Заметки сисадмина

Remove all users from local admin group except specified users

2023-09-28 · Posted in PowerShell

I am looking at running a script on all computers to remove all local administrators except

the ones we specify it will only be a few. We are trying to make sure no users have local admin access.
We have to send this out to probably 1500 computers but the same accounts can stay in all of them, but only those accounts
example
administrator
admin1
admin2
admin3

This script removed all but the administrator I need to add more exclusions

On Error Resume Next
strComputer = "."
Set GroupAdm = GetObject ("WinNT: //" & StrComputer & "/ administrators, group")
Set GroupAdm = GetObject ("WinNT: //" & StrComputer & "/ administrators, group")
    Set a = GroupAdm.members ()
    For Each b In a
      c = b.Name
      c = CStr (c)
    Select case c
    Case "such administrators"
    Case "Administrators"
    Case "Domain Admins"
    Case "Administrator"
    Case "Admin"
    Case "my_user"
    Case else
Set GroupPUsers = GetObject ("WinNT: //" & StrComputer & "/ users, group")
Set GroupPUsers = GetObject ("WinNT: //" & StrComputer & "/ users, group")
GroupPUsers.Add ("WinNT: //" & "domain" & "/" & c)
Wscript.sleep 100
GroupAdm.Remove ("WinNT: //" & "domain" & "/" & c)
    End select

On Error Resume Next

strComputer = "."

Set GroupAdm = GetObject ("WinNT: //" & StrComputer & "/ administrators, group")

Set a = GroupAdm.members ()

For Each b In a

c = b.Name

c = CStr (c)

Select case c

Case "such administrators"

Case "Administrators"

Case "Domain Admins"

Case "Administrator"

Case "Admin"

Case "my_user"

Case else

Set GroupPUsers = GetObject ("WinNT: //" & StrComputer & "/ users, group")

GroupPUsers.Add ("WinNT: //" & "domain" & "/" & c)

Wscript.sleep 100

GroupAdm.Remove ("WinNT: //" & "domain" & "/" & c)

End select

This startup script leaves in administrators – the listed accounts, the rest are moved to the Users group. Instead of “domain” you need to substitute netbios name of your domain.

No Comments »

Какие шаги в первую очередь предпринять для определения источника вредоносной активности в Windows?⁠⁠

2023-09-25 · Posted in Windows – 10, Windows – 11, Процедуры лечения

Этот вопрос очень многогранный. Если в вашей сети используются различные средства безопасности, источник атаки будет найти не так сложно. В противном случае придется разгребать логи Windows и анализировать результаты выполнения базовых команд в поисках появления чего-то подозрительного:

Пользователи:

net user
Get-LocalUser
net localgroup administrators
Get-LocalGroupMember Administrators

net user

Get-LocalUser

net localgroup administrators

Get-LocalGroupMember Administrators

Процессы:

taskmgr.exe
tasklist
Get-Process
wmic process get name,parentprocessid,processid
wmic process where 'ProcessID=PID' get CommandLine

taskmgr.exe

tasklist

Get-Process

wmic process get name,parentprocessid,processid

wmic process where 'ProcessID=PID' get CommandLine

Сервисы:

services.msc
net start
sc query | more
tasklist /svc
Get-Service | Format-Table -AutoSize

services.msc

net start

sc query | more

tasklist /svc

Get-Service | Format-Table -AutoSize

Task Scheduler:

schtasks
wmic startup get caption,command
Get-CimInstance Win32_StartupCommand | Select-Object Name, command, Location, User | Format-List
Get-ScheduledTask | Format-Table -AutoSize
Get-ScheduledTask -TaskName Office* | Format-Table -AutoSize

schtasks

wmic startup get caption,command

Get-CimInstance Win32_StartupCommand | Select-Object Name, command, Location, User | Format-List

