Archív

All posts for the month august, 2023

Onboarding serverov do Azure Arc s využitím GPO

Posted by f0s1l on 29. augusta 2023
Posted in: Azure/Office365. Pridaj komentár

Jedným z rozumnejších spôsobov ako naimportovať a následne spravovať onpremise servery v Azure je využitie služby Azure Arc. Prístupná je cez hlavný portál Azure

Predtým než začneme s onboardingom serverov do Arc skontrolujeme si či na subskripcii máme registrované “Resource providers” – Microsoft.HybridConnectivity. Ak nie, klepneme na Register.

V portále Arc budú pre nás pre onboarding serverov zaujímavé dve, resp. tri položky a to “Service principals”, ktorú použijeme z dôvodu abstrakcie prihlasovania sa do Azure, tj. aby sme nemuseli používať konto administrátora. Je to nevyhnutné z dôvodu hromadného onboardingu cez GPO.

Ďalšou položkou je “Private link scopes”, kde zavítame keď budeme chcieť meniť prístup onpremise prostredia do Azure z Public alebo proxy na privátnu VPN no a poslednou časťou je “Machines”, kde s onboardingom začneme.

ťukneme teda na “Add/Create” a vyberieme “Add a machine”

Tu máme možnosť onboardovať server po jednom, hromadne alebo s využitím Update Management. Zameriame sa na hromadné pridanie serverov, nakoľko pridanie jedného servera je z pohľadu nastavenia len podmnožinou tejto možnosti.

Klepneme na Add multiple servers – Generate script. Čaká nás základné nastavenie:

  • subscription – vyberieme subskripciu z ktorej sa bude Arc účtovať
  • Rersource group – rovnako ako vyššie. Ak nemáme, cez Create new vytvoríme novú
  • Region – vyberáme west Germany, že? 🙂
  • Operating system – možnosť vybrať Linux, alebo Windows
  • Connectivity method – možnosti public, proxy alebo private endpoint (musíme ho mať vytvorený). Pre začiatok nie je naškodu ísť cestou Public. Priškrtiť to môžeme vždy. Najmä treba myslieť na príslušné sieťové prestupy z onpremise do Azure.
  • Authentication – budeme potrebovať vytvoriť service principal

Vytvorenie service pricipal nie je žiadna veda. Je možné spraviť to z tohto okienka, alebo z hlavného menu Arc viď obrázok vyššie. Vyberáme si či Service principal použijeme na Resource Group, alebo na Subscripciu, platnosť kľúča a hlavne nezabudneme zaškrtnúť rolu Azure Connected Machine Onboarding. A úplne najdôležitejšia vec – stiahneme si pricipal ID and Secret, lebo už sa k nemu nikdy nedostaneme! Jedine teda že si vygenerujeme nový, k čomu sa tiež dostaneme, keďže platnosť kľúča nie je neobmedzená.

Keď máme vyklikané, prejdeme na ďalšiu obrazovku, kde zvolíme Group policy:

Ako prvé si z linku “Download Installer package” stiahneme inštalátor “AzureConnectedMachineAgent .msi”. Ten si uložíme niekde na filesystém, budeme ho odtiaľ inštalovať na servery. Zložku do ktorej inštalátor uložíme nazdieľame a nezabudneme na rozumné oprávnenia. Teda Domain Servers, Admins, Computers prípadne iné, ktoré používame. Určite nechceme v produkcii nechať Everyone.

V ďalšom kroku si stiahneme z Githubu zip súbor s pomocnými skriptami a šablónou pre group policy. Toto si rozbalíme niekde na doménový radič napríklad. Nižšie v kroku 4 si parametrizujeme spúšťanie práve týchto stiahnutých skriptov ktoré obsahuje balíček “ArcEnabledServersGroupPolicy_v1.0.6.zip”.

No a parametre. Domain name je jasný a z nasledujúcich dvoch vyskladáme cestu k share kde sme si uložili inštalátor z kroku 2. Teda vyzerať to môže tak, že ReportServerFQDN bude server. domena.com a ArcRemoteShare bude napr. MSI\GPO\Arc. Nebojte keď tam zadáte blbosť pri spustení skriptu si vo výpise rýchlo všimnete ako a akú cestu skript vyskladáva, kde ste dali navyše lomítko a podobne, takže to ľahko napravíme priamo v parametroch skriptu. Nezabúdame samozrejme serviceprincipal-Enter secret here:-)

No a už sa stačí len nalistovať do adresára s rozbaleným “ArcEnabledServersGroupPolicy_v1.0.6.zip” a spustiť skript z kroku 4. Ak všetko prebehne v poriadku, pribudne nám nová politika s názvom [MSFT] Azure Arc Servers Onboarding a časovou značkou. Tú stačí nalinkovať na OU a pridať computer objecty serverov. Tie sa vo väčšine prípadov do Arc-u pochytajú automaticky.

