Yerel Administrator Parolalarını Değiştirme

Büyük çaplı işletmelerde yerel Administrator kullanıcısının parolasını değiştirmek her zaman sorun olmuştur.

Ben bu amaçla computer startup script’ler kullanıyordum.

Bu script’lerin içinde tek bir komut bulunuyordu: Net user administrator yeniparola

Bu çözümün sorunu script’in basit bir metin dosyası olması ve DC’lerde herkese açık bir paylaşımda bulunması.

Dolayısıyla, yerel ağ içindeki tüm kullanıcılar bu dosyaya erişip yeni parolayı öğrenebilir.

Bu nedenle, yeni bir yöntem bulmak gerekli oldu.

Microsoft’un bu konuda güzel bir çözümü var:

Local Administrator Password Solution (LAPS)

LAPS şemayı değiştirip yeni attribute’lar yaratıyor, istemci tarafına da bir öge (client side extension) kuruyor.

Bu işlemlerden sonra, etki alanındaki bilgisayarlarda bulunan Administrator kullanıcısının parolası istenildiği gibi değiştiriliyor.

İstemci tarafında değiştirilen parola, kriptolu bir bağlantı üzerinden DC’lere gönderiliyor ve bu parola bilgisi yalnızca belirlenen yöneticiler tarafından okunabiliyor.

Ama LAPS’ın sorunu da bu karmaşıklık: Şema değişecek, istemci tarafında ilgili öge kurulacak, izinler belirlenecek, vb.

Bu yüzden, yerel Administrator kullanıcısının parolasını değiştirmek için yeni bir çözüm buldum.

Bu yöntemin de sorunları var.

Örneğin, istemci tarafında üretilen parola bir yerlere aktarılmıyor!

Parola istemci tarafında değiştirildikten sonra ne olduğunu kimse bilmiyor!

Ama çoğu zaman yerel admin parolasını bilmenin bir yararı da yok.

Domain Admins grubundakiler bu parolaya gerek duymadan etki alanındaki makinelere erişip işlem yapabilirler.

Yöneticilerin yerel admin parolasına gerek duyduğu tek durum, makinenin etki alanıyla ilişkisinin bozulduğu durum.

Böyle bir durumda makineye yerel admin olarak oturum açmak gerekli.

Ama bu durumda da, çeşitli yöntemlerle yerel admin parolasını değiştirebiliyoruz.

Şimdi çözümümü incelemeye geçelim.

Çözüm, rastgele bir parola üretmekten ve bu parolayı Administrator kullanıcısına atamaktan oluşuyor.

Rastgele parola üretimi kısmını aşağıdaki Stackoverflow makalesinden aldım:

https://stackoverflow.com/questions/37256154/powershell-password-generator-how-to-always-include-number-in-string

Kodun tek bir sefer çalışmasını istiyorum.

Bu yüzden kodun başında, yerel makinenin adını taşıyan bir dosyanın varlığını denetliyorum.

Dosya varsa kod o makinede daha önceden çalışmış demektir ve parolayı yeniden değiştirmek gerekli değildir.

Eğer böyle bir dosya yoksa yeni bir parola rastgele yaratılır ve kullanıcıya atanır.

Yine bu seçenekte, makine adını taşıyan bir dosya yaratılır ve makinenin adı bir metin dosyasına da eklenir.

Bu şekilde, kodun hangi makinelerde çalıştığı görülebilir.

Dosyalar bir paylaşımda yaratılıyor.

Paylaşım üzerindeki iznin Everyone, Change şelinde olması gerekir.

Hacker’lar bu dosyaları görüp içeriğine erişebilir ama dosyalarda parola bilgisi bulunmadığı için bunun bir zararı bulunmaz.

Kod şu şekilde:

if (test-path \\servername\ortak\$env:computername.txt)

{#doNothing} else

{

$punc = 46..46

$digits = 48..57

$letters = 65..90 + 97..122

$YouShallNotPass = get-random -count 15 `

-input ($punc + $digits + $letters) |

% -begin { $aa = $null } `

-process {$aa += [char]$_} `

-end {$aa}

net user administrator $YouShallNotPass

“OK” | out-file \\servername\ortak\$env:computername.txt

$env:computername | out-file \\servername\ortak\list.txt -append

}

Powershell Kitabım:
https://www.kitapyurdu.com/kitap/powershell/459531.html&manufacturer_id=5084

Şu yazıları da okuyabilirsiniz:
https://muratyildirimoglu.wordpress.com/2018/10/11/windowsta-kac-kullanici-yaratabiliriz/

https://muratyildirimoglu.wordpress.com/2018/02/07/spacex-firmasinin-roketlerini-powershell-ile-izlemek/

https://muratyildirimoglu.wordpress.com/2014/10/28/windows-server-2012-r2de-oturum-acma-betigi-garipligi/

https://muratyildirimoglu.wordpress.com/2014/06/30/windowsta-yapisal-birimlerin-ve-grup-ilkelerinin-verimsiz-kullanimi/

https://muratyildirimoglu.wordpress.com/2012/11/15/windows-8-uzerine-birkac-not/

https://muratyildirimoglu.wordpress.com/2010/03/29/power-users-grubu/

https://muratyildirimoglu.wordpress.com/2010/02/09/windows-7-kullanicilari-icin-guvenlik-onerisi/

https://muratyildirimoglu.wordpress.com/2013/08/27/uacnin-gucu/

https://muratyildirimoglu.wordpress.com/2009/05/07/vista-ve-windows-2008de-ntfs-izinlerinin-devraliminda-degisiklik/

Reklamlar

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Google fotoğrafı

Google hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Connecting to %s


%d blogcu bunu beğendi: