Estoy trabajando en un mecanismo para manejar mejor las contraseñas de políticas de grupo en respuesta a MS14-025 . Anteriormente utilizamos este mecanismo para configurar las contraseñas de la cuenta de administrador local en nuestras estaciones de trabajo (principalmente Windows 7)
Con este fin (consulte el método que describí a continuación para obtener información específica) mi idea es cambiar el lado del cliente a través de una tarea programada y guardar la contraseña resultante en una unidad de red de acceso restringido. ¿Qué tipo de exposición estoy creando al permitir que estos cambios ocurran localmente, en lugar de salir de una ubicación central?
Lo único que se me ha ocurrido son los raspadores de memoria y la capacidad de manipular el generador de números aleatorios. Ambos ya deberían requerir derechos de administrador.
Fondo
Goals
- Evite almacenar contraseñas de texto sin formato en un elemento de GPP.
- Rotación en estas contraseñas
- Establezca una contraseña única por dispositivo (evite pasar los ataques de hash)
Método propuesto
- Configurar una tarea programada (implementada por preferencia de directiva de grupo, usando la cuenta del sistema)
- Programa mensual / trimestral / lo que sea
- Ejecutar en el inicio de sesión del administrador local, después de 30 minutos
- La tarea ejecuta un ejecutable / script que
- Establezca la contraseña de administrador en una cadena aleatoria
- Guarde la contraseña en un directorio de la red, usando el nombre de la computadora como referencia
- Habilite los derechos de auditoría / acceso restringido / etc en esta carpeta.
Combinado con un activador secundario, por ejemplo, 30 minutos después de que la cuenta de administrador local haya iniciado sesión, y tendríamos un método bastante decente para controlar estas cuentas con el beneficio adicional de saber quién está utilizando la cuenta de Administrador local.