Pagina 1 di 2
[RISOLTO] Qual è il modo più pulito per scambiare password locali con WAPT?
Pubblicato: 1 giugno 2018 - 16:37
di Eric
Salve,
esiste un modo pulito per cambiare la password dell'amministratore locale su una macchina utilizzando WAPT?
Per "pulito" intendo che la password non rimanga sulla macchina dopo l'operazione (so come farlo con uno script PowerShell, ma se il pacchetto contenente lo script rimane sulla macchina... non mi sembra una buona idea).
Sì, so che si può fare con le GPO, ma nel mio caso non è adatto (spiegare il perché qui sarebbe noioso e piuttosto inutile).
Grazie in anticipo
Re: Metodo pulito per scambiare password locali con WAPT?
Pubblicato: 1 giugno 2018 - 17:04
di agauvrit
Buongiorno,
Che si tratti di uno script Powershell/Batch/VBS/Kix o di un pacchetto WAPT, dal punto di vista della sicurezza la soluzione non è praticabile, poiché a un certo punto la password dovrà essere trasmessa in formato testo normale.
È comodo al momento riprendere il controllo di una macchina su cui è installato WAPT, ma può rivelarsi dannoso se qualcuno si imbatte nel contenuto del pacchetto nel repository.
ANSSI consiglia di utilizzare LAPS in modo che le password locali vengano archiviate dinamicamente in Active Directory e siano univoche per ogni macchina:
Sinceramente,
Alessandro
PS: Per coloro che potrebbero essere tentati di consigliare CPAU, invito a leggere questo post che spiega nel dettaglio quanto sia semplice decifrare un file generato da CPAU (certificato scaduto):
https://www.nth-dimension.org.uk/blog.php?id=90
Re: Metodo pulito per scambiare password locali con WAPT?
Pubblicato: 1 giugno 2018 - 17:22
di sfontenau
erict ha scritto: ↑1 giugno 2018 - 16:37
(spiegare il perché qui sarebbe noioso e piuttosto inutile).
Capisco, tuttavia, che dovresti comunque spiegarci il tuo problema; questo ci permetterà forse di fornirti una soluzione più adatta
Re: Metodo pulito per scambiare password locali con WAPT?
Pubblicato: 4 giugno 2018 - 09:53
di Eric
sfontenau ha scritto:
erict ha scritto: ↑1 giugno 2018 - 16:37
(spiegare il perché qui sarebbe noioso e piuttosto inutile).
Capisco, tuttavia, che dovresti comunque spiegarci il tuo problema; questo ci permetterà forse di fornirti una soluzione più adatta
In parole povere: l'uso di WAPT, nel nostro caso, dovrebbe dare flessibilità ai colleghi che non hanno accesso ai GPO e consentire loro di agire sulle configurazioni globali delle postazioni di lavoro che gestiscono nei loro settori (in particolare, le sale di lavoro pratiche, ad esempio).
Detto questo, poiché in genere le password non necessitano di essere modificate regolarmente o con urgenza, non si tratta di un punto cruciale. Se esiste un modo per farlo, usatelo. Altrimenti, rimarrà nell'ambito degli Oggetti Criteri di Gruppo (GPO).
Grazie per le tue risposte chiare e complete.
Sinceramente
E. Trezel
Re: Metodo pulito per scambiare password locali con WAPT?
Pubblicato: 4 giugno 2018 - 11:04
di sfontenau
L'utilizzo del gruppo waptselfservice non funziona?
Re: Metodo pulito per scambiare password locali con WAPT?
Pubblicato: 4 giugno 2018 - 12:10
di Eric
sfonteneau ha scritto:
L'utilizzo del gruppo waptselfservice non funziona per te?
No, siamo nella versione community.
Re: Metodo pulito per scambiare password locali con WAPT?
Pubblicato: 4 giugno 2018 - 12:30
di sfontenau
Il gruppo waptselfservice è disponibile nella versione community.
Tuttavia, la versione community non consente di definire l'elenco dei pacchetti a cui l'utente ha accesso.
Nella versione community, l'utente ha accesso a tutto o a niente.
Re: Metodo pulito per scambiare password locali con WAPT?
Pubblicato: 4 giugno 2018 - 14:19
di Eric
sfonteneau ha scritto: ↑4 giugno 2018 - 12:30
Il gruppo waptselfservice è disponibile nella versione community.
Tuttavia, la versione community non consente di definire l'elenco dei pacchetti a cui l'utente ha accesso.
Nella versione community, l'utente ha accesso a tutto o a niente.
Sì, in effetti sono confuso. Tuttavia, non capisco come questa funzionalità possa soddisfare la mia richiesta iniziale e il vincolo che ho descritto. (L'accesso a WAPT è offerto a tutti i colleghi che desiderano utilizzarlo (non mi riferisco agli utenti finali), ma non l'accesso ad AD/GPO).
Re: Metodo pulito per scambiare password locali con WAPT?
Pubblicato: 4 giugno 2018 - 14:34
di sfontenau
Il gruppo waptselfservice non viene necessariamente creato in Active Directory.
È possibile creare il gruppo waptselfservice localmente sulla macchina e aggiungere utenti autorizzati a questo gruppo (senza passare attraverso Active Directory).
È anche possibile gestirlo tramite un pacchetto Wapt.
In alternativa, è possibile gestirlo con:
`waptservice_password =
https://www.wapt.fr/fr/doc/Configuratio ... agent-wapt`
Re: Metodo pulito per scambiare password locali con WAPT?
Pubblicato: 4 giugno 2018 - 16:51
di Eric
Capisco, ma la mia richiesta iniziale era di cambiare la password di amministratore della workstation stessa, non la password del servizio WAPT.
Ad ogni modo, continuerò a utilizzare gli Oggetti Criteri di gruppo (GPO) per questo scopo.
Grazie per l'aiuto
.