Windowsforum14-02-2017
17.02.2017 3
Agenda
• AGPM v/Petter og Gunnar
• LAPS v/Petter og Gunnar
• Presentasjoner fra NIC v/deltagere på konferansen
• Diskusjon
NIC conf i Oslo Spektrum
• Elisabeth: Intro + Azure, ADFS, Identity
• Dag-Christian: Powershell, remote sessions
• Kaj: Johan Arwidsmark. Deployment av OS.
• Erik/Mohammed: Automatisering, amazon, ibm, hybrid.
• Anders/Ketil: AWS vs Azure vs Google. Hva skjer nå? Sikkerhetsaspektet
blitt bedre.
• Torben: Et par slides om Sami og performance.
• Mustafa: Kibana og ELK foredrag bra! DSC, dashboards. Nanoserver.
17.02.2017 4
Elisabeth
17.02.2017 5
Azure og identity
• Fokus på hybridløsninger, kombinasjon av on premise og Cloud
• Flere og flere muligheter i Azure som man er vant til fra AD, eks GPO.,
grupper, etc
• Og omvendt: Funksjonalitet som finnes i Azure kommer i server 2016
• Bedre på sikkerhetsaspektet, personvern mtp geografiske lokasjoner, etc
(mer fra Anders/Ketil?)
• En trend at identitet blir viktigere (identity driven security). Brukerens
identitet blir nøkkelen.
• "Paradigmeskifte" mhp open source og linux
17.02.2017 6
ADFS 2016
• Fokus på moderne autentisering og sikrere innlogging
• Åpner mer for industristandardene OpenID Connect og OAuth 2.0 for autentisering og autorisasjon.
• Støtter fremdeles tradisjonelle "old school" (SAML, WS-*,
etc), men mindre fokus på dem.
• Div nye features eks enkel oppgradering fra 2012->2016(I tillegg: Application groups, Rapid Restore Tool, Better Conditional Access Control,
Access Control Policies, Delegated Service Management, Audits Enhancements, etc
etc)
17.02.2017 7
Dag-Christian: Powershell
17.02.2017 8
Powershell: Writing Reusable code 1.
• Silentlycontinue (man kan gå glipp av viktige feilmeldinger hvis man
bruker den)
• Hvilke deler av koden kan bli skrevet som funksjoner?
• - de som brukes flere enn 1 gang :)
• Cmdletbinding (for mer avanserte funksjoner)
• params i funksjon
• Husk verbose og -verbose: $false, for å skru av verbose i enkelte tilfeller.
• ValueFromPipeline=$true(kan pipes)
17.02.2017 9
Powershell: Writing Reusable code 2.
• Begin{} Process{} End{}
• .. for effektiv feilsøking.
• Nullstill alltid variabler før de brukes for å forhindre at forrige verdi blir brukt!.
ValidateNotNullorEmpty
ValidateRange(1-12 f.eks for mnd etc).
Try.. Catch for effektiv feilmeldingshåndtering.
17.02.2017 10
Powershell: Powershell Remoting.
Det man kan gjøre på 1 maskin, kan man gjøre på alle maskinene!.
• Trusted hosts for enkel authentisering.
• $var=Get-Credentials for å lagre påloggingsinfo i koden for hver kjøring.
• Invoke-command -session $a , $b etc.
• evt bruke invoke-command på de som er open.
• En variabel kan være flere maskiner.
• Psdrive tar kommandoer/funksjoner over i lokale maskiner via remote
command
17.02.2017 11
Kaj: Deployment av OS
17.02.2017 12
1) Krav til SCCM Windows 10 OSD
• SCCM CB 1606 + 1610
• ADK 10 ver. 1607
• MDT ver. 8443
17.02.2017 13
2) Driver installasjon (Frank Rojas Drivers Issue)
• "After installing the ADK 10 1607 on ConfigMgr Current Branch 1602 or newer, the Apply Driver
Package task will start failing while installing one of the drivers in the Driver Package. The
failure is random and will not occur on the same driver every time. Occasionally the Apply
Driver Package task may succeed."
• https://blogs.technet.microsoft.com/configurationmgr/2017/01/03/support-tip-the-apply-driver-
package-task-fails-when-the-adk-is-upgraded-to-adk-10-1607/
Løsning:
• I stedet før at kjøre "drivers->Apply Driver Package" kjøres "Software->Download Package" og
"Run Command line" dism.exe ...
