n'est optimale. Microsoft ne fournit pas un moyen parfait de procéder. Il n'y en a tout simplement pas. Ce sera un tiers, et cela impliquera presque sûrement l'installation d'un agent logiciel sur tous vos clients.

J'ai développé une solution pour ce problème exact (sauf qu'il fonctionnait sur de nombreuses forêts et domaines simultanément) et qu'il impliquait VBscript pour une compatibilité maximale avec autant de versions différentes de Windows que possible, ainsi que certains bits C #, ainsi qu'une troisième agent logiciel de fête que la société utilisait déjà à des fins de surveillance et était donc déjà installé sur chaque machine, que j'ai pu exploiter.

Alternativement, vous pouvez simplement désactiver tous les comptes d'administrateur locaux via GPO, ce qui est assez courant. Mais si quelque chose ne va pas avec la synchronisation de domaine sur ce membre de domaine, la récupération sera plus un PITA que si vous aviez un compte "administrateur local" de récupération.

Edit: Juste pour clarifier: je suis confus lorsque vous dites que vous "recherchez une solution non tierce qui ... devrait pouvoir être développée en interne ..." Je considérerais tout ce qui n'est pas écrit par Microsoft en tant que composant intégré de Windows dans ce contexte "tiers". Pouvez-vous le faire avec un code intelligent qui utilise les communications réseau TLS et stocke les secrets dans une base de données SQL Server avec un cryptage de données transparent avec une fonction de hachage complexe qui génère un mot de passe unique pour chaque machine? OUI. Est-il intégré à Windows sans aucun effort de votre part? NON. :)

Ryan Ries
la source
Je suis d'accord, mais je recommanderai un choix, uniquement parce qu'il est gratuit et que je l'ai utilisé maintes et maintes fois avec succès (ce n'est pas parfait mais quand même). J'aime vraiment qu'il mette à
TheCleaner
1
@TheCleaner Accepted - il existe de nombreuses solutions tierces, ce qui était mon point de vue, mais rien qui ne soit "prêt à l'emploi" avec Windows. Un développeur de logiciels intelligent peut y arriver, mais veillez à ce qu'il réponde à toutes les exigences de sécurité dont votre entreprise et ses auditeurs auront besoin. Tels que ... ce logiciel transmet-il le mot de passe en texte clair sur le réseau? Etc. etc.
Ryan Ries
0

Eh bien pour l'option GPO, l'article Microsoft que vous avez souligné ( http://code.msdn.microsoft.com/Solution-for-management-of-ae44e789 ) spécifie dans sa documentation (téléchargez le fichier Documentation.zip) ceci:

Le transfert du mot de passe de l'ordinateur géré vers Active Directory est protégé par Kerberos Encryption, il n'est donc pas possible de connaître le mot de passe en reniflant le trafic réseau.

Spécifications techniques détaillées - Gestion du mot de passe du compte administrateur local - page 5

Peut-être que la définition de l'article n'est pas mise à jour, donc je dis que vous jetez un œil à la documentation et peut-être faites des tests tout en reniflant le trafic, de cette façon vous pouvez en être sûr.

Termiux
la source