Назад | Перейти на главную страницу

Безопасный автоматический доступ к WDS / Unattended.xml

Windows Server 2012 - WDS установлен и настроен для развертывания Windows Server 2012 на нескольких клиентах.

Мы деполируем несколько клиентов Windows Server 2012, каждый из которых НЕ должен знать начальный пароль других клиентов.

Сервер WDS хранит каждый image_unattended.xml присваивается изображению следующим образом:

{WDSRoot}/Images/{ImageGroupName}/{ImageName}/Unattend/ImageUnattend.xml

Эта папка и содержащиеся в ней файлы доступны для всех пользователей, прошедших аутентификацию через client_unattended.xml:

<WindowsDeploymentServices>
  <Login>
    <WillShowUI>OnError</WillShowUI>
    <Credentials>
      <Username>Unattended</Username>
      <Domain>WORKGROUP</Domain>
      <Password>{Password}</Password>
    </Credentials>

Есть ли способ ограничить доступ только одним желаемым пользователем?

С другой стороны было бы хорошо, если бы был безопасный механизм для шифрования пароля администратора в image_unattended.xml, но насколько мне известно, он может закодировать только base64 с добавлением "AdministratorPassword":

Так, mystrongpassword становится bXlzdHJvbmdwYXNzd29yZEFkbWluaXN0cmF0b3JQYXNzd29yZA==, который можно каждый раз декодировать * rolleyes

Есть ли другой способ (действительно) зашифровать / хешировать пароль в xml?

Если нет, можно ли установить права пользователя на image_unattended.xml файлы?

редактировать: может быть netsh advfirewall как сделать так, чтобы другие (уже установленные) клиенты не могли просматривать все данные на сервере WDS?

Очень старая тема, но если вы случайно столкнетесь с этим. Я думаю, что это скорее запутывание, чем реальная безопасность, но вам стоит проверить. https://docs.microsoft.com/en-us/windows-hardware/customize/desktop/wsim/hide-sensitive-data-in-an-answer-file

Я не уверен, что то, что вы ищете, возможно только с помощью инструментов развертывания, но вам следует изучить LAPS (решение для пароля локального администратора). Это автоматизирует изменение паролей локального администратора на что-то уникальное и сохраняет их в Active Directory.

https://technet.microsoft.com/en-us/mt227395.aspx

Его можно настроить с помощью групповой политики для управления или отмены управления в зависимости от подразделения. Он также позволяет вам установить частоту и сложность. Вы можете добавить его как шаг или задачу в последовательность развертывания.