Windowsforum14-02-2017

17.02.2017 3

Agenda

• AGPM v/Petter og Gunnar

• LAPS v/Petter og Gunnar

• Presentasjoner fra NIC v/deltagere på konferansen

• Diskusjon

NIC conf i Oslo Spektrum

• Elisabeth: Intro + Azure, ADFS, Identity

• Dag-Christian: Powershell, remote sessions

• Kaj: Johan Arwidsmark. Deployment av OS.

• Erik/Mohammed: Automatisering, amazon, ibm, hybrid.

• Anders/Ketil: AWS vs Azure vs Google. Hva skjer nå? Sikkerhetsaspektet

blitt bedre.

• Torben: Et par slides om Sami og performance.

• Mustafa: Kibana og ELK foredrag bra! DSC, dashboards. Nanoserver.

17.02.2017 4

Elisabeth

17.02.2017 5

Azure og identity

• Fokus på hybridløsninger, kombinasjon av on premise og Cloud

• Flere og flere muligheter i Azure som man er vant til fra AD, eks GPO.,

grupper, etc

• Og omvendt: Funksjonalitet som finnes i Azure kommer i server 2016

• Bedre på sikkerhetsaspektet, personvern mtp geografiske lokasjoner, etc

(mer fra Anders/Ketil?)

• En trend at identitet blir viktigere (identity driven security). Brukerens

identitet blir nøkkelen.

• "Paradigmeskifte" mhp open source og linux

17.02.2017 6

ADFS 2016

• Fokus på moderne autentisering og sikrere innlogging

• Åpner mer for industristandardene OpenID Connect og OAuth 2.0 for autentisering og autorisasjon.

• Støtter fremdeles tradisjonelle "old school" (SAML, WS-*,

etc), men mindre fokus på dem.

• Div nye features eks enkel oppgradering fra 2012->2016(I tillegg: Application groups, Rapid Restore Tool, Better Conditional Access Control,

Access Control Policies, Delegated Service Management, Audits Enhancements, etc

etc)

17.02.2017 7

Dag-Christian: Powershell

17.02.2017 8

Powershell: Writing Reusable code 1.

• Silentlycontinue (man kan gå glipp av viktige feilmeldinger hvis man

bruker den)

• Hvilke deler av koden kan bli skrevet som funksjoner?

• - de som brukes flere enn 1 gang :)

• Cmdletbinding (for mer avanserte funksjoner)

• params i funksjon

• Husk verbose og -verbose: $false, for å skru av verbose i enkelte tilfeller.

• ValueFromPipeline=$true(kan pipes)

17.02.2017 9

Powershell: Writing Reusable code 2.

• Begin{} Process{} End{}

• .. for effektiv feilsøking.

• Nullstill alltid variabler før de brukes for å forhindre at forrige verdi blir brukt!.

ValidateNotNullorEmpty

ValidateRange(1-12 f.eks for mnd etc).

Try.. Catch for effektiv feilmeldingshåndtering.

17.02.2017 10

Powershell: Powershell Remoting.

Det man kan gjøre på 1 maskin, kan man gjøre på alle maskinene!.

• Trusted hosts for enkel authentisering.

• $var=Get-Credentials for å lagre påloggingsinfo i koden for hver kjøring.

• Invoke-command -session $a , $b etc.

• evt bruke invoke-command på de som er open.

• En variabel kan være flere maskiner.

• Psdrive tar kommandoer/funksjoner over i lokale maskiner via remote

command

17.02.2017 11

Kaj: Deployment av OS

17.02.2017 12

1) Krav til SCCM Windows 10 OSD

• SCCM CB 1606 + 1610

• ADK 10 ver. 1607

• MDT ver. 8443

17.02.2017 13

2) Driver installasjon (Frank Rojas Drivers Issue)

• "After installing the ADK 10 1607 on ConfigMgr Current Branch 1602 or newer, the Apply Driver

Package task will start failing while installing one of the drivers in the Driver Package. The

failure is random and will not occur on the same driver every time. Occasionally the Apply

Driver Package task may succeed."

• https://blogs.technet.microsoft.com/configurationmgr/2017/01/03/support-tip-the-apply-driver-

package-task-fails-when-the-adk-is-upgraded-to-adk-10-1607/

Løsning:

• I stedet før at kjøre "drivers->Apply Driver Package" kjøres "Software->Download Package" og

"Run Command line" dism.exe ...

