Hola, ¿
existe alguna forma segura de cambiar la contraseña del administrador local en una máquina usando WAPT?
Con "segura" me refiero a que la contraseña no quede en la máquina después de la operación (sé cómo hacerlo con un script de PowerShell, pero si el paquete que contiene el script permanece en la máquina... no me parece una buena idea).
Sí, sé que se puede hacer con GPO, pero en mi caso no es adecuado (explicar el porqué aquí sería tedioso y bastante inútil).
Gracias de antemano
[RESUELTO] ¿Una forma limpia de intercambiar contraseñas locales con WAPT?
Reglas del foro
Reglas del foro de la comunidad
* Soporte en inglés en www.reddit.com/r/wapt
* El soporte de la comunidad en francés está disponible en este foro
* Por favor, anteponga [RESUELTO] al título del tema si está resuelto.
* Por favor, no edite un tema que esté etiquetado como [RESUELTO]. Abra un nuevo tema haciendo referencia al anterior.
* Especifique la versión de WAPT instalada, la versión completa y el número de compilación (2.2.1.11957 / 2.2.2.12337 / etc.), así como la edición Enterprise/Discovery.
* Las versiones 1.8.2 y anteriores ya no son compatibles. Las únicas preguntas aceptadas sobre la versión 1.8.2 están relacionadas con la actualización a una versión compatible (2.1, 2.2, etc.).
* Especifique el sistema operativo del servidor (Linux/Windows) y la versión (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Especifique el sistema operativo de la máquina de administración/creación de paquetes y de la máquina con el agente problemático, si corresponde (Windows 7/10/11/Debian 11/etc.).
* Evite hacer varias preguntas al abrir un tema, ya que podría ser ignorado. Si hay varios temas, ábralos por separado, preferiblemente uno tras otro y no todos a la vez (es decir, no sature el foro con spam).
* Incluya fragmentos de código, capturas de pantalla y otras imágenes directamente en la publicación. Los enlaces a Pastebin, Bitly y otros sitios de terceros serán eliminados sistemáticamente.
* Como en cualquier foro comunitario, el soporte es proporcionado voluntariamente por los miembros. Si necesita soporte comercial, puede comunicarse con el departamento de ventas de Tranquil IT al 02.40.97.57.55.
Reglas del foro de la comunidad
* Soporte en inglés en www.reddit.com/r/wapt
* El soporte de la comunidad en francés está disponible en este foro
* Por favor, anteponga [RESUELTO] al título del tema si está resuelto.
* Por favor, no edite un tema que esté etiquetado como [RESUELTO]. Abra un nuevo tema haciendo referencia al anterior.
* Especifique la versión de WAPT instalada, la versión completa y el número de compilación (2.2.1.11957 / 2.2.2.12337 / etc.), así como la edición Enterprise/Discovery.
* Las versiones 1.8.2 y anteriores ya no son compatibles. Las únicas preguntas aceptadas sobre la versión 1.8.2 están relacionadas con la actualización a una versión compatible (2.1, 2.2, etc.).
* Especifique el sistema operativo del servidor (Linux/Windows) y la versión (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Especifique el sistema operativo de la máquina de administración/creación de paquetes y de la máquina con el agente problemático, si corresponde (Windows 7/10/11/Debian 11/etc.).
* Evite hacer varias preguntas al abrir un tema, ya que podría ser ignorado. Si hay varios temas, ábralos por separado, preferiblemente uno tras otro y no todos a la vez (es decir, no sature el foro con spam).
* Incluya fragmentos de código, capturas de pantalla y otras imágenes directamente en la publicación. Los enlaces a Pastebin, Bitly y otros sitios de terceros serán eliminados sistemáticamente.
* Como en cualquier foro comunitario, el soporte es proporcionado voluntariamente por los miembros. Si necesita soporte comercial, puede comunicarse con el departamento de ventas de Tranquil IT al 02.40.97.57.55.
-
agauvrit
- Experto en WAPT
- Mensajes: 238
- Inscripción: 17 de noviembre de 2016 - 10:25
- Ubicación: Nantes
- Contacto :
Buen día,
Ya sea un script de Powershell/Batch/VBS/Kix o un paquete WAPT, desde el punto de vista de la seguridad la solución no es viable ya que la contraseña deberá transmitirse en texto simple en algún momento.
Es conveniente en el momento recuperar el control de una máquina donde está instalado WAPT, pero es perjudicial si alguien se topa con el contenido del paquete en su repositorio.
