Infosessie Smals Research - Application platform as a Service - 12/2013
V-ICT-OR Shopt-IT 2015
1. Shopt-IT 2015 Tips & tricks
1 Systeembeheer met Powershell.......................................................................................... 2
1.1 Event triggers............................................................................................................... 2
1.2 Powershell menu voor terugkerende taken.................................................................. 3
2 Remote systeembeheer met Powershell (WinRM) ............................................................ 4
2.1 Installatie controleren op één pc.................................................................................. 4
2.2 Instellen via GPO......................................................................................................... 4
2.3 Remote beheer ............................................................................................................. 4
2.4 Case remote beheer – Pc’s patchen ............................................................................. 5
2.4.1 Werkwijze ............................................................................................................ 5
2.4.2 Pc’s in OU opnieuw starten met Powershell........................................................ 5
2.4.3 Pc’s afsluiten met Powershell .............................................................................. 5
3 Gratis patchmanagement.................................................................................................... 6
4 Ben ik besmet? ................................................................................................................... 7
4.1 Controle van de lopende processen ............................................................................. 7
4.2 Controle van actieve verbindingen.............................................................................. 7
4.3 Controle overheidsspyware ......................................................................................... 8
4.4 Offline controle malware............................................................................................. 8
4.5 SARDU........................................................................................................................ 9
5 Tails.................................................................................................................................. 10
5.1 Bootable Tails met Rufus .......................................................................................... 10
5.2 Tails opstartopties...................................................................................................... 11
6 Password keepers ............................................................................................................. 12
6.1 Lastpass ..................................................................................................................... 12
6.2 Keepass...................................................................................................................... 12
2. Shopt IT 2015 ivo.depoorter@v-ict-or.be Pagina 2 van 12
1 Systeembeheer met Powershell
1.1 Event triggers
# Variabelen
$SmtpServer = "uit.telenet.be"
$SmtpPort = 25
$FromEmail = "server@domain.be"
$ToEmail = "it@domain.be"
$OutputFile = "C:scriptsFIMSynchronizationService_Events.txt"
# Logfile maken van nieuwste 5 events van de applicatielogboek –
onderwerp FIMSynchronizationService
get-eventlog -logname application -Source FIMSynchronizationService -
entrytype Error -newest 5 | Out-File $OutputFile
# E-Mail versturen en logbestand toevoegen als bijlage
$SmtpClient = new-object system.net.mail.smtpClient
$Msg = new-object Net.Mail.MailMessage
$SmtpClient.host = $SmtpServer
$SmtpClient.Port = $SmtpPort
$computer = gc env:computername
$Msg.From = $FromEmail
$Msg.To.Add($ToEmail)
$Msg.Subject = "## Office 365 synchronisatie fouten " +$Computer +"
##"
$Msg.Body = "Controleer applicatie logboeken op: " +$Computer+" Zie
uittreksel uit de logboeken in bijlage."