• https://blogs.technet.microsoft.com/system_center_configuration_manager_operating_system_

deployment_support_blog/2016/12/28/apply-driver-package-task-fails-when-the-adk-is-

upgrade-to-adk-10-1607/#Workaround2

17.02.2017 14

3) IIS Housekeeping

• Vurder å kjøre "Housekeeping" av IIS logg filer.

• https://gallery.technet.microsoft.com/scriptcenter/31db73b4-746c-4d33-

a0aa-7a79006317e6

17.02.2017 15

4) Modern Apps

• Windows 10 "Chatty apps" kontakter ulike servere rundt om i verden og

årsaker mye nettverkstrafikk.

• Kan ikke oppdateres med SUP eller Windows update. Windows 10 start

menu er en applikasjon. Husk når du kjører applocker!.

• Adnan Hendricks nevnte removeapps powerShell script:

• "When creating a Windows-10-Image for the Enterprise you may not want

to include all of the default Windows Store Applications. This script takes

a simple list of Apps and then removes the Apps from the default

install.wim."

• https://gallery.technet.microsoft.com/Removing-Built-in-apps-65dc387b

17.02.2017 16

5) Branchcache

• WIndows in-place upgrade reinstallerer modern apps (ikke etter SCCM ver 1607) In-place Upgrade kan kreve nye drivere for nyverson av windows. Bruk task sekvens til dette.

• https://social.technet.microsoft.com/Forums/en-US/a0b984fc-3713-4af3-936f-4cd6f778c5a2/windows-10-inplace-upgrade-

drivers?forum=ConfigMgrCBOSD

• "Every Windows 10 in-place Upgrade (even with SCCM) is a SEVERE Security risk" - Sami Laiho.

• This CLI debugging interface grants the attacker full access to the computer's hard drive, despite the presence of BitLocker.

• The reason is that during the Windows 10 update procedure, the OS disables BitLocker while the Windows PE (Preinstallation

Environment) installs a new image of the main Windows 10 operating system.

• "This [update procedure] has a feature for troubleshooting that allows you to press SHIFT+F10 to get a Command Prompt,"

• Laiho writes on his blog.

• "The real issue here is the Elevation of Privilege that takes a non-admin to SYSTEM (the root of Windows) even on a BitLocker (Microsoft's hard disk encryption) protected machine."

• Løsningen av Johan Arwidmark er å skape en fil: Windows\Setup\scripts\DisableCMDRequest.TAG

• i install.wim og winre.wim.

• http://deploymentresearch.com/Research/Post/567/Using-ConfigMgr-to-fix-the-Shift-F10-security-issue-for-Windows-10-inplace-

Upgrades

•

• Løst i UIO image !

17.02.2017 17

7) Express Installation Files

• Ikke aktiv i wsus som standard

• Cumulative oppdateringer blir større og større hver månedExpress installation files tillater at klienten kun laster ned

deltat fra førrige måneds cumulative oppdatering

• https://technet.microsoft.com/en-

us/library/cc708456(v=ws.10))

17.02.2017 18

8) Windows 10 credential guard breaks wifi

• For a Credential Guard enabled computer to authenticate to a WPA2-Enterprise wireless network, the network must use certificate based authentication

• Microsoft introduced Credential Guard with Windows 10 Enterprise.

• It uses virtualisation to protect secrets from everything apart from privileged system software.

• By protecting NTLM password hashes and Kerberos Ticket Granting Tickets Credential Guard prevents credential theft attacks such

as Pass-the-Hash or Pass-the-Ticket that could access these secrets.

• So how does Credential Guard break the Wi-Fi?

• The consequence of this added security is that older versions of NTLM using default derived credentials this includes MSCHAPv2.

• Now that MSCHAPv2 cannot access machine or user credentials, the de facto EAP type for Wi-Fi 802.1X authentication,

• PEAP/MSCHAPv2 no longer works.

• However, all is not lost Certificate based authentication still works with Credential Guard enabled.

• Then fix is therefore to convert to EAP/TLS and install machine or user certificates on the Windows 10 Enterprise laptops.

• Even today many users still have not implemented a PKI to manage certificates.

• Therefore, there are two resolutions for this issue.

