Jump to content

Recommended Posts

Posted

всем привет

В KSC можно ли создать задачу, на смену пароля локальных Администраторов?

есть парк управляемых ПК, я знаю имя локальной УЗ которая точно есть на ПК, можно ли через KSC задать пароль?

Goddeimos13
Posted

Приветствую!
Для этого существует LAPS.

RazerOne
Posted
7 часов назад, Goddeimos13 сказал:

Приветствую!
Для этого существует LAPS.

LAPS у меня идет в рамках другого технического решения.

получается в KSC не реализовать смену локальных паролей?

Posted

@RazerOne, добрый день.

Вы можете распространить любой batch-файл как Пользовательский пакет установки. Соответственно, если применить команду net user, получится изменить пароль локальной учетной записи:
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/cc771865(v=ws.11)

Другое важное дело! В папке общего доступа Сервера администрирования KLSHARE будет лежать ваш batch-файл в составе установочного пакета с паролем в явном виде. Риски такой ситуации вы должны осознавать, любой пользователь сети сможет его посмотреть.

Вот как раз для восстановления пароля администратора при наличии LAPS для вылетевшей из домена машины применять такое удобно (когда не подходит указанный в AD пароль). Точечно меняешь на ПК с живым агентом пароль, сразу меняешь его на новый и задачу сделал. На все сразу всё-таки рискованно.

RazerOne
Posted (edited)
16 минут назад, Demiad сказал:

@RazerOne, добрый день.

Вы можете распространить любой batch-файл как Пользовательский пакет установки. Соответственно, если применить команду net user, получится изменить пароль локальной учетной записи:
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/cc771865(v=ws.11)

Другое важное дело! В папке общего доступа Сервера администрирования KLSHARE будет лежать ваш batch-файл в составе установочного пакета с паролем в явном виде. Риски такой ситуации вы должны осознавать, любой пользователь сети сможет его посмотреть.

Вот как раз для восстановления пароля администратора при наличии LAPS для вылетевшей из домена машины применять такое удобно (когда не подходит указанный в AD пароль). Точечно меняешь на ПК с живым агентом пароль, сразу меняешь его на новый и задачу сделал. На все сразу всё-таки рискованно.

спасибо, но этот метод не подходит,

вы правильно описали, что данные мы скомпрометируем, выложив их в явном виде.

 

в консоли KSC есть

Задачи\ Kaspersky Endpoint Security для Windows (12.4.0.)\Управление учетными записями Агента Аутентификации\

тут можно добавлять УЗ и редактировать, вот интересно:

этим функционалом можно управлять built-in administrator account ??

Edited by RazerOne
Posted
В 01.03.2024 в 15:18, RazerOne сказал:

этим функционалом можно управлять built-in administrator account ?

Нет, нельзя. Этот функционал служит только для управления УЗ полнодискового шифрования Kaspersky.

  • Like 2

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...