डोमेन पर सभी मशीनों के लिए स्थानीय व्यवस्थापक पासवर्ड को बदलने के लिए उद्योग मानक विधि क्या है?

13

हालांकि, तीन उपलब्ध विकल्प प्रतीत होते हैं, जिनमें से एक वास्तव में सुरक्षित है, केवल दो उपलब्ध विकल्प प्रतीत होते हैं जो उन मशीनों को प्रभावित करने में सक्षम होंगे जो परिवर्तन के समय संचालित नहीं हैं या मोबाइल हैं और नेटवर्क पर नहीं थे बदलाव के समय। दोनों में से कोई भी एक सुरक्षित विकल्प नहीं है। मैं जिन तीन विकल्पों से अवगत हूं:

  1. स्टार्टअप स्क्रिप्ट .vbs के साथ
  2. समूह नीति प्राथमिकता का उपयोग कर GPO
  3. एक निर्धारित कार्य के रूप में पॉवर्सशेल स्क्रिप्ट।

मैं पॉवर्सशेल विकल्प को खारिज कर देता हूं क्योंकि मुझे नहीं पता कि कैसे प्रभावी रूप से लक्षित / पुनरावृति करना है, और पहले से बदली हुई मशीनें, नेटवर्क पर सभी मशीनें और अनावश्यक नेटवर्क ओवरहेड पर क्या प्रभाव पड़ेगा, भले ही यह संभवतः सबसे अच्छा उपलब्ध समाधान है चूँकि पासवर्ड स्वयं ही एक सिफरसेफ़.नेट (तृतीय पक्ष समाधान) कंटेनर में संग्रहित किया जा सकता है और पासवर्ड स्क्रिप्ट को लक्षित मशीन तक पहुँचाया जाता है। मैंने यह देखने के लिए जाँच नहीं की है कि क्या Powershell को स्क्रिप्ट में उपयोग करने के लिए किसी स्थानीय विंडोज मशीन के क्रेडेंशियल मैनेजर से पासवर्ड मिल सकता है या यदि स्क्रिप्ट के साथ उपयोग करने के लिए वहां पासवर्ड स्टोर करना संभव है।

.Vbs स्क्रिप्ट विकल्प असुरक्षित है क्योंकि पासवर्ड SYSVOL शेयर में स्पष्ट पाठ में संग्रहीत है जो नेटवर्क पर किसी भी डोमेन मशीन के लिए उपलब्ध है। जो कोई भी पीछे के दरवाजे को ढूंढ रहा है और Google के एक बिट के साथ उस दरवाजे को ढूंढेगा यदि लगातार पर्याप्त है।

इस MSDN नोट के अनुसार GPO विकल्प भी असुरक्षित है: http://code.msdn.microsoft.com/Solution-for-management-of-ae44e789

मैं एक गैर-तृतीय पक्ष समाधान की खोज कर रहा हूं जो मुझे लगता है कि उपलब्ध होना चाहिए या सही ज्ञान या मार्गदर्शन के साथ घर में विकसित होने में सक्षम होना चाहिए।

active-directory  group-policy  scripting  powershell  password-management 
Sn3akyP3t3
स्रोत
माइग्रेट किए गए यहाँ से सुझाव दिया गया है: security.stackexchange.com/questions/36411/…
Sn3akyP3t3
1
यह बंद हो सकता है, लेकिन मुझे आशा है कि यह नहीं होगा। यह एक बड़ा सवाल है।
एमडीएमरा
हमने एक मामले में क्या किया है, जब मशीन ऑनलाइन होती है, तो सिग्नल के लिए स्टार्टअप स्क्रिप्ट का उपयोग कर रहा था और मशीन से कनेक्ट करने के लिए एक सर्वर-साइड स्क्रिप्ट का उपयोग किया और तदनुसार पासवर्ड सेट किया। यह अभी भी नेटवर्क सूँघने के हमलों के लिए अतिसंवेदनशील है, हालांकि।
द वाबिट

जवाबों:

5

मैं आगे बढ़ने जा रहा हूं और अपनी टिप्पणी को उत्तर देने के लिए ले जा रहा हूं।

उसे 3rd पार्टी होना होगा। जैसा कि आपने पहले ही बताया, आपके द्वारा उल्लिखित तीन विकल्पों में से कोई भी इष्टतम नहीं है। Microsoft ऐसा करने का एक सही तरीका प्रदान नहीं करता है। वहाँ सिर्फ एक नहीं है। यह तृतीय पक्ष होगा, और यह लगभग निश्चित रूप से आपको अपने सभी ग्राहकों पर एक सॉफ़्टवेयर एजेंट स्थापित करने में शामिल करेगा।

