我们管理的所有 Windows Server 03+ 计算机均已启用并通过以下方式正常连接远程桌面协议。但是,我希望使用不太繁重的中央管理(基于命令行?)来大规模管理和维护系统,并且能够通过非侵入式方法委派更新(即不影响用户的工作效率)。
具有集中控制台的传统系统管理软件会很棒,但是,我们的 100 多台服务器和工作站中有一半位于自己的本地网络上。有些是域,有些是工作组。
我们的客户遍布美国各地。最初的设置当然不是我决定的,但现在我的任务是找到一种更简化的方法来向我们拥有的不同版本产品的不同类型客户发送更新、补丁和修复。我倾向于基于 SSH 的方法。我知道可以使用 RDP 进行身份验证而不会牺牲安全性,并且我们的每个客户都需要为我们维护一个管理员帐户。那么,输入我们所有的信息后,哪种软件最适合我们的情况?
我想到过油灰,但这只能维护具有单独选项卡的打开会话。我们无法根据预先定义的组分发修复程序。除非我理解错了。在这方面肯定需要一些帮助,这将为我们的 IT 团队节省大量时间,至少可以完成一些基本工作。
最好是它能够运行我们在 RDP 上为每个人存储的凭证,否则我们将有 300-325 个客户端需要我们解释其基础设施的变化,这将需要每个人都有计划的停机时间。尽量避免这种情况。
答案1
我认为您的想法受到客户端软件(如 RDP 客户端或 PuTTY)功能的限制,而不是考虑利用脚本和自动化任务的更大前景。我还担心您当前处理凭据的方法可能已经存在重大安全问题,并且您不想继续使用这种方法。
对于远程服务器管理,我认为你最好从以下问题的角度来思考:“如何以可自动化、可记录和可审计的方式安全可靠地在远程服务器上执行程序?”一旦你明白了这一点,其他一切都会水到渠成。
在 Windows Server 2008 及更高版本的 Windows 上,Powershell 远程处理可能是个不错的选择。
对于 Windows Server 2003,我会考虑使用 SSH 服务器。我偏爱 Cygwin 版本的 OpenSSH,但也有其他版本。市面上有各种各样的 SSH 客户端。有些像 PuTTY,适合交互式使用。其他的,比如Plink 工具(PuTTY 套件的一部分)适用于命令行使用,您可以在简单的 shell 脚本中利用它们。最后,还有许多库可以让您通过脚本语言“谈论” SSH。
我确信有一些现成的产品也能帮到你。考虑到你必须支持旧版本的 Windows,你无法利用 Desired State Configuration,而它对新版本的 Windows 很有帮助。Puppet、CFEngine 或 Chef 等配置管理工具也可能有帮助(尽管我不确定你的问题是否完全属于“配置管理”领域)。
一旦您能够在远程服务器上执行程序,并将身份验证绑定到这些服务器上的本地或域帐户数据库,您的一些问题就迎刃而解了。
您仍需要考虑一种机制来管理您为这些服务器存储的凭据。听起来这些凭据具有管理员级别的访问权限,可以访问数百台服务器计算机,这些计算机位于客户网络中的防火墙后面,目前已安装了远程管理工具。有些攻击者会爱为了达到这个目的,尤其如果您的公司处理“有趣的”数据(财务、医疗保健等)。
理想情况下,您确实不希望将凭证交到个别员工手中。相反,您需要某种类型的“代理”系统来代表您的员工执行身份验证。然后,您可以结合一些不错的审计来查看哪些员工访问了各种客户系统。例如,我可以想象一个流氓前员工在客户系统中留下后门的情况。能够追踪前员工访问过的其他客户系统将是一笔宝贵的财富,可以为您的客户挽回面子。我可以想象那里有无数的噩梦场景。集中控制和记录对这些安全凭证的访问至关重要。
你不想要的是一堆带有凭证的脚本。这些事情金子对于攻击者来说。