Рубрика «управление паролями»

Одной из самых распространенных проблем, с которой сталкивается почти каждый системный администратор, является управление паролями локального администратора.

Существует несколько вариантов решения данной задачи:

  1. Использование единого пароля на всех компьютерах. Пароль может устанавливаться либо во время деплоя с помощью MDT или SCCM, либо с помощью предпочтений групповых политик после деплоя. Обычно при таком подходе пароль никогда не меняется, а значит рано или поздно утечет (при увольнении администратора или пользователь может подглядеть ввод пароля), при этом скомпрометированный пароль дает доступ ко всем ПК в организации.
  2. Единоразовая установка уникального пароля на каждом ПК. Обычно происходит при деплое. Вариантов масса — начиная от ручной генерации случайного пароля и сохранении его в системе учета паролей (Keepass, OnePassword, Excel), заканчивая автоматической генерацией пароля по алгоритму известному администраторам, где входными данными является имя ПК. Зная алгоритм, администратор может на месте рассчитать пароль и авторизоваться на любом ПК. Минусы примерно аналогичны варианту 1: Уволенный администратор сохраняет возможность войти на любой ПК, зато при компрометации пароля пользователем он получает доступ только к одному ПК, а не ко всем сразу.
  3. Использование системы, которая будет автоматически генерировать случайные пароли для каждого ПК и менять их по установленному расписанию. Минусы предыдущих вариантов тут исключены — скомпрометированный пароль будет изменен по расписанию, и уволенный администратор через некоторое время не сможет авторизоваться на ПК даже если и украдет действующую на момент увольнения базу паролей.

Одной из таких систем является LAPS, установку и настройку которой мы разберем в этой статье.

краткая диаграмма архитектуры LAPS

Читать полностью »

Влияние маленького окошка на память пользователя, и что с этим делать - 1

Еще с выходом в свет Windows Vista2008 администраторы столкнулись с маленькой, но неприятной проблемой: оповещение об истечении срока действия пароля стало сиротливо появляться в самом неприметном углу экрана. И это вместо окна прямо по центру, как было раньше!

Отсюда и смена паролей в последний момент, под аккомпанемент отказов доступа; и негодование, почему вдруг перестал работать VPN, и что с этим делать в командировке. Конечно, не проблема года, но явление назойливое и неприятное. Поэтому разбираемся, как его одолеть.Читать полностью »

Напоминаем пользователям о необходимости сменить пароль в Windows 7/Windows 8: NetWrix Password Expiration Notifier
Конец года для нас выдался плодотворным: сразу 5 программ получили существенные обновления. Про релизы NetWrix Active Directory Change Reporter 7.2 и Change Reporter Suite 3.2 мы уже писали в предыдущих постах. Но сейчас в фокусе нашего внимания находится программа для управления паролями.
Встречайте — новая версия NetWrix Password Expiration Notifier 3.2. Как можно понять из названия, основная задача программы заключается в том, чтобы напоминать пользователям о необходимости сменить пароль на своей машине.
Вопрос о том, что уведомление о смене пароля в Windows 7 (и Windows 8) выглядит слишком уж ненавязчиво, неоднократно поднимался на форумах.

Так как Microsoft не предлагает решения проблемы, выходов несколько:

  • оставить все как есть
  • написать свой скрипт — вот один из примеров
  • специализированное ПО

Читать полностью »