Kontrola TLS v registroch

Kontrolu, či máme povolené TLS nejakej verzie vieme spraviť cez registre. Jedná sa o vetvu:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server\
kde by mala byť hodnota DisabledByDefault nastavená na 0
a hodnota Enabled na 1.

Kontrolu či je napr. TLS 1.2 predvolený bezpečnostný protokol pre WinHTTP pozrieme vo vetve

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\
alebo
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\

kde hľadáme hodnotu DefaultSecureProtocols nastavenú na 0x00000A00, alebo 0x00000800.

No a nakoniec, pre .net framework (4, resp. príslušnú verziu za lomítkom v….) pozrieme vetvu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
resp.
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v4.0.30319
v oboch hľadáme, resp. nastavíme SystemDefaultTlsVersions na dword:00000001

Chyba pri spustení v Analytic a Debug Log-u

Analytic a debug log zapneme keď sa nastavíme na vrch koreňa v Event Viewer-y (teda na názov Event Viewer) a z vrchného menu dáme Zobraziť – Analytic and Debug log

Všimneme si že nám pribudli rozšírené logy, ktoré môžeme Enablovať.

V niektorých prípadoch dostaneme nasledujúcu chybu: “The requested operation cannot be performed over an enabled direct channel. The channel must first be disabled before performing the requested operation.”

Čo zvyklo pomôcť, tak to v Properties toho konkrétneho logu (položka hneď nad Enable) bolo vypnúť Enable, nastaviť Do not overwrite events. Uložiť, zapnúť, refresh….malo by fungovať. Hlavne nezabudnúť zase potom s týmto nastavením log vypnúť!!!

RDP authentication error – CreedSSP encryption

Chyba sa prejavuje pri pripojení cez Remote desktop:

Jedným z riešení je na klientovi, z ktorého sa pripájame zmeniť cez politiku nasledujúcu hodnotu

gpedit.msc (alebo GPO)
Computer Configuration > Administrative Templates > System > Credentials Delegation > Encryption Oracle Remediation.

To nastavíme na Enabled - Vulnerable

Druhá možnosť je, na serveri vypnúť vynucovanie používania bezpečného pripojenia cez System properties:

Prepnutie OS na KMS

Prepnutie Microsoft produktov z jednorázových lincenčných Multiple Activation Keys, zvaných aj MAK, na centrálny Key Management Service (KMS), ktorý aktiváciu produktov zabezpečuje priebežne a je viazaný na firemné prostredie, je pomerne bežný korporátny štandard.

Licenčné informácie si vypíšeme príkazom

slmgr /dlv

alebo keď chceme do príkazového riadka tak zo System32 príkazom

C:\Windows\System32>cscript slmgr.vbs /dlv

Tu sa dozvieme či sme zalicencovaný MAK kľúčom (Retail) alebo KMS a ak KMS, tak či používame Active Directory Based Activation, alebo ideme na KMS Server priamo.

Prepnutie z MAK na KMS a jeho aktiváciu spravíme príkazmi


C:\WINDOWS\system32>cscript slmgr.vbs /ipk generické číslo
C:\WINDOWS\system32>cscript slmgr.vbs /ato

Pričom čísla nájdeme rôzne na internete, napr. tu – Product Keys for Updating to KMS from MAK Activation. Použijeme príslušné číslo verzie, ktorú potrebujeme.

Zviditeľnenie naplánovanej úlohy pre užívateľov

Výsledkom bude, že užívateľ uvidí v Task manager službu, ktorú inak nevidí, lebo je prístupná len pre administrátora. Bude ju môcť stopnúť, spustiť, pozrieť nastavenia. Nebude ju vedieť modifikovať.

