Codificación de la Información Confidencial de CS.ini y Bootstrap.ini en MDT
Hola amigos, el dia de hoy un compañero de trabajo me comento como hacer para que la informacion confidencial de MDT que se encuentra en Customsettings.ini y bootStrap.ini pueda ser codificada, en pocas palabras que las contraseñas no esten en texto plano.
Investigando encontre un excelente post de Michael Niehaus en este link el cual me dio la pauta para realizar este post de seguridad.
En pocas palabras no encontre ademas de este link mas informacion al respecto por lo que me di a la tarea de preguntar en nuestro grupo de facebook de MDT y muy amablemente Jose Espitia me enseño el camino mas simple.
Como podemos observar cuando trabajamos en la configuracion de MDT generalmente vemos algo como esto:
Esta informacion es confidencial como es el ejemplo cuando queremos unir a nuestro dominio un equipo que se esta implementando por medio de MDT.
Para poder realizar este procedimiento lo primero que debemos hacer es descargar el siguiente archivo DecodeExit.vbs desde este link
Una vez descargado procedemos a copiar los archivos en nuestra carpeta Scripts de nuestro Deployment Share
Como segundo paso vamos a editar el siguiente archivo desde esta ubicacion.
|
1 |
C:\Program Files\Microsoft Deployment Toolkit\Templates\LiteTouchPE.xml |
Abrimos con Bloc de notas y agregamos la siguiente linea de codigo.
|
1 |
<Copy source="%DEPLOYROOT%\Scripts\DecodeExit.vbs" dest="Deploy\Scripts\DecodeExit.vbs" /> |
Veamos la siguiente imagen.
Ahora dentro de Customsettings.ini y BootStrap.ini debemos especificar los parametros como se muestra el siguiente ejemplo
[Settings]
Priority=Decode, Default
Properties=EncodedUserPassword
[Decode]
EncodedUserPassword=SGVsbG8=
UserExit=DecodeExit.vbs
Para este ejemplo SGVsbG8= podemos observar que la codificacion Base64Decode corresponde a «Hola» por lo que MDT ya tiene sus propias variables de la función «oStrings.Base64Decode», que ya existe en el script ZTIUtility.vbs de MDT (ya que MDT almacena estas variables codificadas en base64.
Ahora para nuestro ejemplo debemos buscar un programa de base64 (los cuales existen muchos en internet) para poder hacer la conversion de estas funciones.
Algunas de las funciones que maneja MDT son las siguientes:
|
1 |
"USERID", "USERPASSWORD", "USERDOMAIN", "DOMAINADMIN", "DOMAINADMINPASSWORD", "DOMAINADMINDOMAIN", _ "ADMINPASSWORD", "BDEPIN", "TPMOWNERPASSWORD", "ADDSUSERNAME", "ADDSPASSWORD", _ "SAFEMODEADMINPASSWORD", "USERNAME", "USERPASSWORD", "PRODUCTKEY" |
Yo he encontra este programa en internet que te convierte tus variables a Base64 https://www.base64encode.org/
Por lo que si en nuestro ejemplo AdminPassword=Pa$$w0rd1 al colocarlo en la conversion se traduciria a este resultado Pa$$w0rd1=UGEkJHcwcmQx
Entonces Agregaremos las propiedades a MDT y el resultado seria como el siguiente anteponiendole «Encoded«. ademas debemos agregar la siguiente instrucción.
|
1 |
UserExit=DecodeExit.vbs |
Este mismo procedimiento aplica para BootStrap.ini. Al finalizar debemos regenerar nuestro DeploymentShare para que este aplique en WinPE.
Listo el proceso lo he probado y ha funcionado correctamente «encriptando» mis datos confidenciales en MDT.
Sin mas por el momento me despido enviandoles un gran saludo a todos mis lectores, estamos con nuevos post.