$Msg.Attachments.Add($OutputFile)
$SmtpClient.Send($Msg)
3. Shopt IT 2015 ivo.depoorter@v-ict-or.be Pagina 3 van 12
1.2 Powershell menu voor terugkerende taken
Import-Module ActiveDirectory
#Parameters
$today = Get-Date
$domain = "domain.be"
$DagenInactief = 120
$dagen = (Get-Date).Adddays(-($DagenInactief))
$outputpath = "servershare$inventarisInactieve"
#Menu
do {
do {
write-host ""
write-host -foregroundcolor Yellow "Active directory opkuis:"
write-host ""
write-host "a - Controle workstations"
write-host "b - Controle gebruikers"
write-host ""
write-host "X - Exit"
write-host ""
write-host -nonewline "Kies een optie en druk op enter: "
$choice = read-host
write-host ""
$ok = $choice -match '^[abx]+$'
if ( -not $ok) { write-host "Verkeerde keuze" }
} until ( $ok )
switch -Regex ( $choice ) {
"a" #Inactieve pc's
{
try {
$OutputpathPcs = $outputpath +"-pcs "
+$today.ToString("yyyMMdd") +".csv"
Write-Host $OutputpathPcs
Get-ADComputer -Properties * -Filter {LastLogonDate -lt $dagen} `
| Select Name,OperatingSystem,OperatingSystemVersion, `
LastLogonDate,CanonicalName |
Export-Csv $OutputpathPcs
}
catch {
write-host -foregroundcolor red "Er is een fout opgetreden"
}
}
"b" #Inactieve gebruikers
{
try {
$OutputpathGebruikers = $outputpath +"-gebruikers "
+$today.ToString("yyyMMdd") +".csv"
Write-Host $OutputpathGebruikers
Get-ADUser -Filter {LastLogonTimeStamp -lt $dagen
-and enabled -eq $true} -Properties LastLogonTimeStamp |
select-object Name,@{Name="Stamp";
Expression={[DateTime]::FromFileTime($_.lastLogonTimestamp).ToString('yyyy
-MM-dd_hh:mm:ss')}} | export-csv $OutputpathGebruikers
}
catch {
write-host -foregroundcolor red "Er is een fout opgetreden"
}
}
}
} until ( $choice -match "X" )
Code tussen
Try {
}
4. Shopt IT 2015 ivo.depoorter@v-ict-or.be Pagina 4 van 12
2 Remote systeembeheer met Powershell (WinRM)
2.1 Installatie controleren op één pc
winrm enumerate winrm/config/listener
Indien niet actief activeren met winrm quickconfig
2.2 Instellen via GPO
GPO bestaat uit 2 stappen:
• Starten service
• Firewall instellingen aanpassen (domein profiel – voorkeur enkel voor support
medewerkers)
http://www.grouppolicy.biz/2014/05/enable-winrm-via-group-policy/
2.3 Remote beheer
…met The Lazy Admin
Powershell programma voor remote controle van systemen
https://gallery.technet.microsoft.com/LazyWinAdmin-04-9da94d7f
5. Shopt IT 2015 ivo.depoorter@v-ict-or.be Pagina 5 van 12
2.4 Case remote beheer – Pc’s patchen
Aanbeveling: pc’s opnieuw starten voor het patchen:
http://m.windowsitpro.com/blog/mastering-patch-management-5-tips-will-work-you
2.4.1 Werkwijze
2.4.2 Pc’s in OU opnieuw starten met Powershell
Reboot-Computer.ps1
https://gallery.technet.microsoft.com/scriptcenter/Reboot-Computerps1-
5d530000/view/Discussions
ActiveDirectoryManagement.ps1
https://gallery.technet.microsoft.com/scriptcenter/3cc670ca-9ddf-45b4-860c-
9dec35f33d20
Voorbeeld: Reboot-Computer.ps1 -ADSPath 'OU=testou,DC=domain,DC=be' –Verbose
2.4.3 Pc’s afsluiten met Powershell
$Comps = Get-ADComputer -Filter * -SearchBase "OU=TestOU,DC=domain,DC=be"
$Comps | ForEach-Object {Stop-Computer -ComputerName $_.Name -Force}
1
•Herinneringsmail gebruikers (zie voorbeeld pagina 2)
2
•Pc opnieuw starten (afspraak pc niet afsluiten of WOL)
(Reboot-Computer.ps1 & ActiveDirectoryManagement.ps1)
3
•Patchen
4
•Pc Opnieuw starten
(Of overlaten aan patchmanager)
5
•Pc afsluiten
6. Shopt IT 2015 ivo.depoorter@v-ict-or.be Pagina 6 van 12
3 Gratis patchmanagement
…met PatchMyPc
PatchMypc is een gratis update tool voor Microsoft en niet Microsoft programma’s.
