Når man tilgår servere via. RDP, er det en pest at en ny server kommer med fading vinduer og menuer.
Men det er nemt at rette det med den regkey, på enten bruger eller server level.

For hele Serveren:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\VisualEffects]
"VisualFXSetting"=dword:00000002

For enkelt bruger:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\VisualEffects]
"VisualFXSetting"=dword:00000002

RegDword = VisualFXSetting

Decimal værdi
0 = Let Windows choose what’s best for my computer.
1 = Adjust for best appearance.
2 = Adjust for best performance.
regkey windows best performance

En af mine nye farvoritter, er Elastic Stack (også kaldet ELK stack) til syslog og alerts reaktion. Man kan bruge syslog og alerts på mange måde, og personligt bruger jeg det som et ekstra værktøj oven på de andre overvågnings værktøjer vi har.

Hvorfor ELK eller nogen anden form for Event/Syslog server?
Styrken i denne form for event correlation, er man kan se sammenhængen i fejl eller adfærd på tværs af alle systemer samtidigt.

Fordele:
– Alarmer er live. Sker det på maskinen, ses det på skærmen med det samme.
– Du ser alt, uden at skulle definere målepunkter i din overvågning.
– Søgninger på tværs af eventlogs, logfiler og alle enheder samtidigt.
– Billigt (ELK – Elastic Stack er gratis opensource).
– Skalerbart til det uendelige.

Installation
Hvis man ikke er erfarren Linux-bruger, fandt jeg en nem genvej igennem Nagios Syslog Server [link], for det er en kommerciel release af ELK stacken.

Som styresystem benytter jeg nyeste CentOS på Hyper-V server 2016. Installationen af Nagios Syslog serveren installeres blot ved en enkelt kommando:

curl https://assets.nagios.com/downloads/nagios-log-server/install.sh | sh

Yes – jeg tager ikke pis på jer! det er virkeligt det eneste du skal gøre for at du har en komplet Event/Syslog installation. Men jeg kommer til at skrive mere om denne løsning de næste par uger, men mens i venter vil jeg anbefale at se denne video.

Flere dage med hjælp til oprydning efter diverse Cryptoware angreb, blev summeret perfekt af et citat fra filmen Doctor Strange, der passer på både IT-sikkerhed og alle vores andre dæmoner.
dr strange

We never lose our demons, we only learn to live above them

Der altid vil være hackere, virus, utilfredse medarbejdere, spionage og nedbrud – Så hvis man ikke vil slås med det, må man hæve sig over problemet.

Identificer -> Begræns -> Fjern -> Lær

Både Linkedin og IT-relaterede nyheds sites, flyder over med indlæg omkring vigtigheden af en moden IT-sikkerhedspolitik og hvordan trusselsbilledet har ændret sig de sidste år. Men sjældent er de efterfulgt af konkrete forslag til værktøj der kan benyttes til at hæve sikkerheden i sin infrastruktur. Derfor kommer her mine forslag til hvilken IT-sikkerhedsprodukter man med fordel kan benytte.

Hardening er en betegnelse man ofte bruger, når man gør noget hårdere – også IT-sikkerhed.

  • Sørg for at brugere ikke har adgang til foldere de ikke har behov for. Det kan gøres ved at køre en rollebaseret adgang til foldere. Det betyder alle hovedmapper er tilknyttet en sikkerhedsgruppe og medarbejdere skal være medlem af denne gruppe for at få adgang til mappen. En gratis sidegevinst ved dette, er det bliver nemmere at vedligeholde adgang og udføre en Audit til IT-revisionen.
  • Sørg for brugere ikke kan se mapper de ikke har adgang til. Det kaldes “Access-based enumeration” og er en funktion man aktivere på et netværks-share.
  • Patch er vigtige for sikkerheden og det gælder ikke kun for styresystemet. Alle applikationer i dag en sikkerheds-risiko. Derfor skal man sørge for de altid er opdateret og der ikke er installeret software der ikke er behov for. Programmer som Heimdal sikre en række programmer bliver automatisk opdateret.
  • Sørg for du har et overblik over alt udstyr og software. Lansweeper er gratis for de først 100 maskiner, og giver dig komplet inventory over alle maskiner og versioner af software installeret.
  • Applocker er en indbygget funktion fra Microsoft (via. en GPO). Det sikre der ikke afvikles andre programmer end det der er godkendt i forvejen. Man bestemmer selv hvor restriktiv politik der benyttes, men selv den laveste setting, giver et fantastisk filter mod utilsigtet afvikling af software.

