I de tilfælde der er behov for at sætte tiden på en server op mod en ekstern NTP server, benyttet jeg selv denne kommando:

w32tm /config /update /manualpeerlist:"0.pool.ntp.org,0x8 1.pool.ntp.org,0x8 2.pool.ntp.org,0x8 3.pool.ntp.org,0x8" /syncfromflags:MANUAL

Ofte vælger jeg at sætte de primære DNS servere til også at køre NTP servicen og afvikler scriptet på de servere. Efterfølgende bliver de nævnte DNS server brugt som time-server i det lokale AD.

En klassiker inden for capacity management og daglig drift, er at servere løber tør for plads. Derfor kommer den gamle sætning “rettidig omhu” til sin ret i forbindelse med opsætning af bla. webservere. Med mindre kunden har et specifikt behov for at IIS logfiler skal gemmes, sletter jeg dem hvis de kommer over 180 dage. Det gøres nemmest med et gammeldags .BAT script formateret på følgende måde:

forfiles -p C:\inetpub\logs\LogFiles /s /m *.log -d -180 -c "Cmd /C DEL @File"

Selve kommandoen er ret intuitiv, så den behøver vist ikke mere forklaring.
Ofte er der også temp-foldere og andre filer der med fordel kan vedligeholdes på samme måde. Oftest gemmer jeg .BAT filer i en folder tæt på roden (eks. “c:\batchadmin”) og eksekvere det dagligt via. en scheduled task uden for backup eller anden peak hour.

Skal du måle oppetid via PowerShell, kan det gøres ved at trække tidspunktet for sidste boot ud på denne måde:

PoweShell Input
Get-CimInstance -ClassName win32_operatingsystem | select csname, lastbootuptime

Output:
boottime

Er Remote PowerShell tilgængeligt på dit netværk, kan du få data tilbage fra flere servere på en gang. Dette er koden hvis serverne hedder SRV01 og SRV02
invoke-command -computername SRV01, SRV02 {Get-CimInstance -ClassName win32_operatingsystem | select csname, lastbootuptime}

Hvis man overvåger sin diskkapacitet via en scriptet løsning, kan dette løses gennem PowerShell via denne enkelte linie der lister alle volumes. Scriptet virker ved at fremskaffe informationerne gennem WMI og Get-WmiObject er en PowerShell Cmdlet du vi elske 🙂

PowerShell Input:
get-wmiobject Win32_volume |select Name,Capacity,Freespace

Output:
Diskkapacitet via. powershell

I dagens udgave af Jyllands-Posten er der en artikel der beskriver Udenrigsministeriet blev hacket og det varede 4 måneder inden det blev opdaget. Selve artiklen vil jeg ikke kommentere og detaljerne omking hvordan Udenrigsministeriet blev hacket er klacificeret og det bør overlades til Center for Cybersikkerhed at udtale sig i sagen.

Til gengæld vil jeg forholde mig til den IT-Sikkerheds situation jeg ofte oplever hos kunder. Det gælder både kunder med on premise og cloud løsninger, da der efter min mening er en enkel årsag til situationen; Mangelfuldt beslutningsgrundlag da kompleksitet og trusselsbillede ofte er ugennemskueligt for beslutningstagere.

Eksempel #1 – Ingen Antivirus
Flere gange oplever jeg man bevist udlader at installere antivirus/malware software på serverne, fordi man fejlagtigt er af den overbevisning, en høj sikkerhedspolitik beskytter serverne mod angreb. Kunder virker oprigtigt overrasket når det går op for dem at et sikkeheds-exploit ikke begrænses at et komplekst password, eller at et Zero-day exploit ikke forhindres af en korrekt opdateret server. Er der derfor ikke installeret centralt administreret antivirus software på serverne, ved man ganske enkelt ikke at serveren er inficeret, som i eksemplet med Udenrigsministeriet, hvor det siges at være Center for Cybersikkerhed der slog alarm.

Tidligere var de fleste malwares formål at vælte en kørende server. I dag er fokus ændret til at give adgang til information, da vidensdeling på det sorte marked er en milliard-industri.

Eksempel #2 – Microsoft Antivirus
Et kig på AV-test.org hjemmesiden dokumentere det de fleste IT-konsulenter ofte oplever, at Microsoft Antivirus i er falsk sikkerhed i en flot indpakning. Dårlig antivirus er efter min mening værre end ingen antivirus, da en driftspersonalet fejlagtigt vil tro alt er i den skønneste orden, på trods af at alle servere er inficeret med trojans.
Antivirus test fra AV-test.org
Kilde AV-test.org

Eksempel #3 – Ingen central administration
Antivirus der kun notificere brugeren ved endpoints er kun marginalt bedre end fraværet af central administreret antivirus, da det overlades til enduser at vurdere og advisere IT-ansvarlige.

Anbefaling:
Følgende punkter bør efter min mening være et krav til enhver antivirus-løsning til erhverv:
– Central administration
– Outbreak-control
– Network Threat Protection
– Behavioral analysis

Personligt er Symantec Endpoint Protection mit første valg, ud fra både funktion, drift og pris. Men det er vigtigt at forstå at der ikke findes et perfekt antivirus software. Det drejer sig blot om at finde det der bedst passer til situationen.