Habilitar Windows RM
- O Windows RM opera em dois modos: HTTP ou HTTPS. Para ativar o Windows RM, basta executar o seguinte comando no PowerShell (com privilégios de administrador):
winrm quickconfig
- Depois disso, para utilizá-lo via HTTP, execute os seguintes comandos:
Set-Item -Path WSMan:\localhost\Service\AllowUnencrypted -Value $true
Restart-Service WinRM
- Para habilitar o Windows RM com uma conexão SSL segura via HTTPS, você pode seguir a documentação fornecida aqui.
Criar as Credenciais Necessárias
É necessário criar duas credencial: a credencial do domínio, vinculada diretamente ao controlador de domínio, e uma credencial local (criada apenas na plataforma Senhasegura) relacionada ao dispositivo alvo, como mostrado abaixo:
A credencial do domínio terá sua senha rotacionada no DC (Domain Controller) e, após isso, a credencial local vinculada ao dispositivo será utilizada para inserir a nova senha nas tarefas relacionadas.
Nota: O dispositivo precisa ter a conectividade do Windows RM habilitada na porta 5985 (HTTP) ou 5986 (HTTPS).
Criar o Modelo para Alterar a Senha nas Tarefas
Para criar um Novo Template, siga este caminho: Execuções → Configurações → Template → Criar um Novo
!unsecure
# Liste as tarefas e gire a senha
powershell schtasks.exe /query /s localhost /V /FO CSV | ConvertFrom-CSV | Where-Object { $_."Executar como usuário" -eq "[#USERNAME#]" } | ForEach-Object { Set-ScheduledTask -TaskName $_.TaskName -User [#USERNAME#] -Password [#NEW_PASSWORD#] }
IMPORTANTE: Valide o idioma do Windows, caso esteja em inglês substitua ‘Executar como usuário’ por ‘Run As User’
O !unsecure
no início só será usado se a execução for via HTTP. Abaixo está a imagem do modelo pronto:
Habilitar a Rotação de Senha e Definir a Credencial Pai
Na credencial do domínio, a principal, não há necessidade de alterar nada na execução da senha, pois ela pode ser rotacionada com LDAPS.
Agora, na credencial local vinculada ao dispositivo, você deve ativar a alteração automática de senha utilizando o modelo criado para rotacionar tarefas e selecionar a credencial primária como Pai, conforme mostrado abaixo:
Testes e Resultados
Agora, sempre que o Senhasegura fizer a rotação da credencial do domínio, ele fará a rotação sequencial da senha das tarefas, atualizando-as sempre com a mesma senha, conforme mostrado abaixo:
O resultado da execução do PowerShell: