Hola.
Es común encontrar una gpo a través de la cual cambiamos la contraseña del usuario administrador local en los equipos de nuestro dominio, sin embargo, este proceso no es nada seguro y cualquier auditor de seguridad va directamente a por él, colocándonos un colorcito rojo en las cosas que tenemos que cambiar antes de la siguiente auditoría.
Pues bien, para ello he realizado dos scripts, este primero que os presento cifrará la contraseña que queremos poner y la guardará en un archivo txt de forma cifrada.
También tendremos un archivo que guardará la clave de cifrado que hemos usado para cifrar. Yo, lo que haría, sería ubicar ambos archivos en un carpeta de red compartida de forma oculta a la que sol tuviese acceso el usuario que vía sccm u otros, va a lanzar el proceso de cambio. Usuario que por supuesto, ha de pertencer al grupo builtin\administrators del dominio o ser administrador local de los equipos del parque por otras vías.
Cabe destacar que este script ha de ser lanzado por el personal de IT cada vez que queremos generar un archivo txt con una clave diferente, o mejor dicho, cada vez que queremos cambiar la clave de administrador de los equipos.
Personalización del script:
- Debéis modificar la linea 2 y linea 8 cambiando las rutas donde almacenar los archivos.
Contenido del script:
#generamos archivo .key
$KeyFile = "C:\Temp\AES.key"
$Key = New-Object Byte[] 16 # podemos usar 16, 24, or 32 for AES
[Security.Cryptography.RNGCryptoServiceProvider]::Create().GetBytes($Key)
$Key | out-file $KeyFile
#generamos archivo .txt y guardamos contraseña en él.
$PasswordFile = "c:\temp\Password.txt"
$Key = Get-Content $KeyFile
$Password = "Abcd123456" | ConvertTo-SecureString -AsPlainText -Force
$Password | ConvertFrom-SecureString -key $Key | Out-File $PasswordFile
No hay comentarios:
Publicar un comentario