Hallo,
gibt es eine saubere Möglichkeit, das lokale Administratorkennwort auf einem Rechner mit WAPT zu ändern?
Mit „sauber“ meine ich, dass das Kennwort nach der Änderung nicht auf dem Rechner gespeichert wird (ich weiß, wie es mit einem PowerShell-Skript geht, aber wenn das Skriptpaket auf dem Rechner verbleibt, ist das keine gute Idee).
Ja, ich weiß, dass es mit Gruppenrichtlinienobjekten (GPOs) möglich ist, aber das ist in meinem Fall nicht geeignet (die Gründe hier zu erläutern, wäre umständlich und sinnlos).
Vielen Dank im Voraus
[GELÖST] Saubere Methode zum Austausch lokaler Passwörter mit WAPT?
Forumregeln
Community-Forumregeln
* Englischer Support auf www.reddit.com/r/wapt
* Französischer Community-Support ist in diesem Forum verfügbar.
* Bitte kennzeichnen Sie gelöste Themen mit [GELÖST].
* Bitte bearbeiten Sie keine Themen, die mit [GELÖST] markiert sind. Erstellen Sie stattdessen ein neues Thema und verweisen Sie auf das alte.
* Geben Sie die installierte WAPT-Version, die vollständige Versionsnummer und die Build-Nummer (2.2.1.11957 / 2.2.2.12337 / usw.) sowie die Enterprise-/Discovery-Edition an.
* Versionen 1.8.2 und älter werden nicht mehr unterstützt. Fragen zu Version 1.8.2 werden nur beantwortet, wenn sie sich auf ein Upgrade auf eine unterstützte Version (2.1, 2.2 usw.) beziehen.
* Geben Sie das Server-Betriebssystem (Linux/Windows) und die Version (Debian Buster/Bullseye – CentOS 7 – Windows Server 2012/2016/2019) an.
* Geben Sie gegebenenfalls das Betriebssystem des Administrations-/Paketerstellungsrechners und des Rechners mit dem problematischen Agenten an (Windows 7/10/11/Debian 11/etc.).
* Vermeiden Sie es, mehrere Fragen in einem Thema zu stellen, da diese sonst möglicherweise ignoriert werden. Falls mehrere Themen relevant sind, erstellen Sie bitte separate Themen, vorzugsweise nacheinander und nicht gleichzeitig (d. h. vermeiden Sie Spam im Forum).
* Fügen Sie Code-Snippets, Screenshots und andere Bilder direkt in Ihren Beitrag ein. Links zu Pastebin, Bitly und anderen Drittanbieterseiten werden systematisch entfernt.
* Wie in jedem Community-Forum erfolgt die Unterstützung freiwillig durch die Mitglieder. Für kommerziellen Support kontaktieren Sie bitte den Vertrieb von Tranquil IT unter +44 2 40 97 57 55.
Community-Forumregeln
* Englischer Support auf www.reddit.com/r/wapt
* Französischer Community-Support ist in diesem Forum verfügbar.
* Bitte kennzeichnen Sie gelöste Themen mit [GELÖST].
* Bitte bearbeiten Sie keine Themen, die mit [GELÖST] markiert sind. Erstellen Sie stattdessen ein neues Thema und verweisen Sie auf das alte.
* Geben Sie die installierte WAPT-Version, die vollständige Versionsnummer und die Build-Nummer (2.2.1.11957 / 2.2.2.12337 / usw.) sowie die Enterprise-/Discovery-Edition an.
* Versionen 1.8.2 und älter werden nicht mehr unterstützt. Fragen zu Version 1.8.2 werden nur beantwortet, wenn sie sich auf ein Upgrade auf eine unterstützte Version (2.1, 2.2 usw.) beziehen.
* Geben Sie das Server-Betriebssystem (Linux/Windows) und die Version (Debian Buster/Bullseye – CentOS 7 – Windows Server 2012/2016/2019) an.
* Geben Sie gegebenenfalls das Betriebssystem des Administrations-/Paketerstellungsrechners und des Rechners mit dem problematischen Agenten an (Windows 7/10/11/Debian 11/etc.).
* Vermeiden Sie es, mehrere Fragen in einem Thema zu stellen, da diese sonst möglicherweise ignoriert werden. Falls mehrere Themen relevant sind, erstellen Sie bitte separate Themen, vorzugsweise nacheinander und nicht gleichzeitig (d. h. vermeiden Sie Spam im Forum).
* Fügen Sie Code-Snippets, Screenshots und andere Bilder direkt in Ihren Beitrag ein. Links zu Pastebin, Bitly und anderen Drittanbieterseiten werden systematisch entfernt.
* Wie in jedem Community-Forum erfolgt die Unterstützung freiwillig durch die Mitglieder. Für kommerziellen Support kontaktieren Sie bitte den Vertrieb von Tranquil IT unter +44 2 40 97 57 55.
-
agauvrit
- WAPT-Experte
- Nachrichten: 238
- Anmeldung: 17. November 2016 - 10:25 Uhr
- Ort: Nantes
- Kontakt:
Guten Morgen,
Ob es sich um ein PowerShell-/Batch-/VBS-/Kix-Skript oder ein WAPT-Paket handelt, aus Sicherheitssicht ist die Lösung nicht praktikabel, da das Passwort irgendwann im Klartext übertragen werden muss.
Es ist zwar im Moment praktisch, die Kontrolle über einen Rechner wiederzuerlangen, auf dem WAPT installiert ist, aber nachteilig, wenn jemand zufällig auf den Paketinhalt in Ihrem Repository stößt.
