Foro de TI tranquilo

Hola, ¿

existe alguna forma segura de cambiar la contraseña del administrador local en una máquina usando WAPT?
Con "segura" me refiero a que la contraseña no quede en la máquina después de la operación (sé cómo hacerlo con un script de PowerShell, pero si el paquete que contiene el script permanece en la máquina... no me parece una buena idea).
Sí, sé que se puede hacer con GPO, pero en mi caso no es adecuado (explicar el porqué aquí sería tedioso y bastante inútil).

Gracias de antemano

Buen día,

Ya sea un script de Powershell/Batch/VBS/Kix o un paquete WAPT, desde el punto de vista de la seguridad la solución no es viable ya que la contraseña deberá transmitirse en texto simple en algún momento.

Es conveniente en el momento recuperar el control de una máquina donde está instalado WAPT, pero es perjudicial si alguien se topa con el contenido del paquete en su repositorio.

ANSSI recomienda utilizar LAPS para que las contraseñas locales se almacenen dinámicamente en Active Directory y sean únicas para cada máquina:

• https://www.cert.ssi.gouv.fr/actualite/ ... 6-ACT-008/
• https://blogs.technet.microsoft.com/arn...tion-laps/

Atentamente,

Alejandro

PD: A aquellos que puedan verse tentados a recomendar CPAU, los invito a leer este post que detalla lo trivial que es descifrar un archivo generado por CPAU (certificado expirado): https://www.nth-dimension.org.uk/blog.php?id=90

erict escribió: ↑1 de junio de 2018 - 4:37 PM (explicar por qué aquí sería tedioso y bastante inútil).

Entiendo, sin embargo, que aún sería necesario que nos explicara su problema; esto quizás nos permita ofrecerle una solución más adecuada

sfonteneau escribió:

erict escribió: ↑1 de junio de 2018 - 4:37 PM (explicar por qué aquí sería tedioso y bastante inútil).

Entiendo, sin embargo, que aún sería necesario que nos explicara su problema; esto quizás nos permita ofrecerle una solución más adecuada

En pocas palabras: el uso de WAPT, en nuestro caso, pretende dar flexibilidad a los colegas que no tienen acceso a las GPO y permitirles actuar sobre configuraciones globales en las estaciones de trabajo que administran en sus sectores (particularmente salas de trabajo prácticas, por ejemplo).
Dicho esto, dado que las contraseñas no suelen necesitar cambiarse con regularidad ni urgencia, no es un punto crucial. Si hay una manera de hacerlo, úsela. De lo contrario, permanecerá dentro del ámbito de los Objetos de Directiva de Grupo (GPO).

Gracias por sus respuestas claras y completas.

Atentamente
E. Trezel

¿El uso del grupo waptselfservice no te funciona?

sfonteneau escribió: ¿No te funciona el grupo waptselfservice?

No, estamos en la versión comunitaria.

El grupo waptselfservice está disponible en la versión comunitaria.

Sin embargo, esta versión no permite definir la lista de paquetes a los que el usuario tiene acceso.

En la versión comunitaria, el usuario tiene acceso a todo o a nada.

sfonteneau escribió: ↑4 de junio de 2018 - 12:30 p. m. El grupo waptselfservice está disponible en la versión comunitaria.

Sin embargo, la versión comunitaria no permite definir la lista de paquetes a los que el usuario tiene acceso.

En la versión comunitaria, el usuario tiene acceso a todo o a nada.

Sí, efectivamente, estoy confundido. Sin embargo, no entiendo cómo esta funcionalidad podría abordar mi solicitud inicial y la restricción que describí. (El acceso a WAPT está disponible para todos los colegas que deseen usarlo (no me refiero a los usuarios finales), pero no para AD/GPO).

El grupo waptselfservice no necesariamente se crea en Active Directory.

Puede crearlo localmente en la máquina y agregar usuarios autorizados a este grupo (sin pasar por Active Directory).

También puede gestionarlo mediante un paquete de Wapt.

Como alternativa, puede gestionarlo con:

`waptservice_password =

https://www.wapt.fr/fr/doc/Configuratio ... agent-wapt`

Lo entiendo, pero mi solicitud inicial era cambiar la contraseña de administrador de la estación de trabajo, no la del servicio WAPT.

De todos modos, seguiré utilizando los objetos de directiva de grupo (GPO) para ello.

Gracias por su ayuda
.