Userbase

Users United
https://userbase.be/forum/

Alternatief voor psexec? Programma runnen als andere user

https://userbase.be/forum/viewtopic.php?t=63898

Pagina 1 van 1

Alternatief voor psexec? Programma runnen als andere user

Geplaatst: 31 maa 2023, 15:21
door tdemeyer
Ik schets even volgende situatie. AUB dit verhaal niet in vraag stellen, een aantal dingen worden boven ons hoofd geregeld...

We hebben een relatief groot aantal Active Directory accounts (noem het serviceaccounts) die we 1 of 2 keer per jaar nodig hebben om diverse taken uit te voeren.
Probleem: als AD accounts bij ons gedurende 3 maand niet gebruikt worden, worden ze disabled, om nog eens 2 of 3 maand later gewist te worden.
We zoeken een manier waarbij we bvb 1 keer per maand "iets" doen met die account zodat die geactiveerd blijft.

PSexec zou daarvoor een ideaal instrument zijn, ware het niet dat de securitymannen hogerop het gebruik ervan aktief verbieden.

We bekeken het doscommande RUNAS, wat in theorie een evenwaardig alternatief zou zijn, maar daar kan je je paswoord nergens in kwijt zodat het (automatisch) gebruikt wordt. (en ja, ik weet het, da's in wezen hetzelfde securityissue als psexec.....)

Dus: ziet iemand nog een alternatief?

Ik ben te weinig thuis in powershell, maar ik dacht dat je daar met encrypted paswoordvariabelen kan werken etc... Is daar misschien een mogelijkheid? We kunnen leven dat paswoorden in clear text in een script staan, maar 't zou natuurlijk véél mooier zijn mocht dat ook kunnen vermeden worden (desnoods via een apart 'encryptie'scriptje)

Om het even wat dat de credentials verifieert tegenover AD zou volstaan om de account aktief te houden denk ik.

Re: Alternatief voor psexec? Programma runnen als andere user

Geplaatst: 31 maa 2023, 18:26
door bogon
Je hebt geen wachtwoorden nodig (of misschien één keer interactief, om in de USERPROFILE-mappen van de gebruikers te kunnen schrijven). Met PowerShell 7:

Installeer OpenSSH server. Maak een SSH keypair. Zet de pubkey in ${Env:USERPROFILE}\.ssh\authorized_keys (als de user een Administrator is, is Windows enorm debiel. Zet dan de regel "Match Group administrators" en die eronder in commentaar in ${Env:PROGRAMDATA}\ssh\sshd_config) Zie https://learn.microsoft.com/en-us/windo ... management en https://github.com/PowerShell/Win32-OpenSSH/issues/1948 voor meer info.)

Code: Selecteer alles

"jan.janssens", "piet.pieters", "pol.paulissen" | ForEach-Object {
    $ses = New-PSSession -HostName . -UserName $_
    Remove-PSSession $ses
}
Toegevoegd na 4 uren 43 minuten 31 seconden:
De github issue die ik eigenlijk wilde linken was deze: https://github.com/PowerShell/Win32-OpenSSH/issues/1324
Die bevat de essentiële discussie. Ik had ook mijn post kunnen bewerken maar door een nieuwe post kan ik wat overzichtelijker duidelijk maken wat het probleem is.

Alle administrators delen standaard één authorized_keys bestand.

Stel: je werkt in opdracht voor een firma waar een nogal incompetente IT-verantwoordelijke genaamd Guust vast in dienst is. Je maakt dus twee administrators: admin_pruimpit (jij) en admin_guust (de incompetente bediende). Als iemand per ongeluk half de AD verwijdert kan je aan de hand van de audit logs aantonen dat Guust de snoodaard was.

Ja, Guust kan dankzij z'n admin privileges jouw account hijacken, maar weeral: audit logs gaan dat verraden.

Door de gedeelde authorized_keys kan Guust rechtstreeks aanloggen met je admin_pruimpit account en dus alles wat 'ie mispikkelt op jou steken.

Re: Alternatief voor psexec? Programma runnen als andere user

Geplaatst: 31 maa 2023, 23:43
door ITnetadmin
De juiste oplossing lijkt me:
De service accounts exempten van die erase policy.
Al de rest is kunst-en vliegwerk om slecht ingestelde bedrijfspolicies te omzeilen.

Ik ben een groot voorstander geworden van het "F around and find out" principe.
Als hogerop die accounts actief saboteert, door weigeren aan je workflow mee te werken, dan spam je hogerop maar vol met tickets en ander gedoe omdat je de facto je werk niet kan doen.

Ik ben geen fan van al dat "gebypass van policies", dat is prulwerk en kan leiden tot een security breach.
Samenwerken, niet mekaar tegenwerken.

Re: Alternatief voor psexec? Programma runnen als andere user

Geplaatst: 01 apr 2023, 12:55
door tdemeyer
Update: ik was er effe 2 minuten niet goed van, maar ik had voor de grap de vraag eens gesteld aan Chatgpt.... Na een paar keer over-en-weer babbelen (by lack of a better word) spuwde dat verrekte ding per direct een powershell programma uit dat - nog meer tot mijn verbazing - direct perfect deed wat ik zocht.

Om het nog erger te maken hield Chatgpt daarna ook nog eens rekening met de (beperkte) opmerkingen die ik maakte, en produceerde probleemloos een versie 2.0 uit, compleet met uitleg en gebruiksaanwijzing...

Ik zie het somber in voor de toekomstige analyst/programmeur...

Re: Alternatief voor psexec? Programma runnen als andere user

Geplaatst: 01 apr 2023, 23:10
door bogon
tdemeyer schreef: 01 apr 2023, 12:55 Update: ik was er effe 2 minuten niet goed van, maar ik had voor de grap de vraag eens gesteld aan Chatgpt.... Na een paar keer over-en-weer babbelen (by lack of a better word) spuwde dat verrekte ding per direct een powershell programma uit dat - nog meer tot mijn verbazing - direct perfect deed wat ik zocht.

Om het nog erger te maken hield Chatgpt daarna ook nog eens rekening met de (beperkte) opmerkingen die ik maakte, en produceerde probleemloos een versie 2.0 uit, compleet met uitleg en gebruiksaanwijzing...

Ik zie het somber in voor de toekomstige analyst/programmeur...
... wil je dit script posten?
Alle tijden zijn UTC+02:00
Pagina 1 van 1

Powered by phpBB® Forum Software © phpBB Limited

Nederlandse vertaling door phpBB.nl.