मैंने इस सटीक समस्या के लिए एक समाधान विकसित किया (इसके अलावा कई जंगलों और डोमेन पर एक साथ काम किया), और इसमें अधिकतम संगतता के लिए VBscript शामिल थी जिसमें विंडोज के विभिन्न संस्करणों के साथ-साथ कुछ C # बिट्स, साथ ही एक 3rd भी शामिल था। पार्टी सॉफ्टवेयर एजेंट जो सौभाग्य से कंपनी पहले से ही निगरानी उद्देश्यों के लिए उपयोग कर रहे थे और इसलिए पहले से ही प्रत्येक मशीन पर स्थापित किया गया था, जिसका मैं लाभ उठाने में सक्षम था।

वैकल्पिक रूप से, आप GPO के माध्यम से सभी स्थानीय व्यवस्थापक खातों को अक्षम कर सकते हैं, जो कि बहुत सामान्य है। लेकिन अगर उस डोमेन सदस्य पर डोमेन सिंक के साथ कुछ गलत हो जाता है, तो रिकवरी एक PITA से अधिक होगी यदि आपके पास "स्थानीय व्यवस्थापक" खाता पुनर्प्राप्ति था।

संपादित करें: बस स्पष्ट करने के लिए: जब आप कहते हैं कि मैं भ्रमित हूं, तो आप "एक गैर-तृतीय-पक्ष समाधान की खोज कर रहे हैं ... जिसे घर में विकसित किया जाना चाहिए ..." मैं कुछ भी विचार करूंगा जो Microsoft द्वारा लिखित नहीं है इस संदर्भ में विंडोज के एक घटक के रूप में बनाया "3 पार्टी।" क्या आप इसे कुछ चालाक कोड के साथ कर सकते हैं जो TLS नेटवर्क संचार का उपयोग करता है और कुछ जटिल हैश फ़ंक्शन के साथ पारदर्शी डेटा एन्क्रिप्शन के साथ SQL सर्वर डेटाबेस में रहस्यों को संग्रहीत करता है जो प्रत्येक मशीन के लिए एक अद्वितीय पासवर्ड उत्पन्न करता है? हाँ। क्या यह आपकी ओर से आवश्यक प्रयास के साथ विंडोज में बनाया गया है? नहीं। :)

रयान रीस
स्रोत
मैं सहमत हूं, लेकिन मैं एक विकल्प की सिफारिश करूंगा, केवल इसलिए कि यह मुफ़्त है और मैंने इसे अच्छी सफलता के साथ और अधिक उपयोग किया है (यह सही नहीं है लेकिन अभी भी है)। मुझे वास्तव में यह पसंद है कि यह "विवरण" फ़ील्ड को अपडेट करता है जो आप चाहते हैं (जैसे तिथि बदली और किसके द्वारा): searchenterprisedesktop.techtarget.com/tip/…
TheCleaner
1
@ TheCleaner सहमत - वहाँ तीसरे पक्ष के समाधान के बहुत सारे हैं, जो मेरी बात थी, लेकिन कुछ भी नहीं है जो विंडोज के साथ "बॉक्स से बाहर" आता है। एक चतुर सॉफ्टवेयर डेवलपर ऐसा कर सकता है, लेकिन, सावधान रहें कि यह उन सभी सुरक्षा आवश्यकताओं को पूरा करता है जो आपकी कंपनी और उसके लेखा परीक्षकों की आवश्यकता होगी। जैसे ... क्या यह सॉफ़्टवेयर नेटवर्क पर स्पष्ट पाठ में पासवर्ड संचारित करता है? आदि आदि
रयान रीज़
0

आपके द्वारा बताए गए Microsoft आलेख के लिए GPO विकल्प के लिए ( http://code.msdn.microsoft.com/Solution-for-management-of-ae44e789 ) इसके प्रलेखन में निर्दिष्ट करता है (डॉक्यूमेंटेशन.ज़िप फ़ाइल डाउनलोड करें):

प्रबंधित कंप्यूटर से पासवर्ड को सक्रिय निर्देशिका में स्थानांतरित करना केर्बोस एन्क्रिप्शन द्वारा संरक्षित है, इसलिए नेटवर्क ट्रैफ़िक को सूँघकर पासवर्ड जानना संभव नहीं है।

विस्तृत तकनीकी विशिष्टता - स्थानीय प्रशासक खाते के पासवर्ड का प्रबंधन - पृष्ठ ५

हो सकता है कि लेख परिभाषा अपडेट नहीं की गई है, इसलिए मैं कहता हूं कि आप दस्तावेज़ पर एक नज़र डालें और शायद ट्रैफ़िक को सूँघते समय कुछ परीक्षण करें, इस तरह आप सुनिश्चित हो सकते हैं।

Termiux
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.