Geen centraal beheer voor systeembeheerder!
https://patchmypc.net/download
Ondersteunde programma’s: https://patchmypc.net/supported-products-free-updater
Planning van updates mogelijk via schedule of CLI
(https://patchmypc.net/faq-free-updater)
Patchmanagement is één van de aanbevelingen (SANS) om malware te voorkomen
‘Critical Security Controls for Effective Cyber Defense’ – Control 4
(http://www.sans.org/critical- - security controls/)
7. Shopt IT 2015 ivo.depoorter@v-ict-or.be Pagina 7 van 12
4 Ben ik besmet?
4.1 Controle van de lopende processen
…met Process Explorer en VirusTotal
4.2 Controle van actieve verbindingen
…met Netstat –a –n –o (o=process ID, op te zoeken via taskmanager of process explorer)
of Crowdprotect
Crowdprotect toont alle actieve processen aangevuld met lokale en remote poort
nummers, indien mogelijk DNS naam, controle op malware via Virustotal, WOT1
en
Malware Hash Registry
http://www.crowdstrike.com/crowdinspect/
1
Web of trust
8. Shopt IT 2015 ivo.depoorter@v-ict-or.be Pagina 8 van 12
4.3 Controle overheidsspyware
…met Detect
Gratis programma voor Windows systemen aangeboden door Amnesty International.
Zoekt naar overheidsspionage software.
https://resistsurveillance.org/#waypoint3
4.4 Offline controle malware
…met Kaspersky Rescue Disk
Gratis offline scanner
http://support.kaspersky.com/viruses/rescuedisk
Offline scanning is een must om een systeem grondig te controleren
52 % Van alle malware probeert zich te verbergen tijdens detectie (bron: Palo Alto Networks)
9. Shopt IT 2015 ivo.depoorter@v-ict-or.be Pagina 9 van 12
4.5 SARDU
De ‘Shardana Antivirus Rescue Disk Utility’ is een (voorlopig) gratis multi-boot
creator
http://www.sarducd.it/downloads.html
Mogelijkheid om meerdere virusscanners op één stick te plaatsen
Mijn malware rescue disk:
Malware
o Bitdefender
o Kaspersky Rescue Disk
o ESET SysRescue Live
Tools
o Hirens Boot CD
10. Shopt IT 2015 ivo.depoorter@v-ict-or.be Pagina 10 van 12
5 Tails
Staat voor The Amnesic Incognito Live System
Bescherming van privacy, anonimiteit op het internet, laat geen sporen na
Bekendste gebruiker: Edward Snowden ex-systeembeheerder NSA
https://tails.boum.org/
5.1 Bootable Tails met Rufus
https://rufus.akeo.ie/
11. Shopt IT 2015 ivo.depoorter@v-ict-or.be Pagina 11 van 12
5.2 Tails opstartopties
https://tails.boum.org/doc/first_steps/startup_options/index.en.html
Administrator password
o Geef een administrator wachtwoord op indien je de distro wilt aanpassen.
Zonder administrator wachtwoord wordt er een grotere veiligheid
gegarandeerd.
Windows camouflage
o Gebruik Windows camouflage om niet op te vallen in publieke ruimtes
(Windows 8 interface)
MAC address spoofing
o Wijzigt tijdelijk het MAC adres van de gebruikte netwerkkaart zodat je system
niet identificeerbaar is aan de hand van het origineel adres.
Netwerk configuratie
o Tal van netwerkconfiguraties mogelijk zoals, vb. Instellen van een proxy
Encrypted persistence
o Mogelijkheid tot het maken van een persistent versleuteld volume
(wachtwoordbeveiliging)
12. Shopt IT 2015 ivo.depoorter@v-ict-or.be Pagina 12 van 12
6 Password keepers
6.1 Lastpass
Multiplatform wachtwoordbeheerder voor meerdere browsers.
https://lastpass.com/misc_download2.php
Bewaar geen wachtwoorden in de browser zelf!!!
Doe de test (http://www.nirsoft.net/utils/web_browser_password.html)
6.2 Keepass
Opensource wachtwoordbeheerder
Sterke verleutelingsalgoritme + keyfile
http://keepass.info/