Windows Server 2022 – zabezpieczenie systemu ( Microsoft Security Baselines Blog )

Microsoft Security Baselines Blog jest to blog mówiący nt. dobrych praktyk dot. zabezpieczeń produktów Microsoft. Jednym z produktów jest Server 2022, którego wybierając z listy użytkownik przechodzi do strony zawierającej materiały szkoleniowe oraz narzędzia mające na celu zabezpieczenie danego systemu, tj. Security Compliance Toolkit and Baselines: https://www.microsoft.com/en-us/download/details.aspx?id=55319

W przypadku zabezpieczenia Windows Server 2022 na uwagę zasługują 3 pozycje:

– Windows Server 2022 Security Baseline (użyteczne pliki: New Settings in Windowa Server 2022.xlsx, Final-MS Security Baseline Windows Server 2022.xlsx – dobre praktyki, ustawienia GPO oraz przykładowe – rekomendowane reguły polis: Windows Server-2022-Security-Baseline-FINAL\Documentation\MSFT-WS2022-FINAL.PolicyRules),

– PolicyAnalyzer – aplikacja, jak sama nazwa wskazuje – analizator / porównywarka polis. Można do programu zaimportować wszystkie reguły (z rozszerzeniem *.PolicyRules) znajdujące się w katalogu PolicyRules (w ściągniętym archiwum wraz z programem) oraz powyższą regułę (tj. MSFT-WS2022-FINAL.PolicyRules) a następnie porównać je z naszymi. Wówczas można zobaczyć jak się mają one do dobrych praktyk – ustawień polis zalecanych przez Microsoft.

– LGPO – Local Group Policy Object Utility – aplikacja obsługiwana wyłącznie z linii komend służąca do eksportu / importu lokalnych polis z Registry Policy (Registry.pol) a także z odpowiednio sformatowanych plików tekstowych „LGPO text” oraz XML – plików programu Policy Analyzer.
Eksport polis można dokonać również bezpośrednio z GPMC.

 

Źródła:
Blog Microsoft nt. zabezpieczeń swoich produktów ( Microsoft Security Baselines Blog ):
https://techcommunity.microsoft.com/t5/microsoft-security-baselines/bg-p/Microsoft-Security-Baselines
https://techcommunity.microsoft.com/t5/windows-server-for-it-pro/active-directory-advanced-threat-hunting-compare-gpos-with-the/m-p/4074177

Powershell – masowa zmiana nazw plików

Get-ChildItem -Path e:\pliki\*.txt -File | ForEach-Object {
  $currentFile = $_.Name
  $newName = $_.Name -replace "stary_fragment_nazwy", "nowy_fragment_nazwy"
  Rename-Item -path $_ -NewName $newName
  Write-Host "Renamed file $currentFile to $newName"
}

lub inaczej:

get-childitem *txt | foreach {
  rename-item $_ $_.name.replace("stary_fragment_nazwy","nowy_fragment_nazwy")
}

Więcej nt. zmiany nazw plików: https://lazyadmin.nl/powershell/rename-files/

MSSQL Server 2019 – sprawdzenie spójności i naprawa bazy

-- ustawienie bazy w tryb SINGLE_USER, wszystkie transakcje użytkowników zostaną wycofane a sesje zakończone 
ALTER DATABASE [AdventureWorks2014backup] SET SINGLE_USER WITH ROLLBACK IMMIDIATE
DBCC CHECKDB ([AdventureWorks2014backup], REPAIR_ALLOW_DATA_LOSS)
-- przywrócenie bazy w tryb MULTI_USER (UWAGA - należy zamknąć wszystkie uprzednio otwarte skrypty, okna, sesje itp.)
ALTER DATABASE [AdventureWorks2014backup] SET MULTI_USER;

Powershell – Wyświetlenie plików oraz folderów których ścieżka dostępu przekracza x znaków

Get-ChildItem -path e:\ -Recurse -Force -ErrorAction SilentlyContinue | Where-Object {$_.FullName.Length -gt 250}

Wyświetlenie liczby plików / folderów których ścieżka dostępu przekracza 250 znaków:

write-host(Get-ChildItem -path e:\ -Recurse -Force -ErrorAction SilentlyContinue | Where-Object {$_.FullName.Length -gt 250}).count

Po przełączniku -Recourse można użyć przełącznika -File lub -Directory.

Powershell – monitorowanie temperatury CPU

function Get-Temperature {
    $t = Get-WmiObject MSAcpi_ThermalZoneTemperature -Namespace "root/wmi"
    $returntemp = @()

    foreach ($temp in $t.CurrentTemperature)
    {
    $currentTempCelsius = ($temp / 10) - 273.15    
    $returntemp += $currentTempCelsius.ToString()
    }
    return $returntemp
}
Get-Temperature

GPO – wymuszenie ładowania polis przy każdym starcie komputera lub logowaniu użytkownika

Domyślnie polisy ładują się tylko raz, a następnie silnik GPO sprawdza, czy polisa się nie zmieniła lub nie została odpięta. Istnieje jednak polityka – ustawienie GPO, która wymusza każdorazowe ładowanie polis:

Computer configuration \ System \ Group Policy \  Configure security policy processing

Wystarczy że w/w ustawienie pojawi się tylko w jednej polisie podpiętej do wyznaczonego OU aby wszystkie inne podpięte polisy do tego OU wykonywały się za każdym razem.

GPO – Synchroniczne i asynchroniczne ładowanie polisy

Synchroniczne ładowanie –  zanim użytkownikowi pojawi się pole do logowania, najpierw ładują się polisy komputera. Zanim użytkownik zobaczy pulpit, muszą załadować się polisy użytkownika. Ładowanie synchroniczne Jest wolniejsze i bardziej uciążliwe z punktu widzenia użytkownika.

Asynchroniczne ładowanie polisy – ładują się podczas logowania i pracy na komputerze.

Polityki związane z:
– folderami wspólnymi (przekierowaniem folderów);
– instalacją oprogramowania;
– mapowaniem napędów i folderów;
ustawiają flagę mówiącą, że następny cykl ładowania polityk musi się odbywać synchronicznie, poprzez restart komputera lub przelogowanie użytkownika.

Wymuszenie synchronicznego ładowania polisy:

Computer Configuration\Policies\Administrative Templates\System\Logon\Always wait for network at computer startup and user logon

Aktualizacja GP odbywa się tylko w połączeniu z DC. Jeżeli komputer straci kontakt z DC nie zachodzi żadna aktualizacja GP – silnik GP nie pracuje. GP nie jest cachowane do aplikowania off-line.

Active Directory – odblokowanie konta i reset hasła administratora domeny

Aby odblokować i zresetować hasło Administratora należy uruchomić serwer z płyty instalacyjnej Windows Serwer (testowane na 2022) a następnie wejść do linii komend i wykonać poniższe kroki:
1) narzędziem DiskPart należy nadać literę partycji systemowej;

diskpart 
select disk 0
list partition
select partition 3
assign letter c

2) odpowiednio skonfigurować ponowne uruchomienie serwera oraz podmienić plik utilman.exe;

bcdedit /set {bootmgr} displaybootmenu yes
bcdedit /set {bootmgr} timeout 15
c:
cd windows/system32
ren utilman.exe utilman.123
copy cmd.exe utilman.exe

3) Restart serwera. Po restarcie naciśnięcie klawisza F8 i wybranie opcji „Disable Early Launch Anti-Malware Driver”, przy logowaniu należy kliknąć na ikonkę kółeczka znajdującą się w dolnym prawym rogu. Zamiast narzędzia utilman.exe otworzy się cmd.exe – linia komend.

4) W linii komend należy wydać polecenia odblokowujące i zmieniające hasło użytkownikowi Administrator (również administratorowi domenowemu):

net user administrator /active:yes
net user administrator password
net user administrator password /domain

 

Active Directory i PowerShell – operacje na grupach

Wyświetlenie obiektów należących do grupy o nazwie GroupName

Get-ADGroupMember GroupName | Format-Table name

Wyświetlenie wszystkich grup, do których należy użytkownik o nazwie UserName

Get-ADPrincipalGroupMembership UserName | Format-Table name

Wyświetlenie użytkowników należących do grupy zabezpieczeń o nazwie SecureGroup.

Get-ADUser -filter 'memberOf -recursivematch "CN=SecureGroup, OU=IT, DC=domena, DC=local"' | Format-Table name

Dodanie użytkowników OU do grupy zabezpieczeń.

Get-ADUser -SearchBase ‘OU=nazwaOU,DC=test,DC=local’ -Filter * | ForEach-Object {Add-ADGroupMember -Identity ‘NazwaGrupyZabezpieczen’ -Members $_ }