5
Wie sicher sind die Creds in einer .job von CPAU?
Mit CPAU lassen sich .job Files erstellen, in denen Benutzername, Passwort und auszuführende Datei verschlüsselt gespeichert sind. Wie sicher ist das dort verschlüsselte Passwort? Ist es für mittlere Unternehmen riskant?
Hi Community!
Sicher kennen viele von euch CPAU. Praktisch das Windows eigene runas nur u.A. mit der Fähigkeit, job-Dateien erstellen zu können.
Es lassen sich also .job Files erstellen, in denen Benutzername, Passwort und auszuführende Datei verschlüsselt gespeichert sind.
Wie sicher ist das dort verschlüsselte Passwort?
Kann ich dieses Utility (zusammen mit .job Files) in einem Unternehmen von 100-200 Mitarbeitern nutzen?
Ich habe etwas Bedenken, dass das Administratorpasswort gefährdet sein könnte.
Noch einen guten Start in die Woche.
Sicher kennen viele von euch CPAU. Praktisch das Windows eigene runas nur u.A. mit der Fähigkeit, job-Dateien erstellen zu können.
Es lassen sich also .job Files erstellen, in denen Benutzername, Passwort und auszuführende Datei verschlüsselt gespeichert sind.
Wie sicher ist das dort verschlüsselte Passwort?
Kann ich dieses Utility (zusammen mit .job Files) in einem Unternehmen von 100-200 Mitarbeitern nutzen?
Ich habe etwas Bedenken, dass das Administratorpasswort gefährdet sein könnte.
Noch einen guten Start in die Woche.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 134306
Url: https://administrator.de/contentid/134306
Printed on: April 23, 2024 at 15:04 o'clock
5 Comments
Latest comment
Hi.
Das dort verschlüsselte Passwort müsste ausreichend sicher sein. Der Taskplaner speichert ja von sich aus schon Kennwörter, ist also dafür gedacht.
Aber: CPAU und alle Verwandten davon (runas /savecred, runasspc, sudo xy) haben alle den Nachteil, das die Leute sich damit selbst dauerhaft zum Admin machen können, siehe mein Kommentar hier: Lokale Adminrechte für Anwendungen
Also: wenn Du die Sachen interaktiv (sichtbar) ausführen lässt, kannst Du Ihnen auch gleich Adminrechte geben, es sei denn, die sind extrem minderbemittelt, was die bösen Fähigkeiten und Absichten angeht. Wenn Sichtbarkeit nicht erforderlich ist, braucht man wiederum kein CPAU, das kann der Taskplaner ja schon von sich aus.
Das dort verschlüsselte Passwort müsste ausreichend sicher sein. Der Taskplaner speichert ja von sich aus schon Kennwörter, ist also dafür gedacht.
Aber: CPAU und alle Verwandten davon (runas /savecred, runasspc, sudo xy) haben alle den Nachteil, das die Leute sich damit selbst dauerhaft zum Admin machen können, siehe mein Kommentar hier: Lokale Adminrechte für Anwendungen
Also: wenn Du die Sachen interaktiv (sichtbar) ausführen lässt, kannst Du Ihnen auch gleich Adminrechte geben, es sei denn, die sind extrem minderbemittelt, was die bösen Fähigkeiten und Absichten angeht. Wenn Sichtbarkeit nicht erforderlich ist, braucht man wiederum kein CPAU, das kann der Taskplaner ja schon von sich aus.
Danke für die Antwort.
Ich scheine um ein Tool wie CPAU nicht umher zu kommen.
Meine Situation ist folgende:
Ein Teil der Mitarbeiter brauch bestimmte Farbprofile im Ordner C:\WINDOWS\system32\spool\drivers\color, die müssen also da reinkopiert werden. Schreibzugriff auf diesen Ordner haben eingeschränkte Nutzer jedoch nicht. 99% der Mitarbeiter arbeiten jedoch mit einem eingeschränktem Konto. Nun kann ich aber nicht zu 150 Mitarbeitern rennen und jedem die Dateien als Admin kopieren. Per GPO die Rechte des Ordners ändern wäre ein Sicherheitsleck, per GPO den Kopierjob anschmeißen würde entweder jedem PC des Unternehmens die Dateien unterjubeln (wenn computerbasiert) oder ich müsste mit 150 Benutzerprofilen fummeln (wenn benutzerbasiert).
