Seite 1 von 2
[GELÖST] Saubere Methode zum Austausch lokaler Passwörter mit WAPT?
Veröffentlicht: 1. Juni 2018 - 16:37 Uhr
von Eric
Hallo,
gibt es eine saubere Möglichkeit, das lokale Administratorkennwort auf einem Rechner mit WAPT zu ändern?
Mit „sauber“ meine ich, dass das Kennwort nach der Änderung nicht auf dem Rechner gespeichert wird (ich weiß, wie es mit einem PowerShell-Skript geht, aber wenn das Skriptpaket auf dem Rechner verbleibt, ist das keine gute Idee).
Ja, ich weiß, dass es mit Gruppenrichtlinienobjekten (GPOs) möglich ist, aber das ist in meinem Fall nicht geeignet (die Gründe hier zu erläutern, wäre umständlich und sinnlos).
Vielen Dank im Voraus
Betreff: Saubere Methode zum Austausch lokaler Passwörter mit WAPT?
Veröffentlicht: 1. Juni 2018 - 17:04 Uhr
von agauvrit
Guten Morgen,
Ob es sich um ein PowerShell-/Batch-/VBS-/Kix-Skript oder ein WAPT-Paket handelt, aus Sicherheitssicht ist die Lösung nicht praktikabel, da das Passwort irgendwann im Klartext übertragen werden muss.
Es ist zwar im Moment praktisch, die Kontrolle über einen Rechner wiederzuerlangen, auf dem WAPT installiert ist, aber nachteilig, wenn jemand zufällig auf den Paketinhalt in Ihrem Repository stößt.
ANSSI empfiehlt die Verwendung von LAPS, damit lokale Passwörter dynamisch in Active Directory gespeichert werden und für jeden Rechner eindeutig sind:
Aufrichtig,
Alexander
PS: An alle, die vielleicht geneigt sind, CPAU zu empfehlen: Ich lade Sie ein, diesen Beitrag zu lesen, der detailliert beschreibt, wie trivial es ist, eine von CPAU erzeugte Datei zu entschlüsseln (abgelaufenes Zertifikat):
https://www.nth-dimension.org.uk/blog.php?id=90
Betreff: Saubere Methode zum Austausch lokaler Passwörter mit WAPT?
Veröffentlicht: 1. Juni 2018 - 17:22 Uhr
von Sfonteneau
erict schrieb: ↑1. Juni 2018 - 16:37 Uhr
(Hier zu erklären, warum, wäre mühsam und ziemlich sinnlos).
Ich verstehe jedoch, dass Sie uns Ihr Problem dennoch schildern müssen; dies wird uns möglicherweise ermöglichen, Ihnen eine besser geeignete Lösung anzubieten
Betreff: Saubere Methode zum Austausch lokaler Passwörter mit WAPT?
Veröffentlicht: 4. Juni 2018 - 9:53 Uhr
von Eric
Sfonteneau schrieb:
erict schrieb: ↑1. Juni 2018 - 16:37 Uhr
(Hier zu erklären, warum, wäre mühsam und ziemlich sinnlos).
Ich verstehe jedoch, dass Sie uns Ihr Problem dennoch schildern müssen; dies wird uns möglicherweise ermöglichen, Ihnen eine besser geeignete Lösung anzubieten
Vereinfacht gesagt: Der Einsatz von WAPT soll in unserem Fall Kollegen, die keinen Zugriff auf GPOs haben, Flexibilität bieten und es ihnen ermöglichen, globale Konfigurationen an den von ihnen in ihren Bereichen verwalteten Arbeitsstationen (insbesondere in praktischen Arbeitsräumen) vorzunehmen.
Da Passwörter in der Regel nicht regelmäßig oder dringend geändert werden müssen, ist dies kein entscheidender Punkt. Falls möglich, nutzen Sie diese Möglichkeit. Andernfalls bleibt die Passwortänderung im Rahmen von Gruppenrichtlinienobjekten (GPOs).
Vielen Dank für Ihre klaren und vollständigen Antworten.
Aufrichtig
E. Trezel
Betreff: Saubere Methode zum Austausch lokaler Passwörter mit WAPT?
Veröffentlicht: 4. Juni 2018 - 11:04 Uhr
von Sfonteneau
Funktioniert die Verwendung der waptselfservice-Gruppe bei Ihnen nicht?
Betreff: Saubere Methode zum Austausch lokaler Passwörter mit WAPT?
Veröffentlicht: 4. Juni 2018 - 12:10 Uhr
von Eric
sfonteneau schrieb:
Funktioniert die Nutzung der waptselfservice-Gruppe bei Ihnen nicht?
Nein, wir nutzen die Community-Version.
Betreff: Saubere Methode zum Austausch lokaler Passwörter mit WAPT?
Veröffentlicht: 4. Juni 2018 - 12:30 Uhr
von Sfonteneau
Die Gruppe „waptselfservice“ ist in der Community-Version verfügbar.
Allerdings erlaubt die Community-Version keine Festlegung der Paketliste, auf die der Benutzer Zugriff hat.
In der Community-Version hat der Benutzer entweder Zugriff auf alles oder auf nichts.
Betreff: Saubere Methode zum Austausch lokaler Passwörter mit WAPT?
Veröffentlicht: 4. Juni 2018 - 14:19 Uhr
von Eric
sfonteneau schrieb: ↑4. Juni 2018 - 12:30 Uhr
Die Gruppe waptselfservice ist in der Community-Version verfügbar.
Allerdings erlaubt die Community-Version nicht, die Liste der Pakete festzulegen, auf die der Benutzer Zugriff hat.
In der Community-Version hat der Benutzer entweder Zugriff auf alles oder auf nichts.
Ja, ich bin tatsächlich verwirrt. Ich verstehe jedoch nicht, wie diese Funktionalität meiner ursprünglichen Anfrage und der von mir beschriebenen Einschränkung gerecht werden soll. (Der Zugriff auf WAPT wird allen Kollegen gewährt, die es nutzen möchten (ich meine nicht Endbenutzer), der Zugriff auf AD/GPO jedoch nicht.).
Betreff: Saubere Methode zum Austausch lokaler Passwörter mit WAPT?
Veröffentlicht: 4. Juni 2018 - 14:34 Uhr
von Sfonteneau
Die Gruppe „waptselfservice“ muss nicht zwingend in Active Directory erstellt werden.
Sie können die Gruppe lokal auf dem Rechner erstellen und autorisierte Benutzer hinzufügen (ohne Active Directory zu verwenden).
können Sie dies über ein Wapt-Paket verwalten.
Sie können dies auch mit folgendem Befehl tun:
`waptservice_password =
https://www.wapt.fr/fr/doc/Configuratio ... agent-wapt`
Betreff: Saubere Methode zum Austausch lokaler Passwörter mit WAPT?
Veröffentlicht: 4. Juni 2018 – 16:51 Uhr
von Eric
Ich verstehe, aber meine ursprüngliche Anfrage bezog sich auf die Änderung des Administratorkennworts der Workstation selbst, nicht auf das WAPT-Dienstkennwort.
Ich werde dafür weiterhin Gruppenrichtlinienobjekte (GPOs) verwenden.
Vielen Dank für Ihre Hilfe
.