Замена инструмента для смены пароля локального администратора?

Question

[Dewz]

На данный момент смена пароля лок.админа выполняется через pspasswd.exe. Исполняемый файл, в котором лежит логин и пароль зашифрован и имеет расширение exe (невозможно прочитать). Выполняется .exe через GPO (Автозагрузка). В ходе доработок по аудиту безопасности на пк пользователей, в журнале событий (безопасность) появился лог с сведением о процессе -

Командная строка процесса: pspasswd.exe admin Password  ...

Хотел бы поменять на другой какой нибудь инструмент. Изучил Windows LAPS - много мануалов и информации (если кто-то щас с ним работает, расскажите о плюсах и минусах) . Может у кого-то есть другие инструменты для сравнения ?

Comments

[MaxKozlov]

LAPS не использовал, но хотел уточнить, почему именно через GPO, а не Set-LocalUser с админской машины по живому,
WSMAN у вас отключен ?

[#]

MaxKozlov, по ходу взлом..

[MaxKozlov]

#, Да ну, сам pspasswd просто берёт пароль из параметров запуска, а в логи запуск процессов идёт
https://learn.microsoft.com/ru-ru/sysinternals/dow...
как его снаружи не шифруй, в аудит идёт в открытом виде :)

[Dewz]

MaxKozlov, через GPO сценарий отрабатывает в автозагрузке. Ответ на вопрос "Почему?" - я буду точно знать, что после старта системы пароль будет изменен. Это наверное главный фактор.

WSMAN у вас отключен ?

на половину.
Но как мне это отслеживать? мб во время запуска сценария несколько ПК было выключено. Да, может через test-connection можно отследить, но это мне кажется не удобно. Как у вас это реализовано?

[Роман Безруков]

Dewz, если вы вручную запускаете скрипт - как вариант, писать в отдельный файлик недоступные компы, чтобы минут через 15 выполнить скрипт еще раз только на этих компах и т.д.

[MaxKozlov]

Dewz, Где-то тут в тэге Powershell это уже обсуждалось недавно.

Вариант запуска через GPO таких вещей, на мой взгляд, плох как раз потому, что "я буду точно знать, что после старта системы пароль будет изменен" - утверждение не на 100% верное. Мало ли по какой причине политики не применились, ещё что-то произошло. Может машина месяц выключенной стояла и вылетела из домена.

Суть в том, что возможные ошибки отрабатывать и видеть результат выполнения "в онлайн" на мой взгляд лучше, чем шарить потом по логам на всех машинах и искать, где что-то пошло не так.

Я давал ссылку на Invoke-DataCollector.ps1

Этот скрипт как раз решает задачи запуска и сбора инфы/изменения (при включенном WSMAN, конечно)
Админ в рабочие часы запускает периодически и ждёт выполнения на 99%-100% машин, ошибки отрабатывает отдельно.
При офисной работе решает задачу как надо. Минус только в случае большого количества нерегулярных удалёнщиков на компах в домене

[Dewz]

MaxKozlov, Спасибо за информацию !

Answer 1

[Роман Безруков]

1. ручной скрипт (пароль ЛА может быть один для всех или генерируется для каждого сервера/ПК и записывается в какой-то файл/БД/атрибут, можно менять для нескольких учетных записей)
2. скрипт + GPO (то же самое, что и п.1, только через GPO)
3. старый LAPS, который использовал атрибуты ms-Mcs-AdmPwd и ms-Mcs-AdmPwdExpirationTime (Client-Side Extension - на клиента закидывалась одна DLL, настраивалась GPO с параметрами пароля и именем ЛА, пароль меняется на единственной УЗ)
4. Windows LAPS (все делает сам, использует новые 6 атрибутов, ведет историю паролей и т.д., настраивается GPO с параметрами пароля и именем ЛА, пароль меняется на единственной УЗ)