通過代理執行 WMI 方法 - 如何使憑據不落入使用者手中?
管理層希望我創建一個腳本/應用程序/古老的魔法工件,允許現場技術人員在我們的 Configuration Manager 伺服器上執行任務(更新集合成員資格 - 通過 WMI 呼叫很容易完成),而無需實際授予技術人員執行所述任務的權限。想到的第一個解決方案是創建一個具有必要權限的服務帳戶,然後找到一種方法允許技術人員在此帳戶下執行命令,而無需實際向他們透露服務帳戶的憑據。我想我可以通過非對稱密碼術來加密憑據,但我對加密一無所知,所以我會很難做到這一點。
我正在考慮的另一個選項是創建一個自定義 WMI 方法提供程序,它將進行適當的 WMI 呼叫,以在一組約束內完成我需要的任務,我希望使用管理層想要的工具對技術人員實施這些約束。然後,我將在 ConfigManager 伺服器上註冊此提供程序,並授予現場技術人員“執行方法”權限。
在我用瘋狂的自定義 WMI 垃圾來破壞我的組織的 SCCM 伺服器之前,我的繼任者可能很難修改或重新創建,是否有什麼明顯的我遺漏的東西使這變得愚蠢或不可行?否則,是否有任何其他我沒有註意到的常見做法允許我們的技術人員執行代理執行他們沒有特別權限的任務?
你所說的是通過默默無聞的安全性。您希望一組技術人員有權做某事,但您不想讓他們訪問一個帶有大量按鈕的大而可怕的控制台,如果使用不當可能會給他們帶來麻煩。我得到它。但這是錯誤的想法,因為它只是一條溫暖的毯子,感覺很舒服,但實際上並沒有增加安全感。
我一直在公司中看到這一點;他們希望讓低級幫助台技術人員能夠重置 AD 密碼,但不想讓他們訪問 Active Directory 使用者和電腦 RSAT 工具。所以他們最終創建了一個網頁或一些使用服務帳戶來完成工作的密碼重置應用程序。您可以辯稱它降低了惡意軟體的攻擊面(因為您只需保護 1 個帳戶而不是 20 個或更多),但實際上您所做的只是隱藏惡意使用者可以通過其他方式獲得的資訊無論如何,如果他們真的想要。
最重要的是,您可以在技術人員的工作站上安裝 SCCM 控制台,而無需讓他們訪問伺服器本身,並且該控制台是完全安全的。您可以完全控制誰可以看到什麼。把它做好需要做一些工作,但肯定比你所說的不可維護的 Rube Goldberg 式 WMI 腳本要少得多。
教你的技術人員如何正確使用控制台,建立明確的職責範圍,並給予他們足夠的權限來完成他們的工作。如果他們找到了一種方法,意外地做了你不打算讓他們做的事情,那是你的錯。如果他們故意做你不打算做的事情,他們應該被解僱(或者如果他們做了一些聰明有用的事情而沒有破壞任何東西,他們應該被提拔)。
努力遊說管理層反對使用技術解決人員問題。它最終會為你做更多的工作,並鼓勵他們認為網路比實際更安全。