Wie sicher sind die Creds in einer .job von CPAU?
Mit CPAU lassen sich .job Files erstellen, in denen Benutzername, Passwort und auszuführende Datei verschlüsselt gespeichert sind. Wie sicher ist das dort verschlüsselte Passwort? Ist es für mittlere Unternehmen riskant?
Hi Community!
Sicher kennen viele von euch CPAU. Praktisch das Windows eigene runas nur u.A. mit der Fähigkeit, job-Dateien erstellen zu können.
Es lassen sich also .job Files erstellen, in denen Benutzername, Passwort und auszuführende Datei verschlüsselt gespeichert sind.
Wie sicher ist das dort verschlüsselte Passwort?
Kann ich dieses Utility (zusammen mit .job Files) in einem Unternehmen von 100-200 Mitarbeitern nutzen?
Ich habe etwas Bedenken, dass das Administratorpasswort gefährdet sein könnte.
Noch einen guten Start in die Woche.
Hi Community!
Sicher kennen viele von euch CPAU. Praktisch das Windows eigene runas nur u.A. mit der Fähigkeit, job-Dateien erstellen zu können.
Es lassen sich also .job Files erstellen, in denen Benutzername, Passwort und auszuführende Datei verschlüsselt gespeichert sind.
Wie sicher ist das dort verschlüsselte Passwort?
Kann ich dieses Utility (zusammen mit .job Files) in einem Unternehmen von 100-200 Mitarbeitern nutzen?
Ich habe etwas Bedenken, dass das Administratorpasswort gefährdet sein könnte.
Noch einen guten Start in die Woche.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 134306
Url: https://administrator.de/forum/wie-sicher-sind-die-creds-in-einer-job-von-cpau-134306.html
Ausgedruckt am: 22.12.2024 um 20:12 Uhr
5 Kommentare
Neuester Kommentar
Hi.
Das dort verschlüsselte Passwort müsste ausreichend sicher sein. Der Taskplaner speichert ja von sich aus schon Kennwörter, ist also dafür gedacht.
Aber: CPAU und alle Verwandten davon (runas /savecred, runasspc, sudo xy) haben alle den Nachteil, das die Leute sich damit selbst dauerhaft zum Admin machen können, siehe mein Kommentar hier: Lokale Adminrechte für Anwendungen
Also: wenn Du die Sachen interaktiv (sichtbar) ausführen lässt, kannst Du Ihnen auch gleich Adminrechte geben, es sei denn, die sind extrem minderbemittelt, was die bösen Fähigkeiten und Absichten angeht. Wenn Sichtbarkeit nicht erforderlich ist, braucht man wiederum kein CPAU, das kann der Taskplaner ja schon von sich aus.
Das dort verschlüsselte Passwort müsste ausreichend sicher sein. Der Taskplaner speichert ja von sich aus schon Kennwörter, ist also dafür gedacht.
Aber: CPAU und alle Verwandten davon (runas /savecred, runasspc, sudo xy) haben alle den Nachteil, das die Leute sich damit selbst dauerhaft zum Admin machen können, siehe mein Kommentar hier: Lokale Adminrechte für Anwendungen
Also: wenn Du die Sachen interaktiv (sichtbar) ausführen lässt, kannst Du Ihnen auch gleich Adminrechte geben, es sei denn, die sind extrem minderbemittelt, was die bösen Fähigkeiten und Absichten angeht. Wenn Sichtbarkeit nicht erforderlich ist, braucht man wiederum kein CPAU, das kann der Taskplaner ja schon von sich aus.
So eine Aufgabe kannst Du mit einem Domänenstartskript lösen, das arbeitet mit Systemrechten. Damit es nur einmal läuft, setzt man einen Marker auf dem Rechner. Farbprofile fressen doch kaum Platz, da hätte ich wenig Skrupel, die überall raufzumachen. Wenn's nicht passt, dann eben eine Sicherheitsgruppe aus Computern erstellen, die das brauchen und nur denen zuweisen (keine OU, sondern per Sicherheitsfilterung).
--
if exist %windir%\system32\spool\drivers\color\marker.txt goto end
copy... %windir%\system32\spool\drivers\color >%windir%\system32\spool\drivers\color\marker.txt
:end
--
Oder mit einem MSI-Paket, welchers Du bei Bedarf installieren lässt (user assigned).
Edit: Text ergänzt.
--
if exist %windir%\system32\spool\drivers\color\marker.txt goto end
copy... %windir%\system32\spool\drivers\color >%windir%\system32\spool\drivers\color\marker.txt
:end
--
Oder mit einem MSI-Paket, welchers Du bei Bedarf installieren lässt (user assigned).
Edit: Text ergänzt.
Ich hab Dir auch eine "bei Bedarf"-Lösung genannt: Erstell ein MSI-Paket, pack da das Skript rein (mit einem MSI-Wrapper wie wiww von Vinsvision [freeware]) und weis es dann Benutzerobjekten zu - sie können es nun über appwiz.cpl - Programme vom Netzwerk installieren ohne Adminrechte auf Wunsch installieren.