如何使用SCCM跨networking安全地安装Windows可执行文件?

我们希望使用SCCM安装各种Windows软件(.exe),但注意到SCCM在推送可执行文件时使用了域pipe理员帐户。 因此,我们担心在安装过程之后,帐户的密码哈希和Windows Access令牌将遗留在我们所有的服务器和工作站上 – 这显然可能会被盗用并用于使用pass-the-hash或令牌模仿。

在没有上述风险的情况下,使用SCCM在我们的networking上推送Windows可执行文件的最安全方法是什么? 如果您愿意为我们提供一个方法和stream程的点点格式以及URL到额外的教学内容来帮助我们,将不胜感激。

先谢谢你。

F0n。

SCCM正在使用几个(ha!)服务账户。 “日常操作”帐户都不需要成为我记得的域pipe理员(除了在安装和AD架构扩展期间)。 请参阅此处的angular色说明: https : //technet.microsoft.com/en-us/library/hh427337.aspx

可执行安装在端点上使用本地SYSTEM帐户或login的用户(系统安装,用户安装)执行。 这听起来像是你正在考虑的是networking访问帐户 ,客户用它来访问软件包存储库。

长话短说,你有一个不适当的高权限的帐户做任务(networking访问帐户),不需要任何重要级别的权限。

幸运的是,您可以在列表中指定多个服务帐户,这样您就不会通过开始向客户群传播低风险帐户来破坏function。