ДС
чего?
Size: a a a
2020 October 05
m
Дмитрий Стародубцев
Я же правильно понимаю что шифрование ключом в общем то бесполезно? Либо расшифровка будет работать только для той учётки, под которой скрипт запускается, либо расшифровать в две команды сможет кто угодно?
если используется пара ключ+пароль, то надо будет войти в учетку и иметь доступ к файл-ключу на чтение
m
причем используется хэш пароля пользователя, так что при смене пароля пользователя/пересоздании уз над будет заново шифровать пароль
ДС
если используется пара ключ+пароль, то надо будет войти в учетку и иметь доступ к файл-ключу на чтение
У меня вот какая задача:
Есть серверы на которых нужно запускать process expolrer с дебаг правами. Пользоваться этим будут около 10 человек на 9 серверах. Напрямую им такие права я давать не хочу, поэтому сделал отдельную учётку debug_admin с правами дебага и для использования только для запуска process explorer.
Нужно настроить запуск от этой учётки таким образом, чтобы эти 10 человек не смогли узнать от неё пароль.
Получается вариант с ключом не подходит потому что нужно будет заходить под учёткой debug_admin
Есть серверы на которых нужно запускать process expolrer с дебаг правами. Пользоваться этим будут около 10 человек на 9 серверах. Напрямую им такие права я давать не хочу, поэтому сделал отдельную учётку debug_admin с правами дебага и для использования только для запуска process explorer.
Нужно настроить запуск от этой учётки таким образом, чтобы эти 10 человек не смогли узнать от неё пароль.
Получается вариант с ключом не подходит потому что нужно будет заходить под учёткой debug_admin
m
шифрануть исполняемый код поша в Base64 😄
ДС
шифрануть исполняемый код поша в Base64 😄
Но при запуске его нужно будет расшифровывать ) всё равно увидят.
Я так и не смог найти вариант с шифрованием пароля сертификатом. Только подпись самого скрипта. Можете ссылкой поделиться?
Я так и не смог найти вариант с шифрованием пароля сертификатом. Только подпись самого скрипта. Можете ссылкой поделиться?
m
какая разница? серт надо будет импортнуть им и они тож смогут расшифровать пароль) доступ без доступа блин
m
в голову приходит только конфигурации поша, когда строго указываешь что пользователь может выполнять от учетки, скажем, админа. но сам не настраивал и под текущий кейс без понятия подходит ли
ДС
Еще такой момент что эти 10 юзеров являются локальными админами всех серверов
ДС
Вот странно, неужели ни у кого не бывает таких кейсов? Что до сих пор нет нормальных решений
EV
Каких кейсов?
В чем проблема включить этих юзеров в группу ад,
Дать группе на 10 серверах локально privilege debug
Тем более эти юзеры и так локал админы
В чем проблема включить этих юзеров в группу ад,
Дать группе на 10 серверах локально privilege debug
Тем более эти юзеры и так локал админы
ДС
ДС
Каких кейсов?
В чем проблема включить этих юзеров в группу ад,
Дать группе на 10 серверах локально privilege debug
Тем более эти юзеры и так локал админы
В чем проблема включить этих юзеров в группу ад,
Дать группе на 10 серверах локально privilege debug
Тем более эти юзеры и так локал админы
Я на эти серверы тоже захожу. А вдруг они мимикац запустят и потом будут от моей учётки ломать домен?
EV
Дмитрий Стародубцев
Я на эти серверы тоже захожу. А вдруг они мимикац запустят и потом будут от моей учётки ломать домен?
Конечно будут. И без этого будут, они локальные администраторы уже.
ДС
Конечно будут. И без этого будут, они локальные администраторы уже.
То есть если локально им дать дебаг права, то в плане безопасности ничего не изменится?
EV
Нет.
Не надо изобретать костыли и велосипед
Не надо изобретать костыли и велосипед
SB
А для захода на эти серверы использовать выделенную учётку. изи же
ДС
А для захода на эти серверы использовать выделенную учётку. изи же
И сделать её доменным админом на всякий случай
ДС
Вот так пытаешься защитить домен, а всё бесполезно. Всё равно всё взламывается изи
SB