Antivirus og malware har de fleste langt om længe forstået vigtigheden af, men det er ikke unormalt at valget af antivirus software er baseret på pris, og ikke funktion.

  • Cloud og Antivirus XaaS løsninger bliver bedre og bedre. I dag ville jeg anbefale Bitdefender (cloud) eller Symantec (on-prem.) da de begge er robuste løsninger, med gode muligheder for at blokere Cryptolocker og Zero-day exploits. Især Bitdefender GravityZone til erhverv, er en utrolig sikker og alsidig løsninger, der både sikre Windows, Mac og Linux maskiner – Alt sammen fra samme interface.
  • Min kollega nævnte han altid anbefaler man bruge forskelligt antivirus på hhv. server og endpoints. På den måde skulle malware potentielt forbi to forskellige systemer inden det kunne udrette skader. Det er ikke en tosset ide hvis der er økonomi til det.

DNS

  • Secure DNS og OpenDNS DNSCrypt er to produkter at en type der kommer til at være lige så normalt som antivirus i den fremtidige IT-infrastruktur. Sikker DNS forhindre maskiner i at kunne afvikle/loade de sites der er identificeret som usikre. Din klient kan simpelthen ikke få lov til at downloade indholdet, for den pågældende URL kan ikke loades.

Audit af filadgang på alle servere og konfigurations-ændringer på serverne må ikke undervurderes.

  • AdAudit sikre du ved nøjagtigt hvem ændrede/slettede/oprettede/flyttede en fil eller folder på en server. Programmet er bygget til at overvåge AD og server konfiguration, men har plugins til filservere, så den også kan benyttes. Det er især vigtigt, hvis man vil identificere “ground-zero” ved et crypto-locker angreb, for der fortæller programmet dig nøjagtigt hvem der krypterede den første fil og fra hvilken PC det skete.

Backup og Restore

  • Overvej hvilken Backup- og restore politik i har. Hvor længe vil i være om at restore alle servere? At man kan restore en server på 2 timer, er ikke det samme som man kan restore alle servere på samme tid.
  • Hvilken rækkefølge skal jeres IT genskabe applikationer? og hvordan er sammenhængen? En korrekt dokumentation giver svaret på dette, men hvis det ikke bliver trænet regelmæssigt er proceduren værdiløs.

Overvågning er mit hvertebarn, men hvad er en tidssvarende type af overvågning?

  • SIEM eller generel Syslog overvågning, giver et billede af alle events på serverne. Bliver der pludseligt flyttet/slettet/krypteret mange filer på en server, så dukker det op i overvågningen med det samme. Den slags overvågning sikre der hurtigere kan sættes ind for at forhindre et problem vokser. Samtidigt er det et audit trail når der efterfølgende skal dokumenteres hvad der er sket. Der findes mange løsninger i dag og behovet afgøre hvad det bedste produkt til situationen er. Generelt kan jeg dog anbefale SyslogNG, Correlog. Alienvault og Splunk. Microsoft OMS er ved at være et godt produkt, men mangler stadig lidt modning.
  • Ønsker man det hele(meste) i et, så kig på Newrelic.