ANSSI empfiehlt die Verwendung von LAPS, damit lokale Passwörter dynamisch in Active Directory gespeichert werden und für jeden Rechner eindeutig sind:
Alexander
PS: An alle, die vielleicht geneigt sind, CPAU zu empfehlen: Ich lade Sie ein, diesen Beitrag zu lesen, der detailliert beschreibt, wie trivial es ist, eine von CPAU erzeugte Datei zu entschlüsseln (abgelaufenes Zertifikat): https://www.nth-dimension.org.uk/blog.php?id=90
Ob es sich um ein PowerShell-/Batch-/VBS-/Kix-Skript oder ein WAPT-Paket handelt, aus Sicherheitssicht ist die Lösung nicht praktikabel, da das Passwort irgendwann im Klartext übertragen werden muss.
Es ist zwar im Moment praktisch, die Kontrolle über einen Rechner wiederzuerlangen, auf dem WAPT installiert ist, aber nachteilig, wenn jemand zufällig auf den Paketinhalt in Ihrem Repository stößt.
ANSSI empfiehlt die Verwendung von LAPS, damit lokale Passwörter dynamisch in Active Directory gespeichert werden und für jeden Rechner eindeutig sind:
- https://www.cert.ssi.gouv.fr/actualite/ ... 6-ACT-008/
- https://blogs.technet.microsoft.com/arn...tion-laps/
Alexander
PS: An alle, die vielleicht geneigt sind, CPAU zu empfehlen: Ich lade Sie ein, diesen Beitrag zu lesen, der detailliert beschreibt, wie trivial es ist, eine von CPAU erzeugte Datei zu entschlüsseln (abgelaufenes Zertifikat): https://www.nth-dimension.org.uk/blog.php?id=90
-
Sfonteneau
- WAPT-Experte
- Nachrichten: 2322
- Registriert: 10. Juli 2014 - 23:52 Uhr
- Kontakt:
Vereinfacht gesagt: Der Einsatz von WAPT soll in unserem Fall Kollegen, die keinen Zugriff auf GPOs haben, Flexibilität bieten und es ihnen ermöglichen, globale Konfigurationen an den von ihnen in ihren Bereichen verwalteten Arbeitsstationen (insbesondere in praktischen Arbeitsräumen) vorzunehmen.
Da Passwörter in der Regel nicht regelmäßig oder dringend geändert werden müssen, ist dies kein entscheidender Punkt. Falls möglich, nutzen Sie diese Möglichkeit. Andernfalls bleibt die Passwortänderung im Rahmen von Gruppenrichtlinienobjekten (GPOs).
Vielen Dank für Ihre klaren und vollständigen Antworten.
Aufrichtig
E. Trezel
-
Sfonteneau
- WAPT-Experte
- Nachrichten: 2322
- Registriert: 10. Juli 2014 - 23:52 Uhr
- Kontakt:
Funktioniert die Verwendung der waptselfservice-Gruppe bei Ihnen nicht?
-
Sfonteneau
- WAPT-Experte
- Nachrichten: 2322
- Registriert: 10. Juli 2014 - 23:52 Uhr
- Kontakt:
Die Gruppe „waptselfservice“ ist in der Community-Version verfügbar.
Allerdings erlaubt die Community-Version keine Festlegung der Paketliste, auf die der Benutzer Zugriff hat.
In der Community-Version hat der Benutzer entweder Zugriff auf alles oder auf nichts.
Allerdings erlaubt die Community-Version keine Festlegung der Paketliste, auf die der Benutzer Zugriff hat.
In der Community-Version hat der Benutzer entweder Zugriff auf alles oder auf nichts.
Ja, ich bin tatsächlich verwirrt. Ich verstehe jedoch nicht, wie diese Funktionalität meiner ursprünglichen Anfrage und der von mir beschriebenen Einschränkung gerecht werden soll. (Der Zugriff auf WAPT wird allen Kollegen gewährt, die es nutzen möchten (ich meine nicht Endbenutzer), der Zugriff auf AD/GPO jedoch nicht.).sfonteneau schrieb: ↑4. Juni 2018 - 12:30 Uhr Die Gruppe waptselfservice ist in der Community-Version verfügbar.
Allerdings erlaubt die Community-Version nicht, die Liste der Pakete festzulegen, auf die der Benutzer Zugriff hat.
In der Community-Version hat der Benutzer entweder Zugriff auf alles oder auf nichts.
-
Sfonteneau
- WAPT-Experte
- Nachrichten: 2322
- Registriert: 10. Juli 2014 - 23:52 Uhr
- Kontakt:
Die Gruppe „waptselfservice“ muss nicht zwingend in Active Directory erstellt werden.
Sie können die Gruppe lokal auf dem Rechner erstellen und autorisierte Benutzer hinzufügen (ohne Active Directory zu verwenden).
können Sie dies über ein Wapt-Paket verwalten.
Sie können dies auch mit folgendem Befehl tun:
`waptservice_password =
https://www.wapt.fr/fr/doc/Configuratio ... agent-wapt`
Sie können die Gruppe lokal auf dem Rechner erstellen und autorisierte Benutzer hinzufügen (ohne Active Directory zu verwenden).
können Sie dies über ein Wapt-Paket verwalten.
Sie können dies auch mit folgendem Befehl tun:
`waptservice_password =
https://www.wapt.fr/fr/doc/Configuratio ... agent-wapt`
Ich verstehe, aber meine ursprüngliche Anfrage bezog sich auf die Änderung des Administratorkennworts der Workstation selbst, nicht auf das WAPT-Dienstkennwort.
Ich werde dafür weiterhin Gruppenrichtlinienobjekte (GPOs) verwenden.
Vielen Dank für Ihre Hilfe
.
Ich werde dafür weiterhin Gruppenrichtlinienobjekte (GPOs) verwenden.
Vielen Dank für Ihre Hilfe
.