Also habe ich ein Script geschrieben, dass beim Doppelklick ein Kopierscript mit Adminrechten ausführt. Dieses Kopierscript schmeißt die Dateien in den Systemordner. Somit muss ich nur ne Rundmail schreiben, dass jeder, der diese Farbprofile zum Arbeiten braucht, kurz dieses Script ausführen muss.
Habe ich da zu kompliziert gedacht?
Ich scheine um ein Tool wie CPAU nicht umher zu kommen.
Meine Situation ist folgende:
Ein Teil der Mitarbeiter brauch bestimmte Farbprofile im Ordner C:\WINDOWS\system32\spool\drivers\color, die müssen also da reinkopiert werden. Schreibzugriff auf diesen Ordner haben eingeschränkte Nutzer jedoch nicht. 99% der Mitarbeiter arbeiten jedoch mit einem eingeschränktem Konto. Nun kann ich aber nicht zu 150 Mitarbeitern rennen und jedem die Dateien als Admin kopieren. Per GPO die Rechte des Ordners ändern wäre ein Sicherheitsleck, per GPO den Kopierjob anschmeißen würde entweder jedem PC des Unternehmens die Dateien unterjubeln (wenn computerbasiert) oder ich müsste mit 150 Benutzerprofilen fummeln (wenn benutzerbasiert).
Also habe ich ein Script geschrieben, dass beim Doppelklick ein Kopierscript mit Adminrechten ausführt. Dieses Kopierscript schmeißt die Dateien in den Systemordner. Somit muss ich nur ne Rundmail schreiben, dass jeder, der diese Farbprofile zum Arbeiten braucht, kurz dieses Script ausführen muss.
Habe ich da zu kompliziert gedacht?
So eine Aufgabe kannst Du mit einem Domänenstartskript lösen, das arbeitet mit Systemrechten. Damit es nur einmal läuft, setzt man einen Marker auf dem Rechner. Farbprofile fressen doch kaum Platz, da hätte ich wenig Skrupel, die überall raufzumachen. Wenn's nicht passt, dann eben eine Sicherheitsgruppe aus Computern erstellen, die das brauchen und nur denen zuweisen (keine OU, sondern per Sicherheitsfilterung).
--
if exist %windir%\system32\spool\drivers\color\marker.txt goto end
copy... %windir%\system32\spool\drivers\color >%windir%\system32\spool\drivers\color\marker.txt
:end
--
Oder mit einem MSI-Paket, welchers Du bei Bedarf installieren lässt (user assigned).
Edit: Text ergänzt.
--
if exist %windir%\system32\spool\drivers\color\marker.txt goto end
copy... %windir%\system32\spool\drivers\color >%windir%\system32\spool\drivers\color\marker.txt
:end
--
Oder mit einem MSI-Paket, welchers Du bei Bedarf installieren lässt (user assigned).
Edit: Text ergänzt.
Okay danke so in der Art hatte ich das auch als Alternative im Sinn. Aber ich finde die Lösung per Script auf Wunsch, praktisch für jeden selbst zu entscheiden, nicht weiter nachteilig und es war ja auch schnell realisiert.
Weitere Kommentare zur Sicherheit von .job Files nehme ich gern entgegen, Thema ist aber schonma gelöst
Weitere Kommentare zur Sicherheit von .job Files nehme ich gern entgegen, Thema ist aber schonma gelöst
Ich hab Dir auch eine "bei Bedarf"-Lösung genannt: Erstell ein MSI-Paket, pack da das Skript rein (mit einem MSI-Wrapper wie wiww von Vinsvision [freeware]) und weis es dann Benutzerobjekten zu - sie können es nun über appwiz.cpl - Programme vom Netzwerk installieren ohne Adminrechte auf Wunsch installieren.