Get-ScheduledTask | Format-Table -AutoSize

Get-ScheduledTask -TaskName Office* | Format-Table -AutoSize

Регистр:

regedit
reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
reg query HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

regedit

reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

reg query HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Соединения:

netstat -ano

1	netstat -ano

Подозрительные файлы:

forfiles /D -10 /S /M *.exe /C "cmd /c echo @path"
forfiles /D -10 /S /M *.exe /C "cmd /c echo @ext @fname @fdate"
forfiles /p c: /S /D -10

forfiles /D -10 /S /M *.exe /C "cmd /c echo @path"

forfiles /D -10 /S /M *.exe /C "cmd /c echo @ext @fname @fdate"

forfiles /p c: /S /D -10

Настройки файрвола:

netsh firewall show config
netsh advfirewall show currentprofile
Get-NetFirewallRule | select DisplayName,Direction,Action,Enabled | Where-Object Enabled -eq $true | Sort-Object Direction, DisplayName | Format-Table -AutoSize
Get-NetFirewallProfile

netsh firewall show config

netsh advfirewall show currentprofile

Get-NetFirewallRule | select DisplayName,Direction,Action,Enabled | Where-Object Enabled -eq $true | Sort-Object Direction, DisplayName | Format-Table -AutoSize

Get-NetFirewallProfile

Сессии с другими узлами:

net use
net session
Get-SmbMapping
Get-SmbConnection

net use

net session

Get-SmbMapping

Get-SmbConnection

Логи:

eventvwr.msc
Get-EventLog -List
Get-EventLog Application -After (Get-Date).AddHours(-2) | Format-Table -AutoSize
Get-EventLog System -After (Get-Date).AddHours(-2) | Format-Table -AutoSize
Get-EventLog System -After (Get-Date).AddHours(-2) | Where-Object {$_.Message -like "*Server*"}

eventvwr.msc

Get-EventLog -List

Get-EventLog Application -After (Get-Date).AddHours(-2) | Format-Table -AutoSize

Get-EventLog System -After (Get-Date).AddHours(-2) | Format-Table -AutoSize

Get-EventLog System -After (Get-Date).AddHours(-2) | Where-Object {$_.Message -like "*Server*"}

No Comments »

Настройка автоматического обновления тонкого клиента 1С через веб-сервер Apache HTTP Server и платформа 1С:Предприятие 8.3

2023-09-22 · Posted in 1С:Предприятие 8.1/8.2/8.3

На сервере создаем дистрибутив платформы 1С:Предприятие 8 в виде zip-архива, без вложенных папок и архивов.

Помещаем архив в папку на сервере

Далее редактируем файл httpd.conf

Дополняем текст файла следующим текстом:

# 1c publication
Alias "/Platform" "D:/Platform/"
<Directory "D:/Platform/">
Options Indexes Includes
AllowOverride All
Order allow,deny
Allow from All
</Directory>

# 1c publication

Alias "/Platform" "D:/Platform/"

Options Indexes Includes

AllowOverride All

Order allow,deny

Allow from All

</Directory>

Далее на сервере публикуем базу 1С в режиме Конфигуратор.

Заходим в меню – Администрирование – Публикация на веб-сервере

Указываем отметку Публиковать дистрибутив и Расположение публикуемого дистрибутива

Нажимаем кнопку Опубликовать, перезапускаем веб-сервер Apache.

Далее запускаем программу 1С, появляется сообщение о необходимости обновить программу 1С, нужно нажать кнопку «Обновить и Запустить»

Выйдет сообщение о возможности небезопасного соединения, необходимо ответить “Да”

Программа запустит загрузку обновления программы доступа

После того, как дистрибутив тонкого клиента 1С загрузится, запустится процесс установки программы 1С.

По окончании установки программа 1С запустится, тонкий клиент 1С обновлен

No Comments »

Google Chrome: удаление папки “Все закладки”

2023-09-22 · Posted in HTML

Три дня назад появилась бесячая папка в закладках

Кнопка удалить некликабельна, но вот лечение:

1)Перейти по ссылке chrome://flags/#power-bookmarks-side-panel

2)В раскрывающемся списке выбрать “disabled”

3)Перезапустить браузер

No Comments »

Завершение процесса из командной строки Windows

2023-08-28 · Posted in Windows – 10, Windows – 11, Windows Server 2012, Windows Server 2016/2019, Windows Server 2022

Описание работы команды TaskKill, которая позволяет завершать процессы Windows из командной строки. Переменные и операторы.

