通过Microsoft安全公告MS14-025 ,现在可以对GPMC和相关工具进行修补,从而不再允许在组策略首选项中使用可能embedded混淆密码的configuration项。 公告引用KB256345作为解决方法,使用使用组策略configurationWindows服务的“传统”方法。 但据我所知,该方法只允许你在服务上设置安全ACL(它是启动types),而不是服务运行的帐号。 我很想被certificate是错的。
还有什么其他的方式来configuration服务使用组策略作为特定的域服务帐户运行? 我们不能手动开始触摸所有这些机器来configuration服务。 现在假设我们没有其他基于Windows的configurationpipe理工具可以使用,而且我们坚持使用组策略以及Powershell等其他内置工具。
暂时在我们的环境中,我们只是封锁了WSUS中的补丁。 但是我正在寻找一个长期的解决scheme。 我们以这种方式configuration的密码都是低权限帐户,如果他们的密码被泄露,那么这些帐户无关紧要。
有没有可能使用托pipe服务帐户的解决scheme? 我们应该想出一些在启动时运行的基于PowerShell的解决scheme吗? 我们正在使用的GPO适用于没有安装所有服务的计算机组。 因此,理想情况下,此解决scheme不会使用组策略错误启动垃圾邮件事件日志