安全 WDS 无人值守访问 / Unattended.xml

安全 WDS 无人值守访问 / Unattended.xml

Windows Server 2012 — WDS 已安装并配置为在多个客户端上部署 Windows Server 2012。

我们将部署多个 Windows Server 2012 客户端,每个客户端都不应知道其他客户端的初始密码。

WDS 服务器image_unattended.xml按以下方式存储分配给每个图像的内容:

{WDSRoot}/Images/{ImageGroupName}/{ImageName}/Unattend/ImageUnattend.xml

此文件夹及其包含的文件可供通过以下方式验证的所有用户使用client_unattended.xml

<WindowsDeploymentServices>
  <Login>
    <WillShowUI>OnError</WillShowUI>
    <Credentials>
      <Username>Unattended</Username>
      <Domain>WORKGROUP</Domain>
      <Password>{Password}</Password>
    </Credentials>

有没有办法将访问权限限制为仅一个所需用户?

另一方面如果有一个安全的机制来加密管理员密码就好了image_unattended.xml,但据我所知,它只能通过添加“AdministratorPassword”进行 base64 编码:

因此,mystrongpassword变成了bXlzdHJvbmdwYXNzd29yZEFkbWluaXN0cmF0b3JQYXNzd29yZA==,每次都可以解码*翻白眼

是否有其他方法可以(真正)加密/散列 xml 中的密码?

如果没有,是否可以设置image_unattended.xml文件的用户权限?

编辑:也许netsh advfirewall是可行的办法,不让其他(已安装的)客户端浏览 WDS 服务器上的所有数据?

答案1

我不确定仅使用部署工具是否可以实现您所寻找的功能,但您应该研究一下 LAPS(本地管理员密码解决方案)。这会自动将本地管理员密码更改为唯一的密码,并将其存储在 Active Directory 中。

https://technet.microsoft.com/en-us/mt227395.aspx

可通过组策略配置,以根据 OU 进行管理或取消管理。它还允许您设置频率和复杂性。您可以将其添加为部署序列中的步骤或任务。

答案2

这是一个老话题了,但如果你碰巧遇到了这个。我认为这更多的是混淆,而不是真正的安全,但你应该检查一下。https://docs.microsoft.com/en-us/windows-hardware/customize/desktop/wsim/hide-sensitive-data-in-an-answer-file

相关内容