Začneme spustením poweshell cez psexec
Psexec -i -s PowerShell

Potom si nastavíme premenné. Za Tree dáme názov skužby, ktorú chceme zviditeľniť

$KeyPath = "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\názov služby"
$KeyValue="SD"

$key=Get-ItemProperty -Path HKLM:\$KeyPath -Name $KeyValue
$binsd=$key.$KeyValue

$sddl=Invoke-WmiMethod -Class Win32_SecurityDescriptorHelper -Name BinarySDToSDDL -ArgumentList $binsd,$null
$sddl.sddl

Pridáme SID pre konto, skupinu užívateľov, pre ktorú chceme úlohu zviditeľniť. V tomto prípade S-1-5-11 je Authenticated Users
$ssdl2=$sddl.SDDL + "(A;OICIID;0xffffffff;;;BA)(A;OICIID;0xffffffff;;;S-1-5-11)"

Pridáme do registrov:
$binsd2=Invoke-WmiMethod -Class Win32_SecurityDescriptorHelper -Name SDDLToBinarySD -ArgumentList $ssdl2, $null
$key=Set-ItemProperty -Path "HKLM:\$KeyPath" -Name $KeyValue -Value $binsd2.BinarySD

Prehľad počtu aktuálne pripojených používateľov na IIS

Napríklad cez Performance Editor – perfmon.msc. Ťukneme na Performance – Monitoring tools – Performance monitor a dáme zelené plus.

V available counters nájdeme Web service a vyberieme čo nás zaujíma. V tomto prípade Current Connections, Non a Anonymous Users – Total

Po kliknutí OK nám perfmon vykreslí graf, kde si môžeme pozrieť počty aktuálne pripojených používateľov.

Nastavenie Onedrive cez GPO

Začneme tým, že si na lokálnom PC pohľadáme šablóny pre politiku.

Zavítame do umiestnenia C:\Users\user\AppData\Local\Microsoft\OneDrive\21.016.0124.0003 (posledná verzia)\adm a tam nájdeme súbory s príponami adml a admx

Tie na doménovom radiči nakopírujeme do C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions (admx súbor) a C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions\en-US (adml súbor).

Šablónu máme, poďme pozrieť na politiku.

Najprv mrkneme do Administrative Templates\Windows Components\Onedrive kde hľadáme Prevent the usage of OneDrive for file storage. Enable Onedrive zakáže, Disable Onedrive povolí.

Teraz v časti Administrative Templates\Onedrive nájdeme množstvo iných nastavení (na Computer a User-a navyše rozdielnych, resp. na User-a ich je menej). Treba preklikať a zapnúť podľa vlastného uváženia.

Za zmienku stojí napr:

  • Allow syncing OneDrive accounts for only specific organizations
  • Exclude specific kinds of files from being uploaded
  • Silently move Windows known folders to OneDrive
  • Silently sign in users to the OneDrive sync app with their Windows credentials
  • Use OneDrive Files On-Demand

Publikovanie odkazu na SCCM Software Center na plochu

Praktické keď neviete svojich užívateľov prinútiť používať ponuku Štart a základné IT vedomosti. Pri káve, keď sa nudia, na tú záhadnú ikonku na ploche ťuknú a … prekvapenie! 😀

Asi najrýchlejšie je to spraviť cez GPO – User – Preferences

Dáme New – Shortcut.

V zavislosti ako ste zvyknuti, dajte Create/Update/Replace, typ-URL, rovnako tak zhodnoťte, kde chcete odkaz umiestniť (Location), dajme samotný shortcut (Target URL).

Tu sú tieto možnosti

Default - softwarecenter:
Applications – softwarecenter:Page=AvailableSoftware
Updates – softwarecenter:Page=Updates
Operating Systems – softwarecenter:Page=OSD
Installation Status – softwarecenter:Page=InstallationStatus
Device Compliance – softwarecenter:Page=Compliance

A dajme ikonu. V našom prípade rátame s lokálne nainštalovanou aplikáciou CCM, teda cesta k ikone je

%SystemRoot%\CCM\scclient.exe

Ak máme chuť nastavíme ešte Item level targetting, resp. ďalšie veci v záložke Common.

 

Dáme gpupdate /force a hotovo