• - Do not implement Credential Guard on Windows 10 Enterprise

• - Implement the Microsoft Certificate Server within your domain to install and manage certificates on the Devices

• Niegel Kemp: https://docs.com/nigel-kemp/7232/credential-guard-broke-my-wi-fi

• http://www.neighborgeek.net/2016/08/windows-10-credential-guard-breaks-wifi.html

• https://technet.microsoft.com/en-us/itpro/windows/keep-secure/credential-guard

17.02.2017 19

9) Oppdatering av SCCM krever man sender inn telemetry data til Microsoft

• System role: "Service Connection point"

• "Receiving updates to your System Center Configuration Manager Server(s) is

today more important than ever in order to have your SCCM environment keep

track with Windows 10 and the ever fast paste with Cloud development where new

features are added constantly. To make the updates experience of your SCCM

solution as smooth as possible Microsoft has introduced dynamic updates for

SCCM. This basically means that you will get a notice in your SCCM Administration

console that a new update is available for installation. But there is a but, Microsoft

requires you to send data to them in order to actually receive the updates."

• http://blog.coretech.dk/mas/upgrade-sccm-1511-to-1602-when-service-connection-

point-is-set-to-offline-on-demand/

17.02.2017 20

Erik: Automatasjon og konfigurasjon

17.02.2017 21

Erik 1

• Hovedfokus på NIC: Sky tjenester

• Sky tjenester og "hybrid" løsninger.

• "Metoder" for å automatisere og konfigurere

- Terrafrom, Rancher, vRA Orchestrator, egen utvikledetjenester til dette.

• Flere kommer med integrasjon mot "On-prem" løsninger.

Bluemix platformen og vMotion for VMWare.

17.02.2017 22

Erik 2

• *Hva bruker disse "sky" leverandørene av konfigurasjonsverktøy:

- AWS: Egenutviklet

- IBM/Bluemix: Bruker mye av VMWare sine verktøy.

- Evry: Terraform/Rancher

• Ingen "dette er det beste" verktøyet for jobben. Må se på:

- Kostander rundt innførignen av "nytt" verktøy

- Hva bruker andre "grupper/seksjoner"

17.02.2017 23

Anders/Ketil: AWS vs Azure vs Google

17.02.2017 24

17.02.2017 25

Leverandører

• Amazon – AWS

• Google - Google Cloud Platform

• Microsoft – Azure

– Azure Stack?

Avtaler

• Sannsynligvis vil avtaler gå gjennom GÉANT

– Sammenslutning av UNINETT-lignende organisasjoner i Europa

– Felles avtaleverk for innkjøp av skytjenester

– Leverandører: Amazon, MS, Google, IBM, Dropbox, Box + 10-15 til

– .edu-priser + betaler ikke for trafikk

– https://catalogue.clouds.geant.net/

17.02.2017 26

Windows

• Alle de tre store tilbyr Windows-basert IaaS

• Azure sin er mest moden

– RDS er en ferdig tjeneste

– God AD-integrering

• AWS tilbyr full kryptering

– Kan gjøre det enklere å ta i bruk raskt

• Google

– Basic

– Kan installers med MSSQL Server-image

17.02.2017 27

Azure Stack

• Microsoft-skytjenester i eget maskinrom

• Videreutvikling av Azure Pack

– Lettere å sette opp og vedlikeholde enn Azure Pack

– Release til sommeren

– Appliance/full service-basert

– Single server-versjon vil være tilgjengelig

17.02.2017 28

Azure Stack

• Kan tilby et utvalg av Azure sine tjenester

– PaaS er hovedsatsingen

– IaaS, SaaS, DBaaS, SaaS

– Mye skreddersøm for nye tjenester

• Mest for tjenester som ikke kan legges ut i skyen

• Dyrt i innkjøp (antar vi)

• Behovet minsker etterhvert som vi kommer nærmere å ta i bruk

ekte skytjenester

17.02.2017 29

Hva venter vi på?

• EU-lovgivning

– Trump/Snowden

• Norsk lovgivning

– Kan studenters data legges i skyen uten deres samtykke?

– Noen har tatt sjansen

– UIO avventer

• “Den tyske modellen”

– Datasentre i Europa eid av europeiske firma

17.02.2017 30

Torben: Sami og performance

• DEMO

17.02.2017 31

Mustafa

• Nano servere

– No GUI, gpo og rdp støtte.

– Wmi, powershell remoting, Powershell direct, DSC, RSAT verktøy

osv.

• Logghåndtering

– Windows EVT logger, flat filer.

– Logging fra ps scripter.

17.02.2017 32

Diskusjon forslag: kibana og muligheter

• Hva kan vi gjøre med alle mail-loggene våre? (Script somsende til kibana-instans istedet med dashboards.)

• Eks Sende pxe-logger til kibana? (Folk allerede snakket litt

om dette)

17.02.2017 33