Ah, non ho capito, scusa.
Abbiamo un pacchetto interno che fa proprio questo.
Il principio è il seguente: crittografiamo la nuova password utilizzando la chiave pubblica di ogni macchina memorizzata nell'inventario wapt.
Ogni workstation può quindi decrittografare la password con la propria chiave privata e applicarla alla macchina.
Tieni presente che la chiave privata è accessibile solo dagli amministratori locali della workstation. Pertanto, solo gli amministratori locali delle workstation saranno in grado di leggere la password. Questa coppia di chiavi si trova in wapt\private\.
Un metodo MOLTO più pulito è usare laps
https://blogs.technet.microsoft.com/arn ... tion-laps/
Sì, perché avere la stessa password locale per tutte le macchine non è comunque molto pulito...
Simon
[RISOLTO] Qual è il modo più pulito per scambiare password locali con WAPT?
Regole del forum
Regole del forum della community
* Supporto in inglese su www.reddit.com/r/wapt
* Supporto della community in francese disponibile su questo forum
* Si prega di anteporre [RISOLTO] al titolo dell'argomento se è stato risolto.
* Si prega di non modificare un argomento contrassegnato con [RISOLTO]. Aprire un nuovo argomento facendo riferimento a quello precedente.
* Specificare la versione di WAPT installata, la versione completa e il numero di build (2.2.1.11957 / 2.2.2.12337 / ecc.) nonché l'edizione Enterprise/Discovery.
* Le versioni 1.8.2 e precedenti non sono più supportate. Le uniche domande accettate relative alla versione 1.8.2 riguardano l'aggiornamento a una versione supportata (2.1, 2.2, ecc.).
* Specificare il sistema operativo del server (Linux/Windows) e la versione (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Specificare il sistema operativo della macchina di amministrazione/creazione dei pacchetti e della macchina con l'agente problematico, se applicabile (Windows 7/10/11/Debian 11/ecc.).
* Evitare di porre più domande quando si apre una discussione, altrimenti potrebbe essere ignorata. Se ci sono più discussioni, aprirle separatamente, preferibilmente una dopo l'altra e non tutte contemporaneamente (ovvero, non intasare il forum).
* Includere frammenti di codice, screenshot e altre immagini direttamente nel post. I link a Pastebin, Bitly e altri siti di terze parti verranno sistematicamente rimossi.
* Come in qualsiasi forum della community, il supporto è fornito volontariamente dai membri. Se si necessita di supporto commerciale, è possibile contattare il reparto vendite di Tranquil IT al numero 02.40.97.57.55
Regole del forum della community
* Supporto in inglese su www.reddit.com/r/wapt
* Supporto della community in francese disponibile su questo forum
* Si prega di anteporre [RISOLTO] al titolo dell'argomento se è stato risolto.
* Si prega di non modificare un argomento contrassegnato con [RISOLTO]. Aprire un nuovo argomento facendo riferimento a quello precedente.
* Specificare la versione di WAPT installata, la versione completa e il numero di build (2.2.1.11957 / 2.2.2.12337 / ecc.) nonché l'edizione Enterprise/Discovery.
* Le versioni 1.8.2 e precedenti non sono più supportate. Le uniche domande accettate relative alla versione 1.8.2 riguardano l'aggiornamento a una versione supportata (2.1, 2.2, ecc.).
* Specificare il sistema operativo del server (Linux/Windows) e la versione (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Specificare il sistema operativo della macchina di amministrazione/creazione dei pacchetti e della macchina con l'agente problematico, se applicabile (Windows 7/10/11/Debian 11/ecc.).
* Evitare di porre più domande quando si apre una discussione, altrimenti potrebbe essere ignorata. Se ci sono più discussioni, aprirle separatamente, preferibilmente una dopo l'altra e non tutte contemporaneamente (ovvero, non intasare il forum).
* Includere frammenti di codice, screenshot e altre immagini direttamente nel post. I link a Pastebin, Bitly e altri siti di terze parti verranno sistematicamente rimossi.
* Come in qualsiasi forum della community, il supporto è fornito volontariamente dai membri. Se si necessita di supporto commerciale, è possibile contattare il reparto vendite di Tranquil IT al numero 02.40.97.57.55
-
dcardon
- Esperto WAPT
- Messaggi: 1908
- Registrazione: 18 giugno 2014 - 09:58
- Ubicazione: Saint Sébastien sur Loire
- Contatto:
Ciao EricT,
Sinceramente,
Denis
Potresti spiegare come lo fai con i GPO? Mi piacerebbe sapere come lo fai in modo "sicuro". A parte LAPS, l'unico modo che mi viene in mente è riutilizzare gli hash Kerberos condivisi, il che non è particolarmente semplice.
Sinceramente,
Denis
Denis Cardon - Tranquil IT
Condividi le tue esperienze su WAPT! Inviaci gli URL dei tuoi blog e articoli nella "La tua opinione del forum e li pubblicheremo sul di WAPT
Condividi le tue esperienze su WAPT! Inviaci gli URL dei tuoi blog e articoli nella "La tua opinione del forum e li pubblicheremo sul di WAPT
Visto che l'argomento è interessante, ho creato una prova di concetto (POC) di una versione WAPT:
https://wapt.lesfourmisduweb.org/list_p ... de-in-wapt.
Il principio è il seguente: non è consigliabile avere la stessa password di amministratore su tutte le macchine.
Il pacchetto genera quindi una password casuale e la assegna all'account amministratore locale.
Successivamente, crittografa questa password con il certificato del pacchetto (il certificato della persona che ha creato il pacchetto).
La password appare quindi in forma crittografata nell'output del pacchetto nella console.
