Salve,
esiste un modo pulito per cambiare la password dell'amministratore locale su una macchina utilizzando WAPT?
Per "pulito" intendo che la password non rimanga sulla macchina dopo l'operazione (so come farlo con uno script PowerShell, ma se il pacchetto contenente lo script rimane sulla macchina... non mi sembra una buona idea).
Sì, so che si può fare con le GPO, ma nel mio caso non è adatto (spiegare il perché qui sarebbe noioso e piuttosto inutile).
Grazie in anticipo
[RISOLTO] Qual è il modo più pulito per scambiare password locali con WAPT?
Regole del forum
Regole del forum della community
* Supporto in inglese su www.reddit.com/r/wapt
* Supporto della community in francese disponibile su questo forum
* Si prega di anteporre [RISOLTO] al titolo dell'argomento se è stato risolto.
* Si prega di non modificare un argomento contrassegnato con [RISOLTO]. Aprire un nuovo argomento facendo riferimento a quello precedente.
* Specificare la versione di WAPT installata, la versione completa e il numero di build (2.2.1.11957 / 2.2.2.12337 / ecc.) nonché l'edizione Enterprise/Discovery.
* Le versioni 1.8.2 e precedenti non sono più supportate. Le uniche domande accettate relative alla versione 1.8.2 riguardano l'aggiornamento a una versione supportata (2.1, 2.2, ecc.).
* Specificare il sistema operativo del server (Linux/Windows) e la versione (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Specificare il sistema operativo della macchina di amministrazione/creazione dei pacchetti e della macchina con l'agente problematico, se applicabile (Windows 7/10/11/Debian 11/ecc.).
* Evitare di porre più domande quando si apre una discussione, altrimenti potrebbe essere ignorata. Se ci sono più discussioni, aprirle separatamente, preferibilmente una dopo l'altra e non tutte contemporaneamente (ovvero, non intasare il forum).
* Includere frammenti di codice, screenshot e altre immagini direttamente nel post. I link a Pastebin, Bitly e altri siti di terze parti verranno sistematicamente rimossi.
* Come in qualsiasi forum della community, il supporto è fornito volontariamente dai membri. Se si necessita di supporto commerciale, è possibile contattare il reparto vendite di Tranquil IT al numero 02.40.97.57.55
Regole del forum della community
* Supporto in inglese su www.reddit.com/r/wapt
* Supporto della community in francese disponibile su questo forum
* Si prega di anteporre [RISOLTO] al titolo dell'argomento se è stato risolto.
* Si prega di non modificare un argomento contrassegnato con [RISOLTO]. Aprire un nuovo argomento facendo riferimento a quello precedente.
* Specificare la versione di WAPT installata, la versione completa e il numero di build (2.2.1.11957 / 2.2.2.12337 / ecc.) nonché l'edizione Enterprise/Discovery.
* Le versioni 1.8.2 e precedenti non sono più supportate. Le uniche domande accettate relative alla versione 1.8.2 riguardano l'aggiornamento a una versione supportata (2.1, 2.2, ecc.).
* Specificare il sistema operativo del server (Linux/Windows) e la versione (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Specificare il sistema operativo della macchina di amministrazione/creazione dei pacchetti e della macchina con l'agente problematico, se applicabile (Windows 7/10/11/Debian 11/ecc.).
* Evitare di porre più domande quando si apre una discussione, altrimenti potrebbe essere ignorata. Se ci sono più discussioni, aprirle separatamente, preferibilmente una dopo l'altra e non tutte contemporaneamente (ovvero, non intasare il forum).
* Includere frammenti di codice, screenshot e altre immagini direttamente nel post. I link a Pastebin, Bitly e altri siti di terze parti verranno sistematicamente rimossi.
* Come in qualsiasi forum della community, il supporto è fornito volontariamente dai membri. Se si necessita di supporto commerciale, è possibile contattare il reparto vendite di Tranquil IT al numero 02.40.97.57.55
Buongiorno,
Che si tratti di uno script Powershell/Batch/VBS/Kix o di un pacchetto WAPT, dal punto di vista della sicurezza la soluzione non è praticabile, poiché a un certo punto la password dovrà essere trasmessa in formato testo normale.
È comodo al momento riprendere il controllo di una macchina su cui è installato WAPT, ma può rivelarsi dannoso se qualcuno si imbatte nel contenuto del pacchetto nel repository.
ANSSI consiglia di utilizzare LAPS in modo che le password locali vengano archiviate dinamicamente in Active Directory e siano univoche per ogni macchina:
Alessandro
PS: Per coloro che potrebbero essere tentati di consigliare CPAU, invito a leggere questo post che spiega nel dettaglio quanto sia semplice decifrare un file generato da CPAU (certificato scaduto): https://www.nth-dimension.org.uk/blog.php?id=90
Che si tratti di uno script Powershell/Batch/VBS/Kix o di un pacchetto WAPT, dal punto di vista della sicurezza la soluzione non è praticabile, poiché a un certo punto la password dovrà essere trasmessa in formato testo normale.
È comodo al momento riprendere il controllo di una macchina su cui è installato WAPT, ma può rivelarsi dannoso se qualcuno si imbatte nel contenuto del pacchetto nel repository.
ANSSI consiglia di utilizzare LAPS in modo che le password locali vengano archiviate dinamicamente in Active Directory e siano univoche per ogni macchina:
- https://www.cert.ssi.gouv.fr/actualite/ ... 6-ACT-008/
- https://blogs.technet.microsoft.com/arn...tion-laps/
Alessandro
PS: Per coloro che potrebbero essere tentati di consigliare CPAU, invito a leggere questo post che spiega nel dettaglio quanto sia semplice decifrare un file generato da CPAU (certificato scaduto): https://www.nth-dimension.org.uk/blog.php?id=90
In parole povere: l'uso di WAPT, nel nostro caso, dovrebbe dare flessibilità ai colleghi che non hanno accesso ai GPO e consentire loro di agire sulle configurazioni globali delle postazioni di lavoro che gestiscono nei loro settori (in particolare, le sale di lavoro pratiche, ad esempio).
Detto questo, poiché in genere le password non necessitano di essere modificate regolarmente o con urgenza, non si tratta di un punto cruciale. Se esiste un modo per farlo, usatelo. Altrimenti, rimarrà nell'ambito degli Oggetti Criteri di Gruppo (GPO).
Grazie per le tue risposte chiare e complete.
Sinceramente
E. Trezel
L'utilizzo del gruppo waptselfservice non funziona?
Il gruppo waptselfservice è disponibile nella versione community.
Tuttavia, la versione community non consente di definire l'elenco dei pacchetti a cui l'utente ha accesso.
Nella versione community, l'utente ha accesso a tutto o a niente.
Tuttavia, la versione community non consente di definire l'elenco dei pacchetti a cui l'utente ha accesso.
Nella versione community, l'utente ha accesso a tutto o a niente.
Sì, in effetti sono confuso. Tuttavia, non capisco come questa funzionalità possa soddisfare la mia richiesta iniziale e il vincolo che ho descritto. (L'accesso a WAPT è offerto a tutti i colleghi che desiderano utilizzarlo (non mi riferisco agli utenti finali), ma non l'accesso ad AD/GPO).sfonteneau ha scritto: ↑4 giugno 2018 - 12:30 Il gruppo waptselfservice è disponibile nella versione community.
Tuttavia, la versione community non consente di definire l'elenco dei pacchetti a cui l'utente ha accesso.
Nella versione community, l'utente ha accesso a tutto o a niente.
Il gruppo waptselfservice non viene necessariamente creato in Active Directory.
È possibile creare il gruppo waptselfservice localmente sulla macchina e aggiungere utenti autorizzati a questo gruppo (senza passare attraverso Active Directory).
È anche possibile gestirlo tramite un pacchetto Wapt.
In alternativa, è possibile gestirlo con:
`waptservice_password =
https://www.wapt.fr/fr/doc/Configuratio ... agent-wapt`
È possibile creare il gruppo waptselfservice localmente sulla macchina e aggiungere utenti autorizzati a questo gruppo (senza passare attraverso Active Directory).
È anche possibile gestirlo tramite un pacchetto Wapt.
In alternativa, è possibile gestirlo con:
`waptservice_password =
https://www.wapt.fr/fr/doc/Configuratio ... agent-wapt`
Capisco, ma la mia richiesta iniziale era di cambiare la password di amministratore della workstation stessa, non la password del servizio WAPT.
Ad ogni modo, continuerò a utilizzare gli Oggetti Criteri di gruppo (GPO) per questo scopo.
Grazie per l'aiuto
.
Ad ogni modo, continuerò a utilizzare gli Oggetti Criteri di gruppo (GPO) per questo scopo.
Grazie per l'aiuto
.
