Jump to content
Melde dich an, um diesen Inhalt zu abonnieren  
takis.ch

Built-In Administrator auf Server daktivieren

Empfohlene Beiträge

Der einzig kritische Aspekt im Artikel. In typischen, mittelständischen Unternehmen sollte man das Attribut doch mit den richtigen Berechtigungen versehen können? Ein entsprechendes Tool, um die Berechtigungen des Attributs auslesen zu können liefert LAPS doch sogar mit.

 

Der Aspekt gelesen werden zu können... Jep..

 

"In dem hier diskutierten Szenario könnte es ausreichen, eine Vorgabe zum manuellen Setzen eines komplexen Kennworts zu machen...... Man könnte auch etwas LAPS-Ähnliches selbst bauen, z.B. einen Task, der lokal ein Kennwort generiert, es setzt und an einen geschützten Ort schreibt....."

 

... Das bringt mich auf eine Idee  :)

 

.Net bringt die Möglichkeit Daten zu verschlüsseln (System.Security.Cryptography), so müsste keine andere Software eingesetzt werden. Hier könnte ein Powershell-Skript geschrieben werden, welches ein Passwort generiert, lokal setzt, die Daten verschlüsselt und im Computer-Objekt ablegt. 

 

Nils, das wäre doch wieder ein Blog Eintrag wert bei Dir, oder? ;)  

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hier könnte ein Powershell-Skript geschrieben werden, welches ein Passwort generiert, lokal setzt, die Daten verschlüsselt und im Computer-Objekt ablegt. 

 

Das Skript regelmäßig als Task laufen lassen und die verschlüsselten Passwörter auf ein Sharefile oder in eine DB schreiben. Nur mit dem Private-Key kommt man an die echten PWs ran.

Das geht sogar super gut :-).

Ist leider nicht mein Skript, daher kann ich es nicht rausgeben.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo zusammen,

 

es scheint wohl nicht wirklich Sinn zu machen den built-in admin zu deaktivieren (ohne andere Baustellen aufzureißen).

Somit bleibe ich bei unserer implementierten Lösung, den built-in admin aktiv zu behalten, ein komplexes Passwort automatisiert zu vergeben und dieses durch unsere "Privileged Identity Management Suite" verwalten zu lassen (das funktioniert auch bei DMZ-Server ohne AD).

 

Vielen Dank für eure Zeit und die Beiträge.

Schönes Wochenende

Takis

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 


Nils, das wäre doch wieder ein Blog Eintrag wert bei Dir, oder? wink.gif  

 

nur zu.

 

Den Artikel kenne ich. Allerdings ist doch:

[...]

der einzig kritische Aspekt im Artikel.

 

ja, sicher. Man kann auch sagen, wenn jemand in den Urlaub fährt und seine Terrassentür offen lässt: Er hat doch alles richtig gemacht, das einzige was man kritisieren kann, ist die Terrassentür.

 

Also, ich weiß nicht, welche Unternehmen du so kennst. Von den Unternehmen, die ich in den letzten 20 Jahren in der IT betreut habe, würde ich es keinen fünf Prozent zutrauen, die LAPS-Prozesse umfassend und dauerhaft umzusetzen.

 

Gruß, Nils

bearbeitet von NilsK

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

nur zu.

 

Das wird mich zwar einige Nächte kosten aber einen guten Beitrag zur Sicherheit und IT-Community beitragen. :)  Vielleicht ist es auch was für den TO. Ich melde mich wieder hier, sobald es Neuerungen gibt. Vorschläge wo die Passwörter verschlüsselt abgelegt werden können, nehme ich gerne an.

bearbeitet von MurdocX

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Melde dich an, um diesen Inhalt zu abonnieren  

×