Вы наверняка знакомы с традиционным способом завершить процесс в Windows с помощью диспетчера задач. Этот способ эффективен, но использование командной строки даёт больше контроля и возможность завершить несколько процессов за раз.

Возможность завершить процесс из командной строки даёт нам команда TaskKill. Вы можете убить процесс из командной строки по его идентификатору (PID) или по имени образа (имени exe файла).

Запустите консоль от имени администратора и введите команду tasklist, чтобы просмотреть все запущенные процессы.

C:\tasklist

Имя образа                     PID Имя сессии          № сеанса       Память
========================= ======== ================ =========== ============
System Idle Process              0 Services                   0        24 КБ
System                           4 Services                   0     1 256 КБ
conhost.exe                   5944 Console                    2     2 888 КБ
notepad.exe                   3100 Console                    2     7 400 КБ
tasklist.exe                  8892 Console                    2     6 100 КБ
WmiPrvSE.exe                  7340 Services                   0     6 864 КБ
smss.exe                       372 Services                   0       544 КБ
csrss.exe                      536 Services                   0     3 336 КБ
wininit.exe                    812 Services                   0       436 КБ

C:\tasklist

Имя образа PID Имя сессии № сеанса Память

========================= ======== ================ =========== ============

System Idle Process 0 Services 0 24 КБ

System 4 Services 0 1 256 КБ

conhost.exe 5944 Console 2 2 888 КБ

notepad.exe 3100 Console 2 7 400 КБ

tasklist.exe 8892 Console 2 6 100 КБ

WmiPrvSE.exe 7340 Services 0 6 864 КБ

smss.exe 372 Services 0 544 КБ

csrss.exe 536 Services 0 3 336 КБ

wininit.exe 812 Services 0 436 КБ

В приведённом выше примере можно увидеть имя образа и PID для каждого процесса. Если вы хотите убить процесс Notepad, нужно ввести:

taskkill /IM notepad.exe /F

1	taskkill /IM notepad.exe /F

или

taskkill /PID 3100 /F

1	taskkill /PID 3100 /F

Флаг /F — нужен для принудительного завершения процесса. Если его не использовать, то в некоторых случаях ничего не произойдёт, и приложение продолжит свою работу. Как пример, попытка завершения процесса explorer.exe без этого флага ни к чему не приведёт.

Если у вас есть несколько экземпляров приложений, как например chrome, то выполнение команды taskkill /IM. chrome.exe завершит их все. При указании PID можно завершить только конкретные процессы Chrome.

В taskkill есть варианты фильтрации, которые позволяют использовать переменные и операторы.

Переменные:

STATUS (статус)
IMAGENAME (имя образа)
PID (значение)
SESSION (номер сессии)
CPUTIME (время CPU)
MEMUSAGE (использование памяти в кб)
USERNAME (имя пользователя)
MODULES (имя DLL)
SERVICES (имя службы)
WINDOWTITLE (заголовок окна)

Операторы:

eq (равно)
ne (не равно)
gt (больше чем)
lt (меньше чем)
ge (больше или равно)
le (меньше или равно)
* (любые символы)

Вы можете использовать переменные и операторы с флагом /FI. Например, вы хотите завершить все процессы, у которых заголовок окна начинается со слова Internet, то команда будет следующей:

taskkill /FI «WINDOWTITLE eq Internet*» /F

1	taskkill /FI «WINDOWTITLE eq Internet*» /F

Чтобы завершить все процессы, запущенные от имени Alex:

taskkill /FI «USERNAME eq Alex» /F

1	taskkill /FI «USERNAME eq Alex» /F

Таким же образом можно завершить процесс, запущенный на другом компьютере из командной строки. Например, имя компьютера OperatorPC, необходимо ввести:

taskkill /S OperatorPC /U Имя_пользователя_на_удаленной_машине /P Пароль_от_удаленной_машины /IM notepad.exe /F

1	taskkill /S OperatorPC /U Имя_пользователя_на_удаленной_машине /P Пароль_от_удаленной_машины /IM notepad.exe /F

Подробную информацию вы всегда можете получить, запустив taskkill с ключом /?:

taskkill /?

1	taskkill /?

No Comments »