Správa v podniku

Lubomír Ošmera Pár tipů na úvod

• Winver • Whoami • Shutdown -r –g –t 0 • Kopírování • Mocné pravé tlačítko • Mbrgpt.exe MAP

• Hardware compatibilita v celém prostředí Upgrade Anylitics Jak se zbavit ModerNUI

• Get-AppxPackage | Remove-AppxPackage

• Get-AppXProvisionedPackage -Online | Remove- AppxProvisionedPackage –Online

• Get-appxpackage –allusers | Remove-AppxPackage Jedině je zakázat?

• Pouze Enterprise, Education Roaming profiles

Ukladá se v rámci profilů: – – Plocha – Pozadí barvy – Nastavení Windows a aplikací – – Jaké jsou problémy? Screen z registrů Povolení registru

• Key: HKEY_LOCAL_MACHINE\Software\\Windows\C urrentVersion\Explorer • Value: SpecialRoamingOverrideAllowed • Type: REG_DWORD • Value: 1 Creators update 1703

Bude se Nebude se již Modern UI se nahrazovat ukládat do složky zatím nepřenáší tilestartmenu SyncSettings dobře DEPLOYMENT WINDOWS 10 Jak instalovat bezobslužně a bezstarostně

1) Ať nemusím klikat všechny možnosti 2) Ať je již v image vše připraveno a nadbytečnosti odstraněny 3) Ať se dějí akce navíc (aby už byl počítač připojený do domény, měly nastavenou tapetu) 4) Ať mohu instalaci provést na desítkách PC současně Windows systém image manager

• Tvorba bezobslužné instalace Odebrání modern-ui Přidání driverů do image Updaty

• Přidání updatu do existujícího image • dism /image:“D:\Deployment\mount“ /Add-Package /PackagePath:“D:\Deployment\updates\KB2751352\“ – zachycení a aplikace obrazu

• C:\Windows\System32\sysprep

• dism /Capture-Image /ImageFile:“Z:\MyNewInstall.wim“ /CaptureDir:“C:“ /Name:“My Windows 10“ /Compress:fast /Verify /Bootable /CheckIntegrity

• DISM /Apply-Image /ImageFile:“Z:\MyNewInstall.wim“ /index:1 /ApplyDir:“C:“ /Verify /CheckIntegrity

• bcdboot C:\Windows Sysprep – jak zachovat PnP drivery

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Setup\Sysprep\\sppnp • Vytvoříme NEW DWORD • Jméno ji dáme PersistAllDeviceInstalls (hodnota 1) PŘÍPRAVA IMAGE SKRZ MDT Konfigurační skripty

• Bootstrap.ini • Configsettings.ini BOOTSTRAP.INI

• SkipBDDWelcome=YES • UserID=Administrator UserPassword=Pa$$w0rd UserDomain=Domena.com Nastavení parametrů configsettings.ini

• SLShareDynamicLogging - (UNC cesta) - Cesta pro centrální logování na . • OSInstall - (YES/Y/NO) - indikuje instalaci operačního systému. • ComputerName - název počítače. • dle OS. • KeyboardLocalePE - (cz-CZ nebo 0409:00000409) - definice klávesnice pouze pro Windows PE. Výchozí je nastavení dle OS. Přeskakující parametry - příklady

• SkipSummary - (YES/NO) - přeskočit zobrazení sumarizace informací před spuštěním instalace operačního systému. • SkipFinalSummary - (YES/NO) - přeskočit sumarizaci na úplném konci instalačního procesu. • SkipWizard - (YES/NO) - přeskočí kompletního průvodce. Použijte, pokud nechcete přeskakovat jednotlivé stránky. • SkipCapture - (YES/NO) - přeskočí dialog s dotazem na provedení capture (sejmutí) image na existujícím počítači a provedení kompletní zálohy počítače. Kompletní parametry

• http://www.optimalizovane-it.cz/deployment/automatizace- procesu-nasazeni-pomoci-mdt-soubory-bootstrap.ini-a- customsettings.ini.html Příklad z ukázky Taskbar a

