MurdocX 953 Geschrieben 30. März 2016 Melden Teilen Geschrieben 30. März 2016 Der einzig kritische Aspekt im Artikel. In typischen, mittelständischen Unternehmen sollte man das Attribut doch mit den richtigen Berechtigungen versehen können? Ein entsprechendes Tool, um die Berechtigungen des Attributs auslesen zu können liefert LAPS doch sogar mit. Der Aspekt gelesen werden zu können... Jep.. "In dem hier diskutierten Szenario könnte es ausreichen, eine Vorgabe zum manuellen Setzen eines komplexen Kennworts zu machen...... Man könnte auch etwas LAPS-Ähnliches selbst bauen, z.B. einen Task, der lokal ein Kennwort generiert, es setzt und an einen geschützten Ort schreibt....." ... Das bringt mich auf eine Idee :) .Net bringt die Möglichkeit Daten zu verschlüsseln (System.Security.Cryptography), so müsste keine andere Software eingesetzt werden. Hier könnte ein Powershell-Skript geschrieben werden, welches ein Passwort generiert, lokal setzt, die Daten verschlüsselt und im Computer-Objekt ablegt. Nils, das wäre doch wieder ein Blog Eintrag wert bei Dir, oder? ;) Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 30. März 2016 Melden Teilen Geschrieben 30. März 2016 Hier könnte ein Powershell-Skript geschrieben werden, welches ein Passwort generiert, lokal setzt, die Daten verschlüsselt und im Computer-Objekt ablegt. Das Skript regelmäßig als Task laufen lassen und die verschlüsselten Passwörter auf ein Sharefile oder in eine DB schreiben. Nur mit dem Private-Key kommt man an die echten PWs ran. Das geht sogar super gut :-). Ist leider nicht mein Skript, daher kann ich es nicht rausgeben. Zitieren Link zu diesem Kommentar
takis.ch 10 Geschrieben 1. April 2016 Autor Melden Teilen Geschrieben 1. April 2016 Hallo zusammen, es scheint wohl nicht wirklich Sinn zu machen den built-in admin zu deaktivieren (ohne andere Baustellen aufzureißen). Somit bleibe ich bei unserer implementierten Lösung, den built-in admin aktiv zu behalten, ein komplexes Passwort automatisiert zu vergeben und dieses durch unsere "Privileged Identity Management Suite" verwalten zu lassen (das funktioniert auch bei DMZ-Server ohne AD). Vielen Dank für eure Zeit und die Beiträge. Schönes Wochenende Takis Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 2. April 2016 Melden Teilen Geschrieben 2. April 2016 (bearbeitet) Moin, Nils, das wäre doch wieder ein Blog Eintrag wert bei Dir, oder? nur zu. Den Artikel kenne ich. Allerdings ist doch: [...] der einzig kritische Aspekt im Artikel. ja, sicher. Man kann auch sagen, wenn jemand in den Urlaub fährt und seine Terrassentür offen lässt: Er hat doch alles richtig gemacht, das einzige was man kritisieren kann, ist die Terrassentür. Also, ich weiß nicht, welche Unternehmen du so kennst. Von den Unternehmen, die ich in den letzten 20 Jahren in der IT betreut habe, würde ich es keinen fünf Prozent zutrauen, die LAPS-Prozesse umfassend und dauerhaft umzusetzen. Gruß, Nils bearbeitet 2. April 2016 von NilsK Zitieren Link zu diesem Kommentar
MurdocX 953 Geschrieben 3. April 2016 Melden Teilen Geschrieben 3. April 2016 (bearbeitet) nur zu. Das wird mich zwar einige Nächte kosten aber einen guten Beitrag zur Sicherheit und IT-Community beitragen. :) Vielleicht ist es auch was für den TO. Ich melde mich wieder hier, sobald es Neuerungen gibt. Vorschläge wo die Passwörter verschlüsselt abgelegt werden können, nehme ich gerne an. bearbeitet 3. April 2016 von MurdocX Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.