È quindi possibile leggere la password della macchina utilizzando la propria chiave privata con la funzione `print_all_password`.
Potremmo valutare l'integrazione di una funzionalità nella console per decrittografare rapidamente l'output di un pacchetto. Ciò consentirebbe a un amministratore WAPT di recuperare facilmente i dati sensibili.
In alternativa: https://wapt.lesfourmisduweb.org/list_p ... ypt-sample
https://wapt.lesfourmisduweb.org/list_p ... de-in-wapt.
Il principio è il seguente: non è consigliabile avere la stessa password di amministratore su tutte le macchine.
Il pacchetto genera quindi una password casuale e la assegna all'account amministratore locale.
Successivamente, crittografa questa password con il certificato del pacchetto (il certificato della persona che ha creato il pacchetto).
La password appare quindi in forma crittografata nell'output del pacchetto nella console.
È quindi possibile leggere la password della macchina utilizzando la propria chiave privata con la funzione `print_all_password`.
Potremmo valutare l'integrazione di una funzionalità nella console per decrittografare rapidamente l'output di un pacchetto. Ciò consentirebbe a un amministratore WAPT di recuperare facilmente i dati sensibili.
In alternativa: https://wapt.lesfourmisduweb.org/list_p ... ypt-sample
-
renaud.counhaye
- Messaggi: 31
- Iscrizioni: 13 dicembre 2017 - ore 11:45
Vorrei proporre una soluzione alternativa perché ho lo stesso problema.
Avere la stessa password per la sessione di amministratore non è l'ideale, ma è quello che vorremmo per un account "secondario", non chiamato "Amministratore".
Questo account è presente sulla maggior parte dei nostri computer con lo stesso nome, l'unico problema è che le password cambiano a seconda della data di creazione dell'account, e questo crea confusione.
Non è possibile utilizzare un GPO o un dominio LPAS perché alcuni computer non hanno un dominio.
La mia idea è questa: consentire a WAPT di gestire i pacchetti crittografati/protetti da password.
L'estensione del file viene modificata in .waptx e, quando il pacchetto viene distribuito, il server fornisce al client il codice di estrazione definito in precedenza nel file .ini del server o durante la sua configurazione.
Questo stesso codice deve essere fornito quando si esegue un caricamento di build crittografato, oltre alla chiave di crittografia e alla password di amministratore del server.
In alternativa, per semplificare il processo, il codice di estrazione per la decrittazione potrebbe essere il codice di amministratore del server. Tuttavia, questo crea una falla di sicurezza se la comunicazione client-server può essere letta in chiaro.
Pertanto, quando la persona X controlla la propria cartella cache o repository e scarica/apre un file .waptx, le viene richiesta una password.
Questo protegge il contenuto del pacchetto da occhi indiscreti. ^__^
Cordiali saluti,
Ren.
Avere la stessa password per la sessione di amministratore non è l'ideale, ma è quello che vorremmo per un account "secondario", non chiamato "Amministratore".
Questo account è presente sulla maggior parte dei nostri computer con lo stesso nome, l'unico problema è che le password cambiano a seconda della data di creazione dell'account, e questo crea confusione.
Non è possibile utilizzare un GPO o un dominio LPAS perché alcuni computer non hanno un dominio.
La mia idea è questa: consentire a WAPT di gestire i pacchetti crittografati/protetti da password.
L'estensione del file viene modificata in .waptx e, quando il pacchetto viene distribuito, il server fornisce al client il codice di estrazione definito in precedenza nel file .ini del server o durante la sua configurazione.
Questo stesso codice deve essere fornito quando si esegue un caricamento di build crittografato, oltre alla chiave di crittografia e alla password di amministratore del server.
In alternativa, per semplificare il processo, il codice di estrazione per la decrittazione potrebbe essere il codice di amministratore del server. Tuttavia, questo crea una falla di sicurezza se la comunicazione client-server può essere letta in chiaro.
Pertanto, quando la persona X controlla la propria cartella cache o repository e scarica/apre un file .waptx, le viene richiesta una password.
Questo protegge il contenuto del pacchetto da occhi indiscreti. ^__^
Cordiali saluti,
Ren.
Renaud Counhaye,
Tecnico di sistemi di rete,
Divisione Funzioni Centrali
, Gruppo Ymagis
Tecnico di sistemi di rete,
Divisione Funzioni Centrali
, Gruppo Ymagis
Hai provato questo:
https://wapt.lesfourmisduweb.org/detail ... 4_all.wapt? Premendo
F9 in PyScript viene generato il testo crittografato utilizzando la chiave pubblica di ciascuna macchina. Troverai il testo crittografato nel file encrypt-txt.json.
Durante l'installazione, ogni macchina recupererà la propria voce Encrypt in base al suo UUID. Sarà quindi in grado di decrittografare il testo con la propria chiave privata.
Nel tuo esempio, il server diventa una risorsa sensibile poiché possiede la password.
(Inoltre, questo metodo non funzionerebbe per i repository secondari, che sono semplicemente server HTTP.)
https://wapt.lesfourmisduweb.org/detail ... 4_all.wapt? Premendo
F9 in PyScript viene generato il testo crittografato utilizzando la chiave pubblica di ciascuna macchina. Troverai il testo crittografato nel file encrypt-txt.json.
Durante l'installazione, ogni macchina recupererà la propria voce Encrypt in base al suo UUID. Sarà quindi in grado di decrittografare il testo con la propria chiave privata.
Nel tuo esempio, il server diventa una risorsa sensibile poiché possiede la password.
(Inoltre, questo metodo non funzionerebbe per i repository secondari, che sono semplicemente server HTTP.)