No a čo vlastne robí tá politika? pridáva dva registrové záznamy:

  • HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\AzureArc\RegistrationInfo, Value type REG_SZ,
    Value data RegistrationInfoTOSET
  • HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\AzureArc\RegistrationKey, Value type REG_SZ,
  • Value data RegistrationKeyTOSET

a dva naplánované úlohy na inštaláciu Arc agenta parametrizované podľa toho čo sme zadali vyššie. V zdieľanom adresári to potom vyzerá nejako takto:

Vygenerovanie nového kľúča – client secret a jeho zakryptovanie pre použitie politiky onboardingu počítačov v Azure Arc

Posted by f0s1l on 28. augusta 2023
Posted in: Azure/Office365. Jeden komentár

Manažment Service principals robíme v portály Azure Arc – Service principals

Tu si potom v časti Certificates & secrets vygenerujeme nový kľúč. Nezabudneme uložiť “Value”, keďže sa k nej už nikdy nedostaneme!

No a teraz tá zaujívamá časť. Pri generovaní GPO pre munltimachines onboarding cez Azure sa nám kľúč pre Service principal skriptom “AzureArcDeployment.psm1” (čo nájdeme v skripte DeployGPO.ps1, od riadku 221) zašifroval a uložil v tejto podobe na share, ktorý sme si definovali pre súbory politiky do súboru “encryptedServicePrincipalSecret”.

Keď zmeníme kľúč, samozrejme sa nám nechce vyrábať celú politiku a všetko okolo nanovo. Na internete je veľa dobrých ľudí, a našiel som nasledovnú drobnú modifikáciu časti skriptu DeployGPO.ps1:

$ServicePrincipalSecret = 'TU NAHRAME VLASTNY KLUC'
$DomainComputersSID = "SID=" + (Get-ADDomain).DomainSID.Value + '-515'
$DomainControllersSID = "SID=" + (Get-ADDomain).DomainSID.Value + '-516'

# Encrypting the ServicePrincipalSecret to be decrypted only by the Domain Controllers and the Domain Computers security groups

$descriptor = @($DomainComputersSID, $DomainControllersSID) -join " OR "

Import-Module .\AzureArcDeployment.psm1
$encryptedSecret = [DpapiNgUtil]::ProtectBase64($descriptor, $ServicePrincipalSecret)

$encryptedSecret | Out-File -FilePath .\encryptedServicePrincipalSecret -Force

Tú stačí pustiť v umiestnení kde máme uložený “AzureArcDeployment.psm1” a nový súbor “encryptedServicePrincipalSecret” je na svete. potom ho stačí nakopírovať na share kde máme uložený starý a onboarding funguje s novým kľúčom.

Rýchla voľba pri telefonovaní na Androide

Posted by f0s1l on 28. augusta 2023
Posted in: Mobilné. Pridaj komentár

Podržím dvojku, volám manželke; podržím trojku volám šéfovi, podržím jednotku volám…a nechajme to tak.

Ak vám táto možnosť pri moderných smartphone-och chýba verte, že je tu stále s nami. Stačí podržať prst na konkrétnom čísle pri vytáčaní – priradiť kontakt milenky (…no dobre, áno všetci ajtáci, snívajte s nami…ale úprimne čo by sme s ňou robili, že? kvejka to hrať nevie, elden ring nezvláda, zaklínača (knihy, knihy, knihy! a tiež hry! nie netflix, fakt nie!) ju nebaví, final fantasy je pre ňu čudná, no a čo taká večerná sexi debata ohľadne Dungeons & Dragons pravidiel a tohtoročnej hviezdy Baldur´s Gate 3?….Veru, dobre je nám tak ako sme….). Hotovo. Podržaním vytočíme.

Zapnutie automatickej inštalácie Microsoft defender for Endpoint na severy riedené cez Cloud

Posted by f0s1l on 25. augusta 2023
Posted in: Azure/Office365. Pridaj komentár

Jedná sa o nastavenie na portále Microsoft Defender for Cloud a odkaz naňho nájdeme vo vašom tenante cez príslušnú aplikáciu

Prejdeme do časti Environment settings, kde klepneme na príslušnú subskripciu

No a tu máme dve možnosti. Buď pôjdeme do centrálneho nastavenia – Settings & monitoring

alebo priamo do stavenia týkajúceho sa Serverov cez Settings

Tu už len zapneme príslušný modul:

Existuje ešte aj opačná možnosť a to automatická migrácia serverov, ktoré majú nainštalovaný Defender for Endpoint do Defender for Cloud.

To robí funkcia Direct Onboarding, ktorú tiež nájdeme v časti Environment settings.

Každá možnosť má svoje pre a proti. Bežnejšie sa používa vyššie posnímaná prvá možnosť cez automatické zapnutie Endpointovej extension v konfigurácii pre servery.