• Konfigurace v AnswerFile souboru • Microsoft-Windows-ShellSetup\StartPanelLinks • Microsoft-Windows-Shell-Setup\TaskBarLinks Automatická tvorba názvu stanice Tvorba jména na základě sériových čísel Náhodné jméno pro Computername Nezapomenout na update deployment share Finální konfigurace bezobslužné instalace MDT pokračování

• UserDataLocation=NETWORK • UDShare=\\SRV01\MigData$ • UDDir=%OSDComputerName% Monitoring Logy Jak číst logy

C:\SMSTSLog\SMSTS.log

C:\Windows\Temp\DeploymentLogs. The BDD.log

Configuration manager Trace Log – free nástroj Ostatní drivery

• Exe soubory – instalovat jako běžné aplikace • Problém – co když jednomu ID odpovídá více různých driverů Sysprep by MDT

• SkipCapture=NO PowerShell skripty v MDT NASTAVENÍ SYSTÉMU WINDOWS Public versus private interface

• Kde se dá v grafice nastavit?

• set-netconnectionprofile Neustále se mi to připojuje na wifi a neupřednostnuje • Get-NetIPInterface • Set-NetIPInterface -InterfaceIndex 12 -InterfaceMetric 15 Další možnost může být nastavení v biose File associations

• Nejde již přes GPO Preferences • Důvod: user-based, nikoli systém-based nastavení • GPO nastavení • Computer Configuration > Administrative Templates > Windows Components > Start menu layout část 1 Start menu layout část 2

• Export-StartLayout –Path ./sablona2.xml Computer Configuration > Policies > Administrative Templates > Start Menu and Taskbar Start menu layout část 3 – nepovolení změn uživateli TaskBar

Zdroj: https://docs.microsoft.com/en-us/windows/configuration/configure-windows-10-taskbar Možnosti Windows 10 jako služby

• Od července 2017 Servisní aktualizace jsou stále povinné !! • Current branch for business (minimálně 4 měsíce po vydání balíků), mohu odkládat • LSTB – HLAVNÍ VERZE Windows, vždy po 2 – 3 letech, navíc volitelná (bankomaty…) Jak zkrotit updaty

• Minimálně čtyři měsíce od vydání nové hlavní verze • Jednotlivá vydání podporována po dobu 18 měsíců • Feature update maximum odložení 180 dní / 365 (Creators) • Quality update maximum odložení 30 dní • Pozastavit spouštení updatů Active Hours

• Od Anniversary Update • 18 hodin maximum v Creators • Nevykonává se restart • ADMX for Windows 10 • GPO: Computer Configuration / Administrative Templates / Windows Components / / Turn off Autorestart for updates in active hours

GPO politiky Co po Active hours

• Pouze, pokud se některé updaty instalují • Lze nastavit pevně now nebo čas restartování • Settings -> Windows Update

GPO politiky Šetřeme upload dat u uživatelů

• Computer Configuration\Administrative Templates\Windows Components\Delivery Optimization Nefunguje správně včetně WSUS Metered connections

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\DefaultMediaCost

• 1 nebo 2 Zákaz služby Windows Update

• Bezpečnostní riziko • Vypne absolutně všechny update windows, i důležité servisní! HROMADNÁ SPRÁVA OVLADAČŮ Devices

• Kontrola podepsaných ovladačů na 32 bit systémech – verifier • driverquery –si info o ovladačích, příslušných inf souborech, vlastnostech • Od Windows Vista 64 BIT nahoru blokace nepodepsaných driverů • bcdedit /set testsigning on • bcdedit /set testsigning off

Devices Hromadná správa driverů

Cmdlet Description Enable-PnpDevice Enables a PnP devi • Remote Desktop – nedoporučované řešení ce. Disable-PnpDevice Disables a PnP devi • Hromadně Powershell remoting nebo ce. Devcon Get-PnpDevice Displays information about PnP devices. Get- Displays detailed pr • PnPutil.exe /add-driver PnpDevicePropert operties for a PnP d E:\AMDdrivers\*.inf /install y evice.

