安全WDS无人值守访问/ Unattended.xml

Question

Windows 2012 -已安装并配置为在多个客户端上部署Windows 2012。

我们将开发多个Windows 2012客户端，每个客户端都不应该知道其他客户端的初始密码。

WDS以下列方式存储分配给图像的每个image_unattended.xml：

{WDSRoot}/Images/{ImageGroupName}/{ImageName}/Unattend/ImageUnattend.xml

对于通过client_unattended.xml进行身份验证的所有用户来说，该文件夹和包含的文件是可读的：

<WindowsDeploymentServices>
  <Login>
    <WillShowUI>OnError</WillShowUI>
    <Credentials>
      <Username>Unattended</Username>
      <Domain>WORKGROUP</Domain>
      <Password>{Password}</Password>
    </Credentials>

是否有办法限制只访问一个所需的用户？

另一方面，如果有一种安全机制来加密image_unattended.xml中的管理员密码，那就好了，但据我所知，它只能通过添加“AdministratorPassword”对base64进行编码：

因此，mystrongpassword变成了bXlzdHJvbmdwYXNzd29yZEFkbWluaXN0cmF0b3JQYXNzd29yZA==，每次都可以解码*rolleyes

还有其他方法(真的)加密/散列xml中的密码吗？

如果没有，是否可以将用户权限设置为image_unattended.xml文件？

编辑:也许netsh advfirewall是最好的选择，不让其他(已经安装的)客户端浏览WDS上的所有数据？

Answer 1

我不确定仅仅使用部署工具是否可以找到您想要的内容，但是您应该查看一下LAPS (本地管理密码解决方案)。这将自动将本地管理密码更改为唯一的密码，并将其存储在中。

https://technet.microsoft.com/en-us/mt227395.aspx

通过组策略可配置基于OU的管理或取消管理。它还允许您设置频率和复杂性。您可以将其添加为部署序列中的步骤或任务。

Answer 2

很老的话题，但如果你碰巧碰到这个话题。我认为这比实际的安全更容易混淆，但你应该去看看。https://docs.microsoft.com/en-us/windows-hardware/customize/desktop/wsim/hide-sensitive-data-in-an-answer-file