Awareness

  • Træn jeres medarbejdere
  • Dyrk en ærlig omgangstone
  • Træn jeres medarbejdere
  • Træn jeres medarbejdere
  • Træn jeres medarbejdere

Find dine udvikleres datababaser-filer og hvilken database det hænger sammen med. Drift-teknikere elsker udviklere, især hvis de får adgang til serverne og opretter databaser med “hoved op i røven”.

SELECT
    db.name AS DBName,
    type_desc AS FileType,
    Physical_Name AS Location
FROM
    sys.master_files mf
INNER JOIN 
    sys.databases db ON db.database_id = mf.database_id

Resultat:
sql2012 list db files

Central kontrol og administration af UEFI på Surface Pro 4 og Surface Book maskiner gennem SCCM. Det er nu blevet en mulighed, efter Microsoft har frigivet Surface Enterprise Management Mode (SEMM) til de nævnte maskiner der kører Windows 10.

SEMM er en af årsagerne til bla. NSA har godkendt PC’erne til brug, da de centralt kan administrere:
– Netværk/Wireless
– Docking
– SD-kort
– Webcam
– Mikrofon
– Bluetooth
– IR
– Skærmlås

For at konfigurere dette, skal du downloade Microsoft Surface UEFI Configurator, der er en del af pakken “Surface Tools for IT”

Den paranoide del af mig er ikke begejstret

Hvis disse settings kan administreres via. netværk i et kontrolleret setup, så kan det teoretisk også udføres remote af personer du ikke ønsker har de rettigheder over dit udstyr, data og privatliv.

SEMM - Surface Enterprise Management Mode

Tilføj domainbruger til lokal sikkerhedsgruppe via CMD
net localgroup "Lokal sikkerhedsgruppe" DomainUserNAme /add

Opret dummyfil fra kommandolinjen i den størrelse du har behov for
fsutil file createnew tes1t.txt 5242880000

Eksport DHCP lease til testfil
Netsh DHCP server export C:\dhcpdb.txt ALL

Admin RDP til konsol
mstsc /v:127.0.0.1 /admin

Manuelt sæt NTP servers
w32tm /config /update /manualpeerlist:"0.pool.ntp.org,0x8 1.pool.ntp.org,0x8 2.pool.ntp.org,0x8 3.pool.ntp.org,0x8" /syncfromflags:MANUAL

Script til at restarte AppPool
c:
cd %windir%\system32\inetsrv
appcmd stop apppool AppPoolName
appcmd start apppool AppPoolName

Når brugere sletter filer i Exchange, ligger det i Dumpster’en i en defineret periode. Det giver god mening at tømme den, hvis man har pladsproblemer eller der af andre årsager ligger for meget data i Exchange. En af problemerne i exchange, er at pladsen ikke frigives når brugeren har slettet data og det er forældet i exchange dumpsteren

Hvor meget data ligger i Exchange Dumpster totalt:

Get-MailBox | Get-MailboxStatistics | select DisplayName,TotalDeletedItemSize

Hvor meget plads benyttes til slettet post på den enkelte bruger:

Get-MailboxStatistics  | select DisplayName,TotalDeletedItemSize

Hvor meget white-space er tilgængeligt:

Get-MailboxDatabase -Status | Sort-Object DatabaseSize -Descending | Format-Table Name, DatabaseSize, AvailableNewMailboxSpace

Microsoft har valgt ikke at lave en kommando der bare tømmer dumpsteren. I stedet skal man lave en søgning på indhold der kun ligger i dumpsteren, og så slette det den finder. Det gøres med denne kommando:

Search-mailbox -identity  -SearchDumpsterOnly -DeleteContent

En kunde kunne pludseligt ikke åbne .PDF filer, efter de havde gemt filer i en bestemt netværks-mappe. Fejlen i Acrobat Reader var “access violation”, hvilket ikke gjorde fejlsøgning nemmere. Et hurtigt kig viste den relative sti til filen, var meget over de 260 der er Microsofts grænse. Næste trin var at få et overblik over situationen på hele serveren, så jeg startede med at se på hvad Powershell kunne via. Get-ChildItem -Recurse. Helt nøjagtigt ville jeg sprøjte den ud som HTML, så jeg ikke skulle tænke på formatering.