• Nefunguje devmgmt.msc!!! Shared Folders drivers

• Kde hledá Windows – postupně Driver Store a devicepath, Windows Update • Od Windows Vista vždy instaluje Drivery z DriverStoru

• Úprava v registrech na cestě HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version Shared folder pro drivery Skrz Úprava hodnoty registru Oprava služeb a driverů

• Msconfig.exe • Ntbtlog.txt (C:\Windows) Ukázka ntbtlog.txt Vzdálená správa

Jak vzdáleně spravovat Windows 10 zařízení DŮLEŽITÉ PORTY

• 3389 – vzdálená plocha • 5985 – vzdálená správa • 5986 – šifrovaná vzdálená správa (v domeně defaultně autentizace pomocí Kerberos) Jak zapnout hromadně vzdálenou plochu

Computer Configuration\Policies\Administrative Templates\Windows Components\\Remote Desktop Session Host / connections

Allow users to connect remotely by using RemoteDeskto p Services PowerShell Remoting – motivace

. Vzdáleně ovládat velké množství počítačů . Pouštět napřímo příkazy na vzdáleném zařízení . Neomezené možnosti konfigurace . Snadné nastavení Požadavky

Windows Remote Management na obou počítačích

PowerShell na obou počítačích! Vzdálené připojení bez Powershellu Jak probíhá zpracování příkazu

Zdroj: https://technet.microsoft.com/en-us/library/ff700227.aspx Zapnutí

• Winrm qc • Příp. Enable-PSRemoting –force

• Jak zapnout skrze GPO?

• Vypnutí • winrm delete winrm/config/Listener?Address=*+Transport=HTTP • winrm delete winrm/config/Listener?Address=*+Transport=HTTPS Povolení samotné služby Winrm

• Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Remote Management (WinRM) > WinRM Service. • Vyhledáme politiku “Allow remote server management through WinRM Povolení samotné služby Winrm

Computer Configuration > Preferences > Control Panel Settings > Services Povolení samotné služby Winrm GPO

Computer Configuration > Policies > Windows Settings > Security Settings > Windows Firewall with Advanced Security > Commands

Invoke- Command Connect- Enter- PSSession PSSession

Receive- Exit- PSSession PSSession Disconnect- PSSession Persistent session vs. jednorázové

• Get-pssession • New-pssession –ComputerName LON-CL1

• Enter-PSSession –name Session1

• Exit-PSSession • Disconnect-PSSession –name Session1 • Remove-PSSESSION –name Session1

• Jednorázově: Enter-pssession –computername LON-CL2 Jak spouštět hromadné příkazy

• Invoke-Command -ComputerName LON-CL1, LON-CL2 –FilePath C:\Test\Sample.ps1 – Nic se nikam nekopíruje

• Invoke-command -ComputerName LON-CL1, LON-CL2 –ScriptBlock {..} Jak spouštět na žádané počítače

• $computername = “PRAH01“,“PRAH07“,“SRVFILE“

• $computername = Get-ADComputer -Filter ‘Name -like “PRAH*“‘ | select - expand Name SDÍLENÍ SLOŽEK ELEGANTNĚ Sharing folder

• Nijak nepoznam na první pohled že sdílím složku • File sharing v Control panelu – zapne se automaticky při sdílení a pak už nevypne • Firewall pravidla (predefined rules – file and printer sharing) • Net view \\lon-dc1 • Net share • NET use \\lon-dc1\usmt F: • Access based enumeration (demonstrace živě) • Encrypting shared folders AES-128-GCM in SMB 3.1.1

• Používejte Powershell Power shell příkazy SPRÁVA DISKŮ A KVÓT Rozložení storage

• Windows 10 zobrazuje rozložení storage • Dříve aplikace třetích stran • Přesměrování záležitostí na jiný diskový oddíl Nastavení kvot

Historie souborů NASTAVENÍ UŽITEČNÝCH POLITIK Windows Store bezpečnostní riziko

• Policies > Administrative Templates > Windows Components > Store > Turn off Stóre Application Pro enterprise možnost zajázat spouštění komplet Modern UI Policies > Administrative Templates > Windows Components > Store Automatické učení – proč? • Windows Components -> Search Sledování polohy • Windows Components -> Search Potřebujete hledat bingem? Co chcete sdílet za informace? Povolit poskytovatele písem Automatické připojování k wifi hotspotům

Computer Configuration \ Administrative Templates \ Network \ Wlan Service \ Wlan Settings \ Allow automatically connect…. Computer Configuration\Administrative Templates\Network\WLAN Service\WLAN Settings\Allow Windