Embed Size (px)
Citation preview
Shopt-IT 2015 Tips & tricks
1 Systeembeheer met Powershell .......................................................................................... 2
1.1 Event triggers ............................................................................................................... 2
1.2 Powershell menu voor terugkerende taken .................................................................. 3
2 Remote systeembeheer met Powershell (WinRM) ............................................................ 4
2.1 Installatie controleren op één pc .................................................................................. 4
2.2 Instellen via GPO ......................................................................................................... 4
2.3 Remote beheer ............................................................................................................. 4
2.4 Case remote beheer – Pc’s patchen ............................................................................. 5
2.4.1 Werkwijze ............................................................................................................ 5
2.4.2 Pc’s in OU opnieuw starten met Powershell ........................................................ 5
2.4.3 Pc’s afsluiten met Powershell .............................................................................. 5
3 Gratis patchmanagement .................................................................................................... 6
4 Ben ik besmet? ................................................................................................................... 7
4.1 Controle van de lopende processen ............................................................................. 7
4.2 Controle van actieve verbindingen .............................................................................. 7
4.3 Controle overheidsspyware ......................................................................................... 8
4.4 Offline controle malware ............................................................................................. 8
4.5 SARDU ........................................................................................................................ 9
5 Tails .................................................................................................................................. 10
5.1 Bootable Tails met Rufus .......................................................................................... 10
5.2 Tails opstartopties ...................................................................................................... 11
6 Password keepers ............................................................................................................. 12
6.1 Lastpass ..................................................................................................................... 12
6.2 Keepass ...................................................................................................................... 12
Shopt IT 2015 [email protected] Pagina 2 van 12
1 Systeembeheer met Powershell
1.1 Event triggers
# Variabelen $SmtpServer = "uit.telenet.be" $SmtpPort = 25 $FromEmail = "[email protected]" $ToEmail = "[email protected]" $OutputFile = "C:\scripts\FIMSynchronizationService_Events.txt" # Logfile maken van nieuwste 5 events van de applicatielogboek – onderwerp FIMSynchronizationService get-eventlog -logname application -Source FIMSynchronizationService -entrytype Error -newest 5 | Out-File $OutputFile # E-Mail versturen en logbestand toevoegen als bijlage $SmtpClient = new-object system.net.mail.smtpClient $Msg = new-object Net.Mail.MailMessage $SmtpClient.host = $SmtpServer $SmtpClient.Port = $SmtpPort $computer = gc env:computername $Msg.From = $FromEmail $Msg.To.Add($ToEmail) $Msg.Subject = "## Office 365 synchronisatie fouten " +$Computer +" ##" $Msg.Body = "Controleer applicatie logboeken op: " +$Computer+" Zie uittreksel uit de logboeken in bijlage." $Msg.Attachments.Add($OutputFile) $SmtpClient.Send($Msg)
Shopt IT 2015 [email protected] Pagina 3 van 12
1.2 Powershell menu voor terugkerende taken
Import-Module ActiveDirectory #Parameters $today = Get-Date $domain = "domain.be" $DagenInactief = 120 $dagen = (Get-Date).Adddays(-($DagenInactief)) $outputpath = "\\server\share$\inventaris\Inactieve" #Menu do { do { write-host "" write-host -foregroundcolor Yellow "Active directory opkuis:" write-host "" write-host "a - Controle workstations" write-host "b - Controle gebruikers" write-host "" write-host "X - Exit" write-host "" write-host -nonewline "Kies een optie en druk op enter: " $choice = read-host write-host "" $ok = $choice -match '^[abx]+$' if ( -not $ok) { write-host "Verkeerde keuze" } } until ( $ok ) switch -Regex ( $choice ) { "a" #Inactieve pc's { try {
$OutputpathPcs = $outputpath +"-pcs " +$today.ToString("yyyMMdd") +".csv"
Write-Host $OutputpathPcs Get-ADComputer -Properties * -Filter {LastLogonDate -lt $dagen} ` | Select Name,OperatingSystem,OperatingSystemVersion, ` LastLogonDate,CanonicalName | Export-Csv $OutputpathPcs } catch { write-host -foregroundcolor red "Er is een fout opgetreden" } } "b" #Inactieve gebruikers { try {
$OutputpathGebruikers = $outputpath +"-gebruikers " +$today.ToString("yyyMMdd") +".csv"
Write-Host $OutputpathGebruikers Get-ADUser -Filter {LastLogonTimeStamp -lt $dagen -and enabled -eq $true} -Properties LastLogonTimeStamp | select-object Name,@{Name="Stamp"; Expression={[DateTime]::FromFileTime($_.lastLogonTimestamp).ToString('yyyy-MM-dd_hh:mm:ss')}} | export-csv $OutputpathGebruikers
} catch { write-host -foregroundcolor red "Er is een fout opgetreden" } } } } until ( $choice -match "X" )
Code tussen Try { }
Shopt IT 2015 [email protected] Pagina 4 van 12
2 Remote systeembeheer met Powershell (WinRM)
2.1 Installatie controleren op één pc
winrm enumerate winrm/config/listener Indien niet actief activeren met winrm quickconfig
2.2 Instellen via GPO GPO bestaat uit 2 stappen:
• Starten service • Firewall instellingen aanpassen (domein profiel – voorkeur enkel voor support
medewerkers)
http://www.grouppolicy.biz/2014/05/enable-winrm-via-group-policy/
2.3 Remote beheer
…met The Lazy Admin Powershell programma voor remote controle van systemen
https://gallery.technet.microsoft.com/LazyWinAdmin-04-9da94d7f
Shopt IT 2015 [email protected] Pagina 5 van 12
2.4 Case remote beheer – Pc’s patchen Aanbeveling: pc’s opnieuw starten voor het patchen: http://m.windowsitpro.com/blog/mastering-patch-management-5-tips-will-work-you
2.4.1 Werkwijze
2.4.2 Pc’s in OU opnieuw starten met Powershell
Reboot-Computer.ps1 https://gallery.technet.microsoft.com/scriptcenter/Reboot-Computerps1-5d530000/view/Discussions
ActiveDirectoryManagement.ps1 https://gallery.technet.microsoft.com/scriptcenter/3cc670ca-9ddf-45b4-860c-9dec35f33d20
Voorbeeld: Reboot-Computer.ps1 -ADSPath 'OU=testou,DC=domain,DC=be' –Verbose
2.4.3 Pc’s afsluiten met Powershell
$Comps = Get-ADComputer -Filter * -SearchBase "OU=TestOU,DC=domain,DC=be" $Comps | ForEach-Object {Stop-Computer -ComputerName $_.Name -Force}
1• Herinneringsmail gebruikers (zie voorbeeld pagina 2)
2
• Pc opnieuw starten (afspraak pc niet afsluiten of WOL)
(Reboot-Computer.ps1 & ActiveDirectoryManagement.ps1)
3• Patchen
4
• Pc Opnieuw starten
(Of overlaten aan patchmanager)
5• Pc afsluiten
Shopt IT 2015 [email protected] Pagina 6 van 12
3 Gratis patchmanagement
…met PatchMyPc
PatchMypc is een gratis update tool voor Microsoft en niet Microsoft programma’s. Geen centraal beheer voor systeembeheerder!
https://patchmypc.net/download
Ondersteunde programma’s: https://patchmypc.net/supported-products-free-updater
Planning van updates mogelijk via schedule of CLI (https://patchmypc.net/faq-free-updater)
Patchmanagement is één van de aanbevelingen (SANS) om malware te voorkomen ‘Critical Security Controls for Effective Cyber Defense’ – Control 4 (http://www.sans.org/critical- - security controls/)
Shopt IT 2015 [email protected] Pagina 7 van 12
4 Ben ik besmet?
4.1 Controle van de lopende processen
…met Process Explorer en VirusTotal
4.2 Controle van actieve verbindingen
…met Netstat –a –n –o (o=process ID, op te zoeken via taskmanager of process explorer) of Crowdprotect
Crowdprotect toont alle actieve processen aangevuld met lokale en remote poort nummers, indien mogelijk DNS naam, controle op malware via Virustotal, WOT1 en Malware Hash Registry
http://www.crowdstrike.com/crowdinspect/
1 Web of trust
Shopt IT 2015 [email protected] Pagina 8 van 12
4.3 Controle overheidsspyware …met Detect
Gratis programma voor Windows systemen aangeboden door Amnesty International. Zoekt naar overheidsspionage software. https://resistsurveillance.org/#waypoint3
4.4 Offline controle malware
…met Kaspersky Rescue Disk
Gratis offline scanner
http://support.kaspersky.com/viruses/rescuedisk
Offline scanning is een must om een systeem grondig te controleren 52 % Van alle malware probeert zich te verbergen tijdens detectie (bron: Palo Alto Networks)
Shopt IT 2015 [email protected] Pagina 9 van 12
4.5 SARDU
De ‘Shardana Antivirus Rescue Disk Utility’ is een (voorlopig) gratis multi-boot creator
http://www.sarducd.it/downloads.html
Mogelijkheid om meerdere virusscanners op één stick te plaatsen
Mijn malware rescue disk:
� Malware o Bitdefender o Kaspersky Rescue Disk o ESET SysRescue Live
� Tools o Hirens Boot CD
Shopt IT 2015 [email protected] Pagina 10 van 12
5 Tails
Staat voor The Amnesic Incognito Live System Bescherming van privacy, anonimiteit op het internet, laat geen sporen na
Bekendste gebruiker: Edward Snowden ex-systeembeheerder NSA
https://tails.boum.org/
5.1 Bootable Tails met Rufus https://rufus.akeo.ie/
Shopt IT 2015 [email protected] Pagina 11 van 12
5.2 Tails opstartopties
https://tails.boum.org/doc/first_steps/startup_options/index.en.html
� Administrator password o Geef een administrator wachtwoord op indien je de distro wilt aanpassen.
Zonder administrator wachtwoord wordt er een grotere veiligheid gegarandeerd.
� Windows camouflage o Gebruik Windows camouflage om niet op te vallen in publieke ruimtes
(Windows 8 interface)
� MAC address spoofing o Wijzigt tijdelijk het MAC adres van de gebruikte netwerkkaart zodat je system
niet identificeerbaar is aan de hand van het origineel adres. � Netwerk configuratie
o Tal van netwerkconfiguraties mogelijk zoals, vb. Instellen van een proxy � Encrypted persistence
o Mogelijkheid tot het maken van een persistent versleuteld volume (wachtwoordbeveiliging)
Shopt IT 2015 [email protected] Pagina 12 van 12
6 Password keepers
6.1 Lastpass Multiplatform wachtwoordbeheerder voor meerdere browsers.
https://lastpass.com/misc_download2.php
Bewaar geen wachtwoorden in de browser zelf!!! Doe de test (http://www.nirsoft.net/utils/web_browser_password.html)
6.2 Keepass
Opensource wachtwoordbeheerder Sterke verleutelingsalgoritme + keyfile
http://keepass.info/
![x v w ~ ]çÁÁ Ø ICt Cd0IC d.IB ]](https://img.dokumen.tips/doc/110x75/618793e04491be49fa11eaf6/x-v-w-ict-cd0ic-dib-.jpg)
