Absichern von WDS über Linux Bootimage 18. Januar 2012

Die Windows Deployment Services sind eigentlich eine feine Sache. Leider kann man den Zugriff auf das Boot-Image nicht einschränken. Dadurch könnte es passieren, dass ein normaler Benutzer über PXE booten könnte. Wenn man jetzt z.B. als Administrator ein WinPE in WDS integriert hat, mit dem man verschiedene Notfall bzw. Wiederherstellungstools ausführen kann, dann hätte der Benutzer darauf auch Zugriff (siehe “Systemrettung leicht gemacht oder auch DaRT über WDS”). Mit WDS Boardmitteln kann man leider das Booten über WDS nicht mit einem Kennwort absichern. Allerdings hat man die Möglichkeit, ein Linux Bootmenü einzubinden, was mit einem Kennwort geschützt werden kann. Als Erstes muss man sich dafür auf dieser Seite seine Linux-Bootumgebung herunterladen:

http://www.kernel.org/pub/linux/utils/boot/syslinux/

Die aktuelle Version ist momentan “syslinux-4.05.zip”. Dieses ZIP File extrahiert man am Besten gleich in einen temporären Ordner auf dem WDS Server. Danach hält man sich an die folgende Anleitung:

http://www.syslinux.org/wiki/index.php/WDSLINUX

Die Datei “default” im Ordner “pxelinux.cfg” muss allerdings jetzt noch angepasst werden, damit für das Booten über WDS ein Kennwort angefordert  wird. Folgender Part ist zu verändern:

Von:

#—
LABEL wds
MENU LABEL Windows Deployment Services
KERNEL pxeboot.0
#—

Nach:

#— LABEL wds
MENU PASSWD StrengGeheim!!
MENU LABEL Windows Deployment Services
KERNEL pxeboot.0
#—

Nachdem die Datei angepasst wurde, kann man den ersten Test mit WDS durchführen. Der Start sollte dann so aussehen:

 

 

 

 

 

 

 

Nach der Eingabe des hoffentlich korrekten Kennworts kann die entsprechende Windows PE Umgebung gestartet werden:

 

 

 

 

 

 

 

 

Comments are closed.