Securiser le contenu de Sysprep.inf

par **Zazare** sur Mar 08 Jan 2008, 13:56

Bonjour,

Je déploie actuellement Windows XP Pro Sp2 sur plusieurs machines à l'aide de Sysprep et d'images système. J'automatise la mini-installation donc, grâce au fichier sysprep.inf. Dedans se trouve en clair le mot de passe du compte permettant l'intégration au domaine, on ne peut apparemment pas (en lisant le deploy.chm) crypter ce mot de passe à l'inverse de celui de l'admin local.

Comment donc faire pour sécuriser un peu la chose ? En effet si un utilisateur malintentionné arrivait à lire le contenu de ce fichier avant le lancement de la mini-installation (live-cd...), il verrai en clair le mot de passe. Bien sûr, ce serai dans le cas ou cette personne connaisse le fonctionnement de l'installation.... mais j'aime bien, prévoir les choses comme ça ! :roll:

D'avance, merci !

par **Waryx** sur Mar 08 Jan 2008, 14:20

J'avais deja souvelé ce problème.
On peut en effet dans l'assistant crypté le mot de passe de le l'administrateur local mais pas celui du compte permettantla jonction au domaine...

Lors du déploiement, une fois le sysprep exécuté le dossier C:\Sysprep disparait (et donc le fichier sysprep.inf), l'utilisateur n'a donc plus accès à ce dossier ?

par **Zazare** sur Mar 08 Jan 2008, 14:43

Oui, c'est vrai, une fois la mini-install terminé le dossier c:\Sysprep est effacé, mais en attendant, il suffit que l'utilisateur n'en soit pas un du type lamba, pour qu'il puisse se procurer le mot de passe...

Démarrage sur livecd ou autre petit truc du genre sous linux avec prise en charge NTFS ou FAT, et puis c'est tout, on fait ce qu'on veux ! :twisted:

par **Waryx** sur Mar 08 Jan 2008, 14:50

Tu n'es pas obligé de rentrer cependant un compte ADMIN du domaine pour cela. Par defaut n'importe quel compte peut rajouter jusqu a 10 machines. Tu peux creer un compte ayant uniquement le droit de rentrer des machines dans le domaine par exemple

Profil MVP · par **kazer** sur Mar 08 Jan 2008, 14:59

Moi je rentre la machine dans le domaine via un process externe à sysprep
Ou sinon via le GUID (pré staging)
Mais j'amais en indiquant un login/mdp dans le sysprep

par **Timil** sur Mar 08 Jan 2008, 15:08

On peut créer effectivement un compte juste pour cela, avec la limite de 10 levée.

par **Zazare** sur Mar 08 Jan 2008, 15:39

Merci de vos réponses à tout les trois !

@ kazer : peux tu préciser s'il te plait, quel est ce process externe que tu utilise ?

@Timil & Waryx : J'ai essayé de rajouter une machine sur le domaine avec "n'importe quel compte" (dit par : Waryx), et ils n'en ont pas le droit, dans la gestion de sécurité du contrôleur de domaine seul les utilisateurs authentifiés ont la permission pour "Ajouter des stations de travail au domaine" ! Comment créer ce compte dont vous parlez avec 10 enregistrements sur le domaine ?

par ld sur Mar 08 Jan 2008, 16:01

kazer execute surement un batch ou vbs via ligne de commande sysprep, sur le reseau permettant de le faire.

surement netdom si batch ? 8 :wink:

par **Waryx** sur Mar 08 Jan 2008, 16:14

De même ici chez le client, on passe par un petit outil (dévelopé en interne) qui le fait en post deploiement et non lors du sysprep...

par **Zazare** sur Mar 08 Jan 2008, 16:20

D'accord j'ai compris :wink:

!
Je vais essayer de trouver des infos sur les commandes pour ajouter la machine sur le domaine de cette facon !

Merci de vos réponses !

Securiser le contenu de Sysprep.inf

Securiser le contenu de Sysprep.inf

Qui est en ligne ?