도메인의 모든 컴퓨터에 대한 로컬 관리자 암호 변경을 관리하기위한 업계 표준 방법은 무엇입니까?

사용 가능한 옵션이 세 가지로 보이지만 그 중 하나는 실제로 안전하지만 변경 시점에 전원이 켜지지 않았거나 모바일 상태이고 네트워크에 있지 않은 시스템에 영향을 줄 수있는 두 가지 선택 사항 만있는 것 같습니다 변경시. 두 가지 중 어느 것도 안전한 옵션으로 보이지 않습니다. 내가 알고있는 세 가지 옵션은 다음과 같습니다.

1. .vbs가 포함 된 시작 스크립트
2. 그룹 정책 기본 설정을 사용하는 GPO
3. 예약 된 작업으로서의 Powershell 스크립트.

Powershell 옵션은 효과적으로 타겟팅 / 추적하는 방법을 모르고 이미 변경된 시스템, 네트워크의 모든 시스템 및 불필요한 네트워크 오버 헤드에 미치는 영향을 알 수 없기 때문에 사용 가능한 솔루션 일 수 있습니다. 암호 자체는 CipherSafe.NET (타사 솔루션) 컨테이너에 저장 될 수 있고 암호는 스크립트로 대상 컴퓨터로 전달됩니다. Powershell이 ​​로컬 Windows 컴퓨터의 자격 증명 관리자에서 암호를 사용하여 스크립트에 사용할 수 있는지 또는 스크립트와 함께 사용할 암호를 저장할 수 있는지 확인하지 않았습니다.

암호는 네트워크의 모든 도메인 컴퓨터에서 사용할 수있는 SYSVOL 공유에 일반 텍스트로 저장되므로 .vbs 스크립트 옵션은 안전하지 않습니다. 뒷문을 찾고 있고 약간의 구글을 가진 사람이라면 충분히 지속된다면 그 문을 찾을 것입니다.

이 MSDN 참고 사항에서 언급 한 GPO 옵션도 안전하지 않습니다. http://code.msdn.microsoft.com/Solution-for-management-of-ae44e789

올바른 지식이나 지침으로 사내에서 사용할 수 있거나 개발할 수있는 타사 솔루션을 찾고 있습니다.

계속해서 답변을 타운에 내 의견을 들겠습니다.

타사 여야합니다. 이미 지적했듯이 언급 한 세 가지 옵션 중 어느 것도 최적이 아닙니다. Microsoft는이를 수행하는 완벽한 방법을 제공하지 않습니다. 하나도 없습니다. 타사 일 것이며 거의 모든 클라이언트에 소프트웨어 에이전트를 설치해야합니다.

나는이 정확한 문제에 대한 솔루션을 개발했으며 (많은 포리스트와 도메인에서 동시에 작동하는 것을 제외하고) VBscript는 가능한 많은 다른 버전의 Windows와 일부 C # 비트 및 3 번째와의 최대 호환성을 위해 관련되었습니다. 운 좋게도 회사가 이미 모니터링 목적으로 사용하고 있었으므로 모든 컴퓨터에 이미 설치되어 활용 가능한 파티 소프트웨어 에이전트입니다.

또는 GPO를 통해 모든 로컬 관리자 계정을 비활성화 할 수 있습니다. 그러나 해당 도메인 구성원의 도메인 동기화에 문제가있는 경우 복구 "로컬 관리자"계정이있는 것보다 PITA가 더 많이 복구됩니다.

편집 : 명확히하기 위해 : "사내에서 개발할 수있는 타사 솔루션을 찾고 있습니다 ..."라고 말하면 혼란 스럽습니다 .Microsoft에서 작성하지 않은 것을 고려할 것입니다. "제 3 자"라는 맥락에서 Windows의 기본 구성 요소로 TLS 네트워크 통신을 사용하고 각 컴퓨터에 대해 고유 한 암호를 생성하는 복잡한 해시 기능을 사용하여 투명한 데이터 암호화를 사용하여 비밀을 SQL Server 데이터베이스에 저장하는 영리한 코드로 할 수 있습니까? 예. 별도의 노력없이 Windows에 내장되어 있습니까? 아니. :)

GPO 옵션의 경우 귀하가 지적한 Microsoft 기사 ( http://code.msdn.microsoft.com/Solution-for-management-of-ae44e789 )는 설명서에 다음을 지정합니다 (Documentation.zip 파일 다운로드).

관리 컴퓨터에서 Active Directory 로의 암호 전송은 Kerberos 암호화로 보호되므로 네트워크 트래픽을 스니핑하여 암호를 알 수 없습니다.

자세한 기술 사양-로컬 관리자 계정의 비밀번호 관리-5 페이지

기사 정의가 업데이트되지 않았기 때문에 문서를 살펴보고 트래픽을 스니핑하면서 테스트를 수행한다고 확신 할 수 있습니다.