#WMI object refreshing net stop winmgmt /y winmgmt /resetrepository net start winmgmt # retriving GUID for ESET $eset = Get-CimInstance -ClassName Win32_Product | Where-Object { $_.Name -like "*ESET*" } $esetVersion = $eset.name $Win32_Product_query = "SELECT * FROM AntivirusProduct WHERE displayName = '$esetVersion'" $SecurityCenter2_query = Get-WmiObject -Namespace "root\SecurityCenter2" -Query "SELECT * FROM AntivirusProduct WHERE displayName = 'ESET Endpoint Security'" $SecurityCenter2_query2 = Get-WmiObject -Namespace "root\SecurityCenter2" -Query "SELECT * FROM AntivirusProduct WHERE displayName = 'ESET Security'" if ($eset) { # display GUID $eset | Select-Object Name, IdentifyingNumber # ESET deinstallation $msiGuid = $eset.IdentifyingNumber $msiexecArgs = "/x $msiGuid /quiet /norestart" Start-Process msiexec.exe -ArgumentList $msiexecArgs -Wait Write-Host "ESET has been successfully uninstalled." } else { Write-Host "ESET was not found on this system" -BackgroundColor Green; } if ($SecurityCenter2_query) { $SecurityCenter2_query | Remove-WMIObject Write-Host "ESET Endpoint Security record was found in the root\SecurityCenter2 namespace. The record has been deleted" -BackgroundColor Green; } if ($SecurityCenter2_query2) { $SecurityCenter2_query2 | Remove-WMIObject Write-Host "ESET Security record was found in the root\SecurityCenter2 namespace. The record has been deleted" -BackgroundColor Green; } #REMOVE QUARANTINE FOLDER #possible quarantine folders patches $quarantine_folders = @( "C:\ProgramData\ESET\ESET NOD32 Antivirus\Quarantine", "C:\ProgramData\ESET\ESET Internet Security\Quarantine", "C:\User\AppData\Local\ESET\ESET Security" "C:\Users\Default\AppData\Local\ESET" ) foreach ($quarantine_folder in $quarantine_folders) { if (Test-Path $quarantine_folder) { try { Remove-Item -Path $quarantine_folder -Recurse -Force Write-Host "Folder: $quarantine_folder has been deleted." -ForegroundColor Green } catch { Write-Host "An error occurred while deleting a folder: $quarantine_folder $_" -ForegroundColor Red } } else { Write-Host "Folder $quarantine_folder not exist." -ForegroundColor Yellow } }
Instalacja Windows 11 na VMware ESXi 7.0
Przy instalacji Windows 11 na VMware ESXi 7.0 należy nacisnąć klawisze Shift+F10 przy wyborze języka instalacji. Otworzy się okno linii komend w którym należy wpisać poniższe komendy a następnie zamknąć okno:
reg add HKLM\SYSTEM\Setup\LabConfig /v BypassTPMCheck /d 1
reg add HKLM\SYSTEM\Setup\LabConfig /v BypassRAMCheck /d 1
reg add HKLM\SYSTEM\Setup\LabConfig /v BypassSecureBootCheck /d 1
Mimikatz – przechwytywanie haseł logowania do systemu Windows 11
Aby za pomocą Mimikatz przechwycić wprowadzone do systemu poświadczenia należy włączyć w Windows przechowywania haseł w pamięci:
reg add HKLM\SYSTEM\CurrentControlSet\ControlSecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 0
A następnie w Mimikatz wydać polecenie:
privilege:: debug sekurlsa::logonpasswords
MikroTik – Ad blocking. Blokowanie reklam.
Showing DNS properties and increasing Cache size:
ip/dns/print ip/dns/set cache-size=20480
Adding DNS lists
ip/dns/adlist add url=https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts ssl-verify=no ip/dns/adlist add url=https://raw.githubusercontent.com/MajkiIT/polish-ads-filter/master/polish-pihole-filters/hostfile.txt ssl-verify=no ip/dns/adlist add url=https://raw.githubusercontent.com/MajkiIT/polish-ads-filter/master/polish-pihole-filters/Ad_filter_list_by_Disconnect.txt ssl-verify=no ip/dns/adlist add url=https://raw.githubusercontent.com/MajkiIT/polish-ads-filter/master/polish-pihole-filters/NoTrack_Tracker_Blocklist.txt ssl-verify=no
Windows Server 2022 sam się wyłącza. Wyłączenie usługi Windows Licensing Monitoring Service
W środowisku testowym jeśli upłynie okres 180 dni od chwili instalacji Windows Server 2022 system poza wyświetleniem na pulpicie komunikatu o konieczność jego aktywacji po godzinie pracy sam się wyłącza. Aby tego uniknąć należy wyłączyć usługę Windows Licensing Monitoring Service (pol. Usługa Menedżera Licencji Systemu Windows). W tym celu trzeba pobrać narzędzie PsExec.exe a następnie uruchomić je jako administrator. Po uruchomieniu za pośrednictwem PsExec uruchomić cmd.exe.
PsExec.exe -i -s cmd.exe
Po otwarciu cmd.exe należy uruchomić services.exe, znaleźć usługę WLMS i ją wyłączyć. Po restarcie serwera nie będzie już komunikatów na pulpicie a Windows Server 2022 przestanie się sam wyłączać co godzinę.
Edycja pliku instalatora MSI
Do edycji pliku MSI służą narzędzia MSI Tools z pakietu Microsoft SDK (Software Development Kit, do pobrania pod adresem: https://developer.microsoft.com/en-us/windows/downloads/windows-sdk/.
Po instalacji pakietu należy uruchomić instalator właściwego programu w katalogu: c:\program files (x86)\Windows Kits\10\bin\10.0.22621\x86\Orca-x86_en-us.
Następnie należy uruchomić edytor plików MSI w katalogu: c:\program files (x86)\Orca\Orca.exe
Microsoft poleca po otwarciu pliku MSI stworzenie jego kopii binarnej – niepracowanie na oryginalnym pliku. W tym celu po otwarciu pliku należy wybrać na górnym pasku opcję Transform -> New Transform.
Narzędzie MS MSI Tools służy do edycji istniejących instalatorów MSI.
Inne narzędzie https://wixtoolset.org/ służy do budowy instalatorów MSI.
Zabezpieczenie stacji roboczej na poziomie BIOSu na przykładzie Lenovo Neo 50s
Konfiguracja BIOS:
- Założenie hasła na konto admina;
- Devices: Card Reader, Bluetooth – disable;
- Network Setup: Wireless Lan Access, PXE IPv4, IPv6 – disable;
- Security: Device Guard – enable, Secure boot – enable, Security Chip 2.0 – enable;
- Startup: First Boot Device – m.2 drive, USB Boot Support – disable;
Zamknięcie obudowy na zamek.
PowerShell – wyszukiwanie plików, których rozmiar jest większy niż podana wartość
Get-ChildItem d:\programy -Recurse | Where-Object {$_.Length -gt 100MB} | Select Name, Length, FullName
Konfiguracja łącza internetowego Aero2 na routerze MikroTik RB951Ui-2HnD z modemem Huawei e3131
PowerShell – XPath – pozyskiwanie danych z pliku XML
$Location = "C:\FileFolder" $Path = "$($Location)\dane.xml" $XPath = "/element1/podelement2/nazwa" Select-Xml -Path $Path -XPath $Xpath | Select-Object -ExpandProperty Node