• https://blogs.technet.microsoft.com/system_center_configuration_manager_operating_system_
deployment_support_blog/2016/12/28/apply-driver-package-task-fails-when-the-adk-is-
upgrade-to-adk-10-1607/#Workaround2
17.02.2017 14
3) IIS Housekeeping
• Vurder å kjøre "Housekeeping" av IIS logg filer.
• https://gallery.technet.microsoft.com/scriptcenter/31db73b4-746c-4d33-
a0aa-7a79006317e6
17.02.2017 15
4) Modern Apps
• Windows 10 "Chatty apps" kontakter ulike servere rundt om i verden og
årsaker mye nettverkstrafikk.
• Kan ikke oppdateres med SUP eller Windows update. Windows 10 start
menu er en applikasjon. Husk når du kjører applocker!.
• Adnan Hendricks nevnte removeapps powerShell script:
• "When creating a Windows-10-Image for the Enterprise you may not want
to include all of the default Windows Store Applications. This script takes
a simple list of Apps and then removes the Apps from the default
install.wim."
• https://gallery.technet.microsoft.com/Removing-Built-in-apps-65dc387b
17.02.2017 16
5) Branchcache
• WIndows in-place upgrade reinstallerer modern apps (ikke etter SCCM ver 1607) In-place Upgrade kan kreve nye drivere for nyverson av windows. Bruk task sekvens til dette.
• https://social.technet.microsoft.com/Forums/en-US/a0b984fc-3713-4af3-936f-4cd6f778c5a2/windows-10-inplace-upgrade-
drivers?forum=ConfigMgrCBOSD
• "Every Windows 10 in-place Upgrade (even with SCCM) is a SEVERE Security risk" - Sami Laiho.
• This CLI debugging interface grants the attacker full access to the computer's hard drive, despite the presence of BitLocker.
• The reason is that during the Windows 10 update procedure, the OS disables BitLocker while the Windows PE (Preinstallation
Environment) installs a new image of the main Windows 10 operating system.
• "This [update procedure] has a feature for troubleshooting that allows you to press SHIFT+F10 to get a Command Prompt,"
• Laiho writes on his blog.
• "The real issue here is the Elevation of Privilege that takes a non-admin to SYSTEM (the root of Windows) even on a BitLocker (Microsoft's hard disk encryption) protected machine."
• Løsningen av Johan Arwidmark er å skape en fil: Windows\Setup\scripts\DisableCMDRequest.TAG
• i install.wim og winre.wim.
• http://deploymentresearch.com/Research/Post/567/Using-ConfigMgr-to-fix-the-Shift-F10-security-issue-for-Windows-10-inplace-
Upgrades
•
• Løst i UIO image !
17.02.2017 17
7) Express Installation Files
• Ikke aktiv i wsus som standard
• Cumulative oppdateringer blir større og større hver månedExpress installation files tillater at klienten kun laster ned
deltat fra førrige måneds cumulative oppdatering
• https://technet.microsoft.com/en-
us/library/cc708456(v=ws.10))
17.02.2017 18
8) Windows 10 credential guard breaks wifi
• For a Credential Guard enabled computer to authenticate to a WPA2-Enterprise wireless network, the network must use certificate based authentication
• Microsoft introduced Credential Guard with Windows 10 Enterprise.
• It uses virtualisation to protect secrets from everything apart from privileged system software.
• By protecting NTLM password hashes and Kerberos Ticket Granting Tickets Credential Guard prevents credential theft attacks such
as Pass-the-Hash or Pass-the-Ticket that could access these secrets.
• So how does Credential Guard break the Wi-Fi?
• The consequence of this added security is that older versions of NTLM using default derived credentials this includes MSCHAPv2.
• Now that MSCHAPv2 cannot access machine or user credentials, the de facto EAP type for Wi-Fi 802.1X authentication,
• PEAP/MSCHAPv2 no longer works.
• However, all is not lost Certificate based authentication still works with Credential Guard enabled.
• Then fix is therefore to convert to EAP/TLS and install machine or user certificates on the Windows 10 Enterprise laptops.
• Even today many users still have not implemented a PKI to manage certificates.
• Therefore, there are two resolutions for this issue.
• - Do not implement Credential Guard on Windows 10 Enterprise
• - Implement the Microsoft Certificate Server within your domain to install and manage certificates on the Devices
• Niegel Kemp: https://docs.com/nigel-kemp/7232/credential-guard-broke-my-wi-fi
• http://www.neighborgeek.net/2016/08/windows-10-credential-guard-breaks-wifi.html
• https://technet.microsoft.com/en-us/itpro/windows/keep-secure/credential-guard
17.02.2017 19
9) Oppdatering av SCCM krever man sender inn telemetry data til Microsoft
• System role: "Service Connection point"
• "Receiving updates to your System Center Configuration Manager Server(s) is
today more important than ever in order to have your SCCM environment keep
track with Windows 10 and the ever fast paste with Cloud development where new
features are added constantly. To make the updates experience of your SCCM
solution as smooth as possible Microsoft has introduced dynamic updates for
SCCM. This basically means that you will get a notice in your SCCM Administration
console that a new update is available for installation. But there is a but, Microsoft
requires you to send data to them in order to actually receive the updates."
• http://blog.coretech.dk/mas/upgrade-sccm-1511-to-1602-when-service-connection-
point-is-set-to-offline-on-demand/
17.02.2017 20
Erik: Automatasjon og konfigurasjon
17.02.2017 21
Erik 1
• Hovedfokus på NIC: Sky tjenester
• Sky tjenester og "hybrid" løsninger.
• "Metoder" for å automatisere og konfigurere
- Terrafrom, Rancher, vRA Orchestrator, egen utvikledetjenester til dette.
• Flere kommer med integrasjon mot "On-prem" løsninger.
Bluemix platformen og vMotion for VMWare.
17.02.2017 22
Erik 2
• *Hva bruker disse "sky" leverandørene av konfigurasjonsverktøy:
- AWS: Egenutviklet
- IBM/Bluemix: Bruker mye av VMWare sine verktøy.
- Evry: Terraform/Rancher
• Ingen "dette er det beste" verktøyet for jobben. Må se på:
- Kostander rundt innførignen av "nytt" verktøy
- Hva bruker andre "grupper/seksjoner"
17.02.2017 23
Anders/Ketil: AWS vs Azure vs Google
17.02.2017 24
17.02.2017 25
Leverandører
• Amazon – AWS
• Google - Google Cloud Platform
• Microsoft – Azure
– Azure Stack?
Avtaler
• Sannsynligvis vil avtaler gå gjennom GÉANT
– Sammenslutning av UNINETT-lignende organisasjoner i Europa
– Felles avtaleverk for innkjøp av skytjenester
– Leverandører: Amazon, MS, Google, IBM, Dropbox, Box + 10-15 til
– .edu-priser + betaler ikke for trafikk
– https://catalogue.clouds.geant.net/
17.02.2017 26
Windows
• Alle de tre store tilbyr Windows-basert IaaS
• Azure sin er mest moden
– RDS er en ferdig tjeneste
– God AD-integrering
• AWS tilbyr full kryptering
– Kan gjøre det enklere å ta i bruk raskt
– Basic
– Kan installers med MSSQL Server-image
17.02.2017 27
Azure Stack
• Microsoft-skytjenester i eget maskinrom
• Videreutvikling av Azure Pack
– Lettere å sette opp og vedlikeholde enn Azure Pack
– Release til sommeren
– Appliance/full service-basert
– Single server-versjon vil være tilgjengelig
17.02.2017 28
Azure Stack
• Kan tilby et utvalg av Azure sine tjenester
– PaaS er hovedsatsingen
– IaaS, SaaS, DBaaS, SaaS
– Mye skreddersøm for nye tjenester
• Mest for tjenester som ikke kan legges ut i skyen
• Dyrt i innkjøp (antar vi)
• Behovet minsker etterhvert som vi kommer nærmere å ta i bruk
ekte skytjenester
17.02.2017 29
Hva venter vi på?
• EU-lovgivning
– Trump/Snowden
• Norsk lovgivning
– Kan studenters data legges i skyen uten deres samtykke?
– Noen har tatt sjansen
– UIO avventer
• “Den tyske modellen”
– Datasentre i Europa eid av europeiske firma
17.02.2017 30
Torben: Sami og performance
• DEMO
17.02.2017 31
Mustafa
• Nano servere
– No GUI, gpo og rdp støtte.
– Wmi, powershell remoting, Powershell direct, DSC, RSAT verktøy
osv.
• Logghåndtering
– Windows EVT logger, flat filer.
– Logging fra ps scripter.
17.02.2017 32
Diskusjon forslag: kibana og muligheter
• Hva kan vi gjøre med alle mail-loggene våre? (Script somsende til kibana-instans istedet med dashboards.)
• Eks Sende pxe-logger til kibana? (Folk allerede snakket litt
om dette)
17.02.2017 33