Get-ChildItem -Recurse | ?{ $_.PSIsContainer } | Select-Object FullName | ConvertTo-Html | Out-File LongPath001.html

Problem: catch-22
Men hvordan får du Powershell til at browse en folder, hvor stien er længer end Windows maksimale sti-længde? Det gør man ikke umiddelbar, for du får en PathTooLongException fejl.

Løsning: Robocopy
Det elskede værktøj har ikke samme begrænsninger. Så tanken var; Simuleret kopi + logfile + unicode for at få ÆØÅ med i logfilen.

robocopy c:\windows NULL /L /E /NJH /FP /NC /NDL /XJ /R:0 /W:0 /UNILOG:LongPath001.txt

longpathnameoutput

Kundeservice:
Vil man være sød ved sin kunde, kan lægge data i Excel og fortæller hvor lang tekst-strengen er. Jeg brugte =LEN(B2) eller =LÆNGDE(B2) i den dansk Excel.
longpathnameoutput2

ComArchive kan være et godt supplement til en Microsoft Exchange eller Office365 løsning, samtidigt med det løser de nuværende juridiske krav til sporbarhed i e-mail, der er gældende for bla. den finansielle sektor.

“Dansk Standard har udarbejdet en standard for Informationssikkerhed (DS 484:2005), som indeholder en række bestemmelser, der sigter mod at gøre informationssikkerhed til en specificerbar kvalitet. Regeringen har besluttet at alle offentlige institutioner ved udgang af 2006 skal imødekomme standarden. Vi opfylder kravene om procedurer for e-mails med ComArchive.” siger Ferran Hollederer Gascón, IT Manager på Fødevareøkonomisk Institut.

Sporbarhed:
ComArchive sikre at der altid ligger en kopi af alle e-mail og forsendelser i arkivet. Dette gør det muligt at spore og dokumentere enhver e-mail korrespondance. Dette gælder også dokumenter der er scannet og sendt via. mail fra andre enheder.

E-mail Arkivering:
Spar tid på arkivering og sikre at der ikke bliver slettet vigtige mails.

Kapacitet:
Arkiveret e-mail bliver flyttet fra Office365/Exchange, til arkivet på en Fil/SQL server løsning i kunden egen infrastruktur. Typisk fylder de samme e-mails 15-25% af hvad de gjorde på Exchange. Samtidigt lettes presset på mail-serverne i et omfang, der ofte gør det muligt for kunder at reducere ram og CPU med 50%.

Fordel for slutkunde:
– Sikre at e-mail altid kan spores selv om det er slettet fra mail-serveren
– Reducer allokeret diskplads på serverne til 15-25% af tidligere behov
– Reducer CPU og RAM kapacitet på mailserver
– Søg i tidligere medarbejderes e-mail uden aktiv Exchange konto
– Hurtig restore af slettet e-mail.

Fordel for hosting partner med Office365 kunder:
– Sikre du kan sælge yderligere disk/sql kapacitet til nuværende kunde
– Øger hastigheden og brugbarheden af deres Office365 løsning
– Hurtig restore af slettet e-mail.

Pris:
– Installation og dokumentation: Typisk under 8 timer
– Vedligehold: 0,-
– Licens: 15,- pr. md. + moms

Link
www.ComArchive.com

Optimalt skal man benytte 64K block size til diske/LUN’s for at sikre den optimale performance til store VHD og VHDX filer, når man bygger server til Hyper-V eller VM-Ware.

Anbefalinger:
@ SAN: 64KB stripe sizes.
@ Hyper-V host: 64KB cluster size
@ Guest OS: 64KB cluster size

Hvorfor? fordi VHD filer benytter 2MB block size og VHDX benytter 32MB block size. Begge kan deles med 64KB, og vil derfor generelt give den bedste performance.