Ah, no entendí, disculpa.
Tenemos un paquete que hace esto internamente.
El principio es el siguiente: ciframos la nueva contraseña usando la clave pública de cada máquina almacenada en el inventario wapt.
Cada estación de trabajo puede descifrar la contraseña con su clave privada y aplicarla a la máquina.
Ten en cuenta que la clave privada solo es accesible para los administradores locales de la estación de trabajo. Por lo tanto, solo los administradores locales de las estaciones de trabajo podrán leer la contraseña. Este par de claves se encuentra en wapt\private\.
Un método MUCHO más limpio es usar laps
https://blogs.technet.microsoft.com/arn ... tion-laps/
Sí, porque tener la misma contraseña local para todas las máquinas todavía no es muy limpio...
Simon
[RESUELTO] ¿Una forma limpia de intercambiar contraseñas locales con WAPT?
Reglas del foro
Reglas del foro de la comunidad
* Soporte en inglés en www.reddit.com/r/wapt
* El soporte de la comunidad en francés está disponible en este foro
* Por favor, anteponga [RESUELTO] al título del tema si está resuelto.
* Por favor, no edite un tema que esté etiquetado como [RESUELTO]. Abra un nuevo tema haciendo referencia al anterior.
* Especifique la versión de WAPT instalada, la versión completa y el número de compilación (2.2.1.11957 / 2.2.2.12337 / etc.), así como la edición Enterprise/Discovery.
* Las versiones 1.8.2 y anteriores ya no son compatibles. Las únicas preguntas aceptadas sobre la versión 1.8.2 están relacionadas con la actualización a una versión compatible (2.1, 2.2, etc.).
* Especifique el sistema operativo del servidor (Linux/Windows) y la versión (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Especifique el sistema operativo de la máquina de administración/creación de paquetes y de la máquina con el agente problemático, si corresponde (Windows 7/10/11/Debian 11/etc.).
* Evite hacer varias preguntas al abrir un tema, ya que podría ser ignorado. Si hay varios temas, ábralos por separado, preferiblemente uno tras otro y no todos a la vez (es decir, no sature el foro con spam).
* Incluya fragmentos de código, capturas de pantalla y otras imágenes directamente en la publicación. Los enlaces a Pastebin, Bitly y otros sitios de terceros serán eliminados sistemáticamente.
* Como en cualquier foro comunitario, el soporte es proporcionado voluntariamente por los miembros. Si necesita soporte comercial, puede comunicarse con el departamento de ventas de Tranquil IT al 02.40.97.57.55.
Reglas del foro de la comunidad
* Soporte en inglés en www.reddit.com/r/wapt
* El soporte de la comunidad en francés está disponible en este foro
* Por favor, anteponga [RESUELTO] al título del tema si está resuelto.
* Por favor, no edite un tema que esté etiquetado como [RESUELTO]. Abra un nuevo tema haciendo referencia al anterior.
* Especifique la versión de WAPT instalada, la versión completa y el número de compilación (2.2.1.11957 / 2.2.2.12337 / etc.), así como la edición Enterprise/Discovery.
* Las versiones 1.8.2 y anteriores ya no son compatibles. Las únicas preguntas aceptadas sobre la versión 1.8.2 están relacionadas con la actualización a una versión compatible (2.1, 2.2, etc.).
* Especifique el sistema operativo del servidor (Linux/Windows) y la versión (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Especifique el sistema operativo de la máquina de administración/creación de paquetes y de la máquina con el agente problemático, si corresponde (Windows 7/10/11/Debian 11/etc.).
* Evite hacer varias preguntas al abrir un tema, ya que podría ser ignorado. Si hay varios temas, ábralos por separado, preferiblemente uno tras otro y no todos a la vez (es decir, no sature el foro con spam).
* Incluya fragmentos de código, capturas de pantalla y otras imágenes directamente en la publicación. Los enlaces a Pastebin, Bitly y otros sitios de terceros serán eliminados sistemáticamente.
* Como en cualquier foro comunitario, el soporte es proporcionado voluntariamente por los miembros. Si necesita soporte comercial, puede comunicarse con el departamento de ventas de Tranquil IT al 02.40.97.57.55.
-
Sfonteneau
- Experto en WAPT
- Mensajes: 2312
- Registrado: 10 de julio de 2014 - 23:52
- Contacto :
-
dcardón
- Experto en WAPT
- Mensajes: 1908
- Inscripción: 18 de junio de 2014 - 09:58
- Ubicación: Saint Sébastien sur Loire
- Contacto :
Hola EricT,
Atentamente,
Denis
¿Podrías explicar cómo se hace esto con las GPO? Me interesaría saber cómo se hace de forma segura. Aparte de LAPS, la única manera que se me ocurre es reutilizar hashes Kerberos compartidos, lo cual no es especialmente fácil.
Atentamente,
Denis
Denis Cardon - Tranquil IT
¡Comparte tus experiencias en WAPT! Envíanos las URL de tus blogs y artículos en la "Tu opinión del foro y los publicaremos en el de WAPT
¡Comparte tus experiencias en WAPT! Envíanos las URL de tus blogs y artículos en la "Tu opinión del foro y los publicaremos en el de WAPT
-
Sfonteneau
- Experto en WAPT
- Mensajes: 2312
- Registrado: 10 de julio de 2014 - 23:52
- Contacto :
Dado que el tema es interesante, he creado una prueba de concepto (POC) de una versión WAPT:
https://wapt.lesfourmisduweb.org/list_p ... de-in-wapt.
El principio es el siguiente: no es recomendable tener la misma contraseña de administrador en todas las máquinas.
Por lo tanto, el paquete genera una contraseña aleatoria y la asigna a la cuenta de administrador local.
A continuación, cifra esta contraseña con el certificado del paquete (el certificado de la persona que lo creó).
La contraseña aparece así cifrada en la salida del paquete en la consola.
Posteriormente, se puede leer la contraseña de la máquina utilizando la clave privada con la función `print_all_password`.
Podríamos considerar integrar alguna función en la consola para descifrar rápidamente la salida del paquete. Esto permitiría a un administrador de WAPT recuperar fácilmente los datos confidenciales.
Como alternativa: https://wapt.lesfourmisduweb.org/list_p ... ypt-sample
https://wapt.lesfourmisduweb.org/list_p ... de-in-wapt.
El principio es el siguiente: no es recomendable tener la misma contraseña de administrador en todas las máquinas.
Por lo tanto, el paquete genera una contraseña aleatoria y la asigna a la cuenta de administrador local.
A continuación, cifra esta contraseña con el certificado del paquete (el certificado de la persona que lo creó).
La contraseña aparece así cifrada en la salida del paquete en la consola.
Posteriormente, se puede leer la contraseña de la máquina utilizando la clave privada con la función `print_all_password`.
Podríamos considerar integrar alguna función en la consola para descifrar rápidamente la salida del paquete. Esto permitiría a un administrador de WAPT recuperar fácilmente los datos confidenciales.
Como alternativa: https://wapt.lesfourmisduweb.org/list_p ... ypt-sample
-
renaud.counhaye
- Mensajes: 31
- Inscripción: 13 de diciembre de 2017 - 11:45
Me gustaría proponer una solución alternativa porque tengo el mismo problema.
Usar la misma contraseña para la sesión de administrador no es lo ideal, pero es lo que queremos para una cuenta secundaria, que no se llama "Administrador".
Esta cuenta está en la mayoría de nuestras máquinas con el mismo nombre; el único problema es que las contraseñas cambian según la fecha de creación de la cuenta, lo cual resulta confuso.
No hay forma de usar un dominio GPO o LPAS porque algunas máquinas no tienen un dominio.
Mi idea es la siguiente: permitir que WAPT gestione los paquetes cifrados/protegidos con contraseña.
La extensión del archivo se cambia a .waptx, y cuando se implementa el paquete, el servidor proporciona al cliente el código de extracción definido previamente en el archivo .ini del servidor o durante su configuración.
Este mismo código debe proporcionarse al realizar una carga de compilación cifrada, además de la clave de cifrado y la contraseña de administrador del servidor.
Como alternativa, para simplificar el proceso, el código de extracción de descifrado podría ser el código de administrador del servidor. Sin embargo, esto crea una brecha de seguridad si la comunicación cliente-servidor puede leerse en texto plano.
Por lo tanto, cuando la persona X busca en su carpeta de caché o repositorio y descarga/abre un archivo .waptx, se le solicita una contraseña.
Esto protege el contenido del paquete de miradas indiscretas. ^__^
Saludos,
Ren.
Usar la misma contraseña para la sesión de administrador no es lo ideal, pero es lo que queremos para una cuenta secundaria, que no se llama "Administrador".
Esta cuenta está en la mayoría de nuestras máquinas con el mismo nombre; el único problema es que las contraseñas cambian según la fecha de creación de la cuenta, lo cual resulta confuso.
No hay forma de usar un dominio GPO o LPAS porque algunas máquinas no tienen un dominio.
Mi idea es la siguiente: permitir que WAPT gestione los paquetes cifrados/protegidos con contraseña.
La extensión del archivo se cambia a .waptx, y cuando se implementa el paquete, el servidor proporciona al cliente el código de extracción definido previamente en el archivo .ini del servidor o durante su configuración.
Este mismo código debe proporcionarse al realizar una carga de compilación cifrada, además de la clave de cifrado y la contraseña de administrador del servidor.
Como alternativa, para simplificar el proceso, el código de extracción de descifrado podría ser el código de administrador del servidor. Sin embargo, esto crea una brecha de seguridad si la comunicación cliente-servidor puede leerse en texto plano.
Por lo tanto, cuando la persona X busca en su carpeta de caché o repositorio y descarga/abre un archivo .waptx, se le solicita una contraseña.
Esto protege el contenido del paquete de miradas indiscretas. ^__^
Saludos,
Ren.
Renaud Counhaye,
Técnico de Sistemas de Red,
División de Funciones Centrales
, Grupo Ymagis
Técnico de Sistemas de Red,
División de Funciones Centrales
, Grupo Ymagis
-
Sfonteneau
- Experto en WAPT
- Mensajes: 2312
- Registrado: 10 de julio de 2014 - 23:52
- Contacto :
¿Has probado esto:
https://wapt.lesfourmisduweb.org/detail ... 4_all.wapt? Al pulsar
F9 en PyScript se genera el texto cifrado utilizando la clave pública de cada máquina. Encontrarás el texto cifrado en el archivo encrypt-txt.json.
Durante la instalación, cada máquina recuperará su entrada de cifrado según su UUID. A continuación, podrá descifrar el texto con su clave privada.
En tu ejemplo, el servidor se convierte en un activo sensible, ya que posee la contraseña.
(Además, este método no funcionaría para repositorios secundarios, que son simplemente servidores HTTP).
https://wapt.lesfourmisduweb.org/detail ... 4_all.wapt? Al pulsar
F9 en PyScript se genera el texto cifrado utilizando la clave pública de cada máquina. Encontrarás el texto cifrado en el archivo encrypt-txt.json.
Durante la instalación, cada máquina recuperará su entrada de cifrado según su UUID. A continuación, podrá descifrar el texto con su clave privada.
En tu ejemplo, el servidor se convierte en un activo sensible, ya que posee la contraseña.
(Además, este método no funcionaría para repositorios secundarios, que son simplemente servidores HTTP).