ANSSI recomienda utilizar LAPS para que las contraseñas locales se almacenen dinámicamente en Active Directory y sean únicas para cada máquina:
Alejandro
PD: A aquellos que puedan verse tentados a recomendar CPAU, los invito a leer este post que detalla lo trivial que es descifrar un archivo generado por CPAU (certificado expirado): https://www.nth-dimension.org.uk/blog.php?id=90
Ya sea un script de Powershell/Batch/VBS/Kix o un paquete WAPT, desde el punto de vista de la seguridad la solución no es viable ya que la contraseña deberá transmitirse en texto simple en algún momento.
Es conveniente en el momento recuperar el control de una máquina donde está instalado WAPT, pero es perjudicial si alguien se topa con el contenido del paquete en su repositorio.
ANSSI recomienda utilizar LAPS para que las contraseñas locales se almacenen dinámicamente en Active Directory y sean únicas para cada máquina:
- https://www.cert.ssi.gouv.fr/actualite/ ... 6-ACT-008/
- https://blogs.technet.microsoft.com/arn...tion-laps/
Alejandro
PD: A aquellos que puedan verse tentados a recomendar CPAU, los invito a leer este post que detalla lo trivial que es descifrar un archivo generado por CPAU (certificado expirado): https://www.nth-dimension.org.uk/blog.php?id=90
-
Sfonteneau
- Experto en WAPT
- Mensajes: 2312
- Registrado: 10 de julio de 2014 - 23:52
- Contacto :
En pocas palabras: el uso de WAPT, en nuestro caso, pretende dar flexibilidad a los colegas que no tienen acceso a las GPO y permitirles actuar sobre configuraciones globales en las estaciones de trabajo que administran en sus sectores (particularmente salas de trabajo prácticas, por ejemplo).
Dicho esto, dado que las contraseñas no suelen necesitar cambiarse con regularidad ni urgencia, no es un punto crucial. Si hay una manera de hacerlo, úsela. De lo contrario, permanecerá dentro del ámbito de los Objetos de Directiva de Grupo (GPO).
Gracias por sus respuestas claras y completas.
Atentamente
E. Trezel
-
Sfonteneau
- Experto en WAPT
- Mensajes: 2312
- Registrado: 10 de julio de 2014 - 23:52
- Contacto :
¿El uso del grupo waptselfservice no te funciona?
-
Sfonteneau
- Experto en WAPT
- Mensajes: 2312
- Registrado: 10 de julio de 2014 - 23:52
- Contacto :
El grupo waptselfservice está disponible en la versión comunitaria.
Sin embargo, esta versión no permite definir la lista de paquetes a los que el usuario tiene acceso.
En la versión comunitaria, el usuario tiene acceso a todo o a nada.
Sin embargo, esta versión no permite definir la lista de paquetes a los que el usuario tiene acceso.
En la versión comunitaria, el usuario tiene acceso a todo o a nada.
Sí, efectivamente, estoy confundido. Sin embargo, no entiendo cómo esta funcionalidad podría abordar mi solicitud inicial y la restricción que describí. (El acceso a WAPT está disponible para todos los colegas que deseen usarlo (no me refiero a los usuarios finales), pero no para AD/GPO).sfonteneau escribió: ↑4 de junio de 2018 - 12:30 p. m. El grupo waptselfservice está disponible en la versión comunitaria.
Sin embargo, la versión comunitaria no permite definir la lista de paquetes a los que el usuario tiene acceso.
En la versión comunitaria, el usuario tiene acceso a todo o a nada.
-
Sfonteneau
- Experto en WAPT
- Mensajes: 2312
- Registrado: 10 de julio de 2014 - 23:52
- Contacto :
El grupo waptselfservice no necesariamente se crea en Active Directory.
Puede crearlo localmente en la máquina y agregar usuarios autorizados a este grupo (sin pasar por Active Directory).
También puede gestionarlo mediante un paquete de Wapt.
Como alternativa, puede gestionarlo con:
`waptservice_password =
https://www.wapt.fr/fr/doc/Configuratio ... agent-wapt`
Puede crearlo localmente en la máquina y agregar usuarios autorizados a este grupo (sin pasar por Active Directory).
También puede gestionarlo mediante un paquete de Wapt.
Como alternativa, puede gestionarlo con:
`waptservice_password =
https://www.wapt.fr/fr/doc/Configuratio ... agent-wapt`
Lo entiendo, pero mi solicitud inicial era cambiar la contraseña de administrador de la estación de trabajo, no la del servicio WAPT.
De todos modos, seguiré utilizando los objetos de directiva de grupo (GPO) para ello.
Gracias por su ayuda
.
De todos modos, seguiré utilizando los objetos de directiva de grupo (GPO) para ello.
Gracias por su ayuda
.
