我们想使用 SCCM 安装各种 Windows 软件 (.exe),但注意到 SCCM 在推送可执行文件时使用域管理员帐户。因此,我们担心安装过程结束后,帐户的密码哈希和 Windows 访问令牌会留在我们所有的服务器和工作站上 - 显然,这些信息可能会被盗用,并利用传递哈希或令牌模拟来破坏我们的整个网络。
使用 SCCM 在我们的网络上推送 Windows 可执行文件的最安全方法是什么,并且不会出现上述风险?如果您愿意以项目符号格式向我们提供方法和流程,以及指向其他指导内容的 URL 来帮助我们,我们将不胜感激。
先感谢您。
F0n。
答案1
SCCM 使用了一些(哈哈!)服务帐户。我记得所有“日常操作”帐户都不需要是域管理员(除了在设置和 AD 架构扩展期间)。请参阅此处的角色描述:https://technet.microsoft.com/en-us/library/hh427337.aspx
可执行安装要么使用本地系统帐户,要么使用登录用户(为系统安装、为用户安装)在端点上执行。听起来你所质疑的是网络访问帐户,客户端使用它来访问包存储库。
长话短说,您有一个不适当的高权限帐户(网络访问帐户)执行不需要任何重要权限级别的任务。
幸运的是,您可以在此处的列表中指定许多服务帐户,这样您就不会通过开始向客户群传播低风险帐户来破坏功能。