Назад |
Перейти на главную страницу
Распространять секреты через Active Directory [групповая политика]
Я хотел бы упростить себе жизнь и распространять секреты (настоящие секреты, такие как закрытые ключи шифрования) на компьютеры, входящие в домен Active Directory. Возможно через групповую политику Active Directory, но буду рад любому рабочему решению.
- Этот секрет требуется только подмножеству компьютеров-членов домена.
- Все компьютеры, получившие секрет, получат один и тот же секрет. Секрет не зависит от компьютера.
- Мне нужно передать секрет в виде файла, значение реестра, сертификат с закрытым ключом в магазине или что-то подобное, чтобы приложение могло его прочитать, разработчик вроде как сотрудничает, поэтому у меня есть некоторая свобода.
- Мне нужно убедиться, что к секрету могут получить доступ только определенные пользователи или группы, т. Е. Иметь действующие списки управления доступом во время и после развертывания. Это означает, что копирование файла с секретом из сетевой папки, доступной любому аутентифицированному пользователю, не будет соответствовать требованиям, даже если после копирования применяются разрешения на уровне файла.
- Контроллер домена - Windows 2016, рядовые компьютеры - разные.
Хранилище сертификатов "LocalMachine \ My" на самом деле хорошее место для хранения секрета, но я не могу найти документированного способа управлять им с помощью групповой политики. Все другие магазины не позволяют мне хранить закрытые ключи, или, по крайней мере, я не нашел, как это сделать. Я нашел много документации о распространении открытых ключей и сертификатов, но ничего о распространении закрытых ключей.
Некий конкретный каталог файловой системы на томе NTFS, защищенный разрешениями файловой системы, также является хорошим местом для хранения секрета, но не может найти документированного способа безопасного копирования файлов туда. Все руководства рекомендуют предоставлять разрешение на чтение «Прошедшим проверку пользователям» на исходном сетевом ресурсе, что в моем случае неприемлемо.
Можно ли вообще секреты раздавать? Если да, то как?
Возможно, я что-то упустил, но почему безопасный общий доступ к исходным текстам может быть проблемой? Будет ли работать ниже?
- создать локальную группу домена, содержащую компьютеры, которым нужен файл (или реестр)
- создать объект групповой политики, отфильтрованный по указанной выше группе. Удалите другие разрешения на чтение для объекта групповой политики на вкладке «Делегирование»
- Установите правильное разрешение для файла назначения
- сделать исходный сетевой ресурс доступным для чтения только группе, созданной на шаге 1