Med tid til anden oplever jeg at maskiner jeg skal have fat i ikke har RDP porten åben i windows 10 Firewall.
Her er en powershell kommando som håndtere dette, såfrem at man kan komme på maskinen via remote powershell eller psexec.
get-NetFirewallRule -Name 'RemoteDesktop-UserMode-In-TCP' | Set-NetFirewallRule -enabled true
Alternativ:
enable-NetFirewallRule -DisplayName 'Remote Desktop - User Mode (TCP-In)'
Over de sidste 2 - 4 år er der kommet en række fine gratis applikation til at holde 3 part applikationer opdater på windows.
3 parts applikationer så som adobe flash er forsat en af de hyppigste bruge exploited applikationer, hvilke jeg antager er årsagen til at Google og Microsoft i første forsøgte at "sikre" patch management af disse via deres egne opdaterings motor - og nu seneste er adobe flash på vej til at blive udskiftet med Htlm5, både i Firefox, Chrome.
Dette ændre ikke på at applikationer som Vlc player, Adobe Reader, 7zip osv. forsat skal patches da disse også kan blive udnytte til at en windows pc kan overtaget af uønsket personer.
Jeg har 3 applikationer jeg over det sidste har brugt til at automatisk holde 3 parts applikationer opdateret.
Secunia PSI (har skiftet navn til flexera ) sidste version udkom December 2015.
Den har en meget komplet database over produkter, de som den ikke kan "autoopdater" bliver brugen informer herom.
Selve PSI kan være tung at køre på ældre maskiner er min oplevelse.
HeimdalSecurity Free / Pro
Heimdalsecurity Free samt pro kan holde ca 35 produkter opdatereret, samt fungere som installations motor på disse produkter første gang disse skal installeres, hvilket er en feature som jeg ser er vigtigt, da jeg flere gange har oplevet at folk får downloaded softeware som er bundles sammen med "dårlige" domme, da folk ikke kommer ind på den orginale leverandørs hjemmeside og henter filerne. HeimdalSecurty PRO har andre features, som jeg ikke beskriver her.
Kaspersky Software Updater
KSU minder en del om "Secunia PSI" den kan overvåget en længere række applikationer end Heimdalsecurity, dog ikke så komplet som Secunia PSI, jeg har dog kun arbejdet med den i kort tid, på en test bærbar - så stabiliteten og hurtighed i at få installeret de nye versioner er ukendt.
Et af de produkter jeg har brugt de senste år er Heimdal Pro
Som jeg ser det har Heimdal pro 2 - 3 rigtige gode features som gør den pengene hver.
1) securedns
2) Software patching
3) Software installation
Punkt 1) SecureDns er en feature som mange danske corp benytter, Heimdal ligge sig ind som et filter på maskinens DNS trafik, hvilket ses ved at "dns server" addressen ændres til 127.0.0.1 hvis man laver en "ipconfig /all"
Laves der et DNS opslag til en URL som er kendt for at sprede dårligdomme, stoppes denne trafik.
Punkt 2) Software patching, Heimdal har et antal produkter som den kan holde opdateret, herunder findes Oracle java og Adobe flash + Adobe Reader, skulle jeg lave en top 10 over software jeg alt skal patches så-snart der findes en opdatering, vil disse 3 være at finde i denne.
Punkt 3) Software installation, de applikationer som Heimdal automatisk kan patche/opdatere, kan man også lave klik og installer via Heimdal software, men uden at skulle benytte sig af ADMINISTRATOR rettigheder på maskinen, Hertil omgås man udfordring med at folk for installeret software som indeholder "malware" da de får downloaded det fra en forkert url.
En lille udfordring hvis man begynder at benytte Heimdal Pro, for at beskytte signe windows klienter.
Slår man Heimdal Secure DNS funktion til, udskiftes den DHCP indlagte DNS server, med 127.0.0.1
Problemet bliver nu hvordan får windows klienen nu registeret sig i windows dns'en, da "register this connection" jo køre imod 127.0.0.1 ?
Min første tanke var at blot lave en lille script som stopper heimdal servicen, lave en ipconfig /registerdns ( Poweshell Register-dnsclient ) og starte servicen igen.
Men windows er så sød at den husker af "afregistere" sig i DNS når den skifter :-(
Min anternativ løsning på problemet blev et lille powershell script som henter alle maskiner med bestemt navne standard ud af wndows "DHCP" og registere disse manuelt i DNS.
Denne job kan så køres med timers interval og holder DHCP og DNS i Sync.
Opdatering 12.01.2017
Man bliver jo klogere, da jeg i første omgang skrev ovenstående overså jeg muligheden for at lade dhcp serveren stå for at opdater dns serveren, dette er både muligt når man arbejder med Windows dhcp og dns, samt Linux Dhcp3-server og bind-dns - dette er en mere stabil løsning end lad et "script" håndtere sync imellem disse 2 infrastruktur komponenter.
-- Powershell --
##$Hostname = ([System.Net.Dns]::GetHostEntry($ipAddress)).HostName
##$IPadress = ([System.Net.Dns]::GetHostEntry($Hostname)).addresslist.ipaddresstostring
$Clients = Get-DhcpServerv4Lease -ComputerName sbs.net.local -ScopeId 172.16.111.0
foreach($client in $Clients)
{
If ($client.hostname.ToLower() -like "ws*".ToLower() ){
#-or $client.hostname.ToLower() -like "lt*".ToLower()
#$client.hostname.
$DnsHostname = $client.hostname.split(".",2)
$DnsHostname[0]
$client.IPAddress.IPAddressToString
$record = Get-DnsServerResourceRecord -zonename 'net.local' -computer "sbs.net.local" -Name $DnsHostname[0]
if($record)
{
$record.RecordData.IPv4Address.IPAddressToString
if (!($record.RecordData.IPv4Address.IPAddressToString -eq $client.IPAddress.IPAddressToString)){
$record | remove-DNSServerResourceRecord
start-sleep 20
Add-DnsServerResourceRecordA -Name $DnsHostname[0] -ZoneName 'net.local' -AllowUpdateAny -IPv4Address $client.IPAddress.IPAddressToString -TimeToLive 01:00:00 -ComputerName 'sbs.net.local' -AgeRecord -CreatePtr -DhcId
}
}
else
{
Add-DnsServerResourceRecordA -Name $DnsHostname[0] -ZoneName 'net.local' -AllowUpdateAny -IPv4Address $client.IPAddress.IPAddressToString -TimeToLive 01:00:00 -ComputerName 'sbs.net.local' -AgeRecord -CreatePtr -DhcId
}
}
}
Page 2 of 2