Lokaler Administrator - Install-Agent - Delegation pro Computer
Ihr habt eine Deployment Solution? Ihr verteilt Software im Unternehmen? Das läuft als Dienst auf jedem Computer? Oder einen anderen Dienst der mit einem speziell Benutzerkonto startet? Dieses Konto hat lokale Admin-Rechte auf jedem PC? Es ist sogar dasselbe Konto auf den Servern? Dieses Konto ist der Einfachheit halber Domänen Administrator, damit es "überall" funktioniert?
Das sollte euch jetzt Angst machen. Wenn ich auf einem dieser Computer ebenfalls lokale Adminrechte habe, dann stoppe ich den Dienst, tausche die Executable und kapere den Dienst. Sobald ich den Dienst mit meiner .EXE starte, wird diese im Kontext des Dienstkontos ausgeführt.
Denkt mal kurz über ein "dcpromo /forceremoval" nach ... Das wäre das Horroszenario, es ist aber schon schlimm genug, wenn ich damit Adminrechte auf allen Systemen erlange. Damit kann ich der Firma richtig Schaden zuführen.
In einer perfekten Welt würden alle diese Agenten nicht auf einen vollwertigen Benutzeraccount setzen, sondern die Hersteller würden für ihren Dienst das "Lokale System" , bzw. den "Netzwerkdienst" verwenden. Diese sind individuell pro Computer und es gibt kein Kennwort, das verteilt werden muss.
Übrigens: Eine Deployment Lösung, wie der WSUS Packages Publisher haben den großen Vorteil, daß sie die Microsoft Dienste BITS und Windows Updates nutzen und damit kein eigenes Installationskonto benötigen.
Wenn die von euch verwendete Software nicht den Security Best Practises folgt, dann bleibt nur die aufwendige Methode: Pro Computer wird ein individueller Administrator (oder eine Gruppe) im AD erzeugt.
1. Ihr erstellt pro Computer einen Benutzer (oder eine Gruppe): computername-Admin
2. Ihr fügt eine neue Regel in die GPP Lokale Benutzer und Gruppen hinzu: %logondomain%\%computername%-Admin
3. Jetzt muss nur noch der Dienst angepasst werden:
Siehe auch: Verwaltung der lokalen Administratoren
Achtung: Kennworte im SYSVOL!
Get-GPPPassword.ps1 - Kennworte im XML in Plaintext umwandeln
Fertig.
Die Variablen %logondomain% und %computername% werden vom Computer aufgelöst und das passende Konto wird in die lokale Gruppe der Administratoren aufgenommen.
Das kann wie gesagt eine Gruppe sein, dann ist jeder automatisch in der Gruppe der Lokalen Administratoren, der in dieser Gruppe ist.