web-dev-qa-db-ja.com

ドメイン上のすべてのマシンのローカル管理者パスワードの変更を管理するための業界標準の方法は何ですか?

3つの利用可能なオプションがあり、そのうちの1つは実際には安全であるように見えますが、変更時に電源がオンになっていない、またはモバイルでネットワーク上にないマシンに影響を与えることができる利用可能な選択肢は2つしかないようです。変更時。 2つはどちらも安全なオプションではないようです。私が知っている3つのオプションは次のとおりです。

  1. .vbsを使用した起動スクリプト
  2. グループポリシー設定を使用するGPO
  3. スケジュールされたタスクとしてのPowershellスクリプト。

Powershellオプションを却下するのは、効果的にターゲットを設定/反復する方法がわからず、すでに変更されているマシン、ネットワーク上のすべてのマシン、および不要なネットワークオーバーヘッドにどのような影響があるかがわからないためです。パスワード自体はCipherSafe.NET(サードパーティソリューション)コンテナに保存でき、パスワードはスクリプトに渡されてターゲットマシンに渡されるためです。 PowershellがローカルWindowsマシンの資格情報マネージャーからパスワードを取得してスクリプトで使用できるかどうか、またはスクリプトで使用するためにパスワードをそこに保存できるかどうかを確認していません。

.vbsスクリプトオプションは、パスワードがネットワーク上のすべてのドメインマシンで使用可能なSYSVOL共有にクリアテキストで保存されているため、安全ではありません。バックドアを探していて、Googleを少し使っている人なら誰でも、十分に永続的であればそのドアを見つけるでしょう。

GPOオプションも、このMSDNノートに記載されているように安全ではありません: http://code.msdn.Microsoft.com/Solution-for-management-of-ae44e789

適切な知識やガイダンスがあれば、社内で利用できる、または開発できるはずのサードパーティ以外のソリューションを探しています。

active-directorygroup-policyscriptingpowershellpassword-management
13
Sn3akyP3t3

先に進んで、コメントをアンサータウンに持っていきます。

サードパーティである必要があります。あなたがすでに指摘したように、あなたが言及する3つのオプションのどれも最適ではありません。 Microsoftは、これを行うための完璧な方法を提供していません。 1つはありません。それはサードパーティであり、ほぼ確実にすべてのクライアントにソフトウェアエージェントをインストールする必要があります。

私はこの正確な問題の解決策を開発しました(多くのフォレストとドメインで同時に機能することを除いて)、可能な限り多くの異なるバージョンのWindowsとの互換性を最大化するためのVBscript、いくつかのC#ビット、および3番目のビットが含まれていました幸いなことに、会社がすでに監視目的で使用していたため、すべてのマシンにすでにインストールされていたパーティソフトウェアエージェントを活用することができました。

または、GPOを介してすべてのローカル管理者アカウントを無効にすることもできます。これは非常に一般的です。ただし、そのドメインメンバーのドメイン同期で問題が発生した場合、回復は、回復用の「ローカル管理者」アカウントを持っている場合よりもPITAになります。

編集:明確にするために:あなたが「...社内で開発できるはずのサードパーティ以外のソリューションを探している」と言うと混乱します...マイクロソフトによって書かれていないものは何でも考えますこのコンテキストでは、「サードパーティ」のWindowsの組み込みコンポーネントとして。 TLSネットワーク通信を使用し、各マシンに一意のパスワードを生成する複雑なハッシュ関数を使用して透過的なデータ暗号化を使用してSQL Serverデータベースにシークレットを格納する巧妙なコードでそれを行うことができますか?はい。それはあなたの側で努力を必要とせずにWindowsに組み込まれていますか?番号。 :)

5
Ryan Ries

GPOオプションについては、あなたが指摘したMicrosoftの記事( http://code.msdn.Microsoft.com/Solution-for-management-of-ae44e789 )そのドキュメント(Documentation.Zipファイルをダウンロード)でこれを指定します:

管理対象コンピュータからActiveDirectoryへのパスワードの転送は、Kerberos暗号化によって保護されているため、ネットワークトラフィックを盗聴してパスワードを知ることはできません。

詳細な技術仕様-ローカル管理者アカウントのパスワードの管理-5ページ

記事の定義が更新されていない可能性があるので、ドキュメントを確認し、トラフィックをスニッフィングしながらテストを行うと、確実になります。

0
Termiux