Aus unserer Arbeit als IT-Dienstleister in Mannheim bei unseren Kunden berichten wir heute über das Thema Passwortsicherheit.

Die Passwortsicherheit ist ein zentrales ThemaEs sollte auch automatisch zur Arbeit mit der Quest KACE SDA gehören. Um zu verhindern das ggf. ein unbefugter User aus der Konfigurationsdatei unattend.xml das Passwort eines lokalen Accounts bekommt, muss dies geschützt werden. Die Passwörter in einer unattend.xml sind per Default als Klartextpasswörter hinterlegt. Mit Quest KACE SDA hat man zwar die Möglichkeit einen Wizard für die Erstellung dieser .xml Datei zu nutzen und muss sich nicht mit der Syntax der Datei auseinandersetzen, aber die Standards von Microsoft werden hierbei nicht umgangen. Um diese Klartextpasswörter zumindest rudimentär zu sichern, können die lokalen Passwörter in einen Base64-encoded String umgewandelt und verwendet werden.  

Diese Methode stellt natürlich keine 100%-igen Schutz dar, da die Base64-encoded Passwörter sehr einfach decodiert werden können. Es verhindert jedoch zumindest das Lesen und Merken von Passwörtern bei zufälliger Einsicht einer solchen xml Datei. Leider können nur lokale Passwörter in einer unattend.xml Datei maskiert werden. Der Schutz von Passwörtern von Domain Kennungen ist von Microsoft nicht implementiert worden. Allerdings ist es technisch mit der KACE durchaus machbar auf die Verwendung von Domain Passwörtern in der unattend.xml zu verzichten. Zum Beispiel kann der DomainJoin durch ein Powershellskript als Nachinstallationsaufgabe durchgeführt werden. 

Um die rudimentäre Sicherung der lokalen Passwörter zu erreichen gibt es u.a. zwei Möglichkeiten 

In dieser Hilfe beschreibe ich die folgenden Möglichkeiten: 

  1. Verwendung des Tools Windows System Image Manger  
    Neben der Anpassung von lokalen Passwörtern sind noch eine Vielzahl weiterer Konfigurationen für die unattend.xml möglich 


2. Ü
ber Windows Powershell  
Per Befehlszeilen kann das lokale Passwort in das gewünschte Base64-encoded Format umwandelt werden. 

Voraussetzungen und Tools für Möglichkeit 1:  

(Grafisch mit mehr Möglichkeiten aber wesentlich aufwändiger) 

  • Windows® System Image Manager (Windows SIM) 

Windows SIM ist im Windows ADK enthalten. Laden Sie das Windows ADK hier herunter. 

  • Unattend.xml  

Kopiert aus der KACE Scripted Installation 

  • Windows Systemabbbild (Install.wim) vom Systemdatenträger / ISO-File 

Install.wim muss in einem Ordner mit Schreibrechten liegen  

Voraussetzungen für Möglichkeit 2: 

(Kommandozeile in Powershell – sehr schnell umsetzbar) 

  • Powershell 

 

Hinweis: Es können nur Passwörter von lokalen Konten in einer Antwortdatei ausgeblendet werden. Domänen Kennwörter, Product Keys und andere sensible Daten sind möglicherweise weiterhin als Klartext in einer Antwortdatei verfügbar und müssen separat gesichert werden. Mit Quest KACE SDA ist dies technisch ohne Probleme möglich. Kommen Sie gerne auf uns zu. Wir unterstützen Sie bei der Sicherung der sensiblen Daten.  


Möglichkeit 1: 
 

Umwandeln der lokalen Passwörter mit Windows System Image Manger 

Möglichkeit 2: 

Umwandeln der lokalen Passwörter mit Powershell 

Die lokalen Passwörter in den Scripted Installation von KACE SDA kann auch per Powershell erfolgen. 

Dieser Weg ist wesentlich schneller und unkomplizierter. Allerdings muss hierbei per Hand die Konfiguration in der Verteilung angepasst werden.  

Zuerst nimmt man das Passwort welches man in der unattend.xml verbergen will. Diesem Passwort (im Beispiel „KACE123!“) fügt man ohne Leerzeichen das Wort „Password“ an. Zusammen wird dieser Text per Powershell in einen Base64-encoded String umgewandelt. Der entstandene String ist das Passwort das wir dann in der Konfiguration verwenden.  

Wenn man das verschlüsselte Passwort einfügt, muss man im XML-Tag <Password> noch eine neue Zeile vor dem <Value>Passwort</Value> einfügen.  

<PlainText>false</PlainText>

Hier ein Beispiel: 

Nun kann das Passwort der Ausgabe markiert und zurück in die Verteilung von KACE kopiert werden. Die lokalen Passörter sind nach dieser Aktion nicht mehr im Klartext lesbar. Die Verteilung funktioniert jedoch exakt wie zuvor.  

Ich hoffe sehr, dass ich Ihnen hiermit weiterhelfen konnte. Bei Fragen erreichen Sie mich entweder über die CAIRO Homepage oder auf https://www.itninja.com/user/Gerhart 

Diese und viele andere Themen aus dem Bereich System Management besprechen wir auf unserer Veranstaltung am 02.04.2020 in Mannheim. Die Teilnahme ist kostenlos und zur Anmeldung gehts hier:
https://www.cairo.ag/quest-kace-veranstaltung-am-2-april-2020/

CAIRO AG
Voltastr. 21, 68199 Mannheim
Tel: +49 621 86751-0
Fax: +49 621 86751-10

Pin It on Pinterest