Página 2 de 2
Re: ¿Una forma limpia de intercambiar contraseñas locales con WAPT?
Publicado: 4 de junio de 2018 - 17:59
por sfonteneau
Ah, no entendí, disculpa.
Tenemos un paquete que hace esto internamente.
El principio es el siguiente: ciframos la nueva contraseña usando la clave pública de cada máquina almacenada en el inventario wapt.
Cada estación de trabajo puede descifrar la contraseña con su clave privada y aplicarla a la máquina.
Ten en cuenta que la clave privada solo es accesible para los administradores locales de la estación de trabajo. Por lo tanto, solo los administradores locales de las estaciones de trabajo podrán leer la contraseña. Este par de claves se encuentra en wapt\private\.
Un método MUCHO más limpio es usar laps
https://blogs.technet.microsoft.com/arn ... tion-laps/
Sí, porque tener la misma contraseña local para todas las máquinas todavía no es muy limpio...
Simon
Re: ¿Una forma limpia de intercambiar contraseñas locales con WAPT?
Publicado: 5 de junio de 2018 - 11:18
por dcardon
Hola EricT,
Erict escribió: ↑4 de junio de 2018 - 16:51
Entiendo, pero mi solicitud inicial era cambiar correctamente la contraseña de administrador de la estación de trabajo, no la contraseña del servicio WAPT.
De todos modos, seguiré usando objetos de directiva de grupo (GPO) para eso.
¿Podrías explicar cómo se hace esto con las GPO? Me interesaría saber cómo se hace de forma segura. Aparte de LAPS, la única manera que se me ocurre es reutilizar hashes Kerberos compartidos, lo cual no es especialmente fácil.
Atentamente,
Denis
Re: ¿Una forma limpia de intercambiar contraseñas locales con WAPT?
Publicado: 5 de junio de 2018 - 20:56
por sfonteneau
Dado que el tema es interesante, he creado una prueba de concepto (POC) de una versión WAPT:
https://wapt.lesfourmisduweb.org/list_p ... de-in-wapt.
El principio es el siguiente: no es recomendable tener la misma contraseña de administrador en todas las máquinas.
Por lo tanto, el paquete genera una contraseña aleatoria y la asigna a la cuenta de administrador local.
A continuación, cifra esta contraseña con el certificado del paquete (el certificado de la persona que lo creó).
La contraseña aparece así cifrada en la salida del paquete en la consola.
Posteriormente, se puede leer la contraseña de la máquina utilizando la clave privada con la función `print_all_password`.
Podríamos
considerar integrar alguna función en la consola para descifrar rápidamente la salida del paquete. Esto permitiría a un administrador de WAPT recuperar fácilmente los datos confidenciales.
Como alternativa:
https://wapt.lesfourmisduweb.org/list_p ... ypt-sample
Re: ¿Una forma limpia de intercambiar contraseñas locales con WAPT?
Publicado: 29 de junio de 2018 - 13:15
por renaud.counhaye
Me gustaría proponer una solución alternativa porque tengo el mismo problema.
Usar la misma contraseña para la sesión de administrador no es lo ideal, pero es lo que queremos para una cuenta secundaria, que no se llama "Administrador".
Esta cuenta está en la mayoría de nuestras máquinas con el mismo nombre; el único problema es que las contraseñas cambian según la fecha de creación de la cuenta, lo cual resulta confuso.
No hay forma de usar un dominio GPO o LPAS porque algunas máquinas no tienen un dominio.
Mi idea es la siguiente: permitir que WAPT gestione los paquetes cifrados/protegidos con contraseña.
La extensión del archivo se cambia a .waptx, y cuando se implementa el paquete, el servidor proporciona al cliente el código de extracción definido previamente en el archivo .ini del servidor o durante su configuración.
Este mismo código debe proporcionarse al realizar una carga de compilación cifrada, además de la clave de cifrado y la contraseña de administrador del servidor.
Como alternativa, para simplificar el proceso, el código de extracción de descifrado podría ser el código de administrador del servidor. Sin embargo, esto crea una brecha de seguridad si la comunicación cliente-servidor puede leerse en texto plano.
Por lo tanto, cuando la persona X busca en su carpeta de caché o repositorio y descarga/abre un archivo .waptx, se le solicita una contraseña.
Esto protege el contenido del paquete de miradas indiscretas. ^__^
Saludos,
Ren.
Re: ¿Una forma limpia de intercambiar contraseñas locales con WAPT?
Publicado: 30 de junio de 2018 - 10:48
por sfonteneau
¿Has probado esto:
https://wapt.lesfourmisduweb.org/detail ... 4_all.wapt? Al pulsar
F9 en PyScript se genera el texto cifrado utilizando la clave pública de cada máquina. Encontrarás el texto cifrado en el archivo encrypt-txt.json.
Durante la instalación, cada máquina recuperará su entrada de cifrado según su UUID. A continuación, podrá descifrar el texto con su clave privada.
En tu ejemplo, el servidor se convierte en un activo sensible, ya que posee la contraseña.
(Además, este método no funcionaría para repositorios secundarios, que son simplemente servidores HTTP).