Jump to content
Sign in to follow this  
takis.ch

Built-In Administrator auf Server daktivieren

Recommended Posts

Der einzig kritische Aspekt im Artikel. In typischen, mittelständischen Unternehmen sollte man das Attribut doch mit den richtigen Berechtigungen versehen können? Ein entsprechendes Tool, um die Berechtigungen des Attributs auslesen zu können liefert LAPS doch sogar mit.

 

Der Aspekt gelesen werden zu können... Jep..

 

"In dem hier diskutierten Szenario könnte es ausreichen, eine Vorgabe zum manuellen Setzen eines komplexen Kennworts zu machen...... Man könnte auch etwas LAPS-Ähnliches selbst bauen, z.B. einen Task, der lokal ein Kennwort generiert, es setzt und an einen geschützten Ort schreibt....."

 

... Das bringt mich auf eine Idee  :)

 

.Net bringt die Möglichkeit Daten zu verschlüsseln (System.Security.Cryptography), so müsste keine andere Software eingesetzt werden. Hier könnte ein Powershell-Skript geschrieben werden, welches ein Passwort generiert, lokal setzt, die Daten verschlüsselt und im Computer-Objekt ablegt. 

 

Nils, das wäre doch wieder ein Blog Eintrag wert bei Dir, oder? ;)  

Share this post


Link to post
Share on other sites

Hier könnte ein Powershell-Skript geschrieben werden, welches ein Passwort generiert, lokal setzt, die Daten verschlüsselt und im Computer-Objekt ablegt. 

 

Das Skript regelmäßig als Task laufen lassen und die verschlüsselten Passwörter auf ein Sharefile oder in eine DB schreiben. Nur mit dem Private-Key kommt man an die echten PWs ran.

Das geht sogar super gut :-).

Ist leider nicht mein Skript, daher kann ich es nicht rausgeben.

Share this post


Link to post
Share on other sites

Hallo zusammen,

 

es scheint wohl nicht wirklich Sinn zu machen den built-in admin zu deaktivieren (ohne andere Baustellen aufzureißen).

Somit bleibe ich bei unserer implementierten Lösung, den built-in admin aktiv zu behalten, ein komplexes Passwort automatisiert zu vergeben und dieses durch unsere "Privileged Identity Management Suite" verwalten zu lassen (das funktioniert auch bei DMZ-Server ohne AD).

 

Vielen Dank für eure Zeit und die Beiträge.

Schönes Wochenende

Takis

Share this post


Link to post
Share on other sites

Moin,

 


Nils, das wäre doch wieder ein Blog Eintrag wert bei Dir, oder? wink.gif  

 

nur zu.

 

Den Artikel kenne ich. Allerdings ist doch:

[...]

der einzig kritische Aspekt im Artikel.

 

ja, sicher. Man kann auch sagen, wenn jemand in den Urlaub fährt und seine Terrassentür offen lässt: Er hat doch alles richtig gemacht, das einzige was man kritisieren kann, ist die Terrassentür.

 

Also, ich weiß nicht, welche Unternehmen du so kennst. Von den Unternehmen, die ich in den letzten 20 Jahren in der IT betreut habe, würde ich es keinen fünf Prozent zutrauen, die LAPS-Prozesse umfassend und dauerhaft umzusetzen.

 

Gruß, Nils

Edited by NilsK

Share this post


Link to post
Share on other sites

nur zu.

 

Das wird mich zwar einige Nächte kosten aber einen guten Beitrag zur Sicherheit und IT-Community beitragen. :)  Vielleicht ist es auch was für den TO. Ich melde mich wieder hier, sobald es Neuerungen gibt. Vorschläge wo die Passwörter verschlüsselt abgelegt werden können, nehme ich gerne an.

Edited by MurdocX

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

Werbepartner:



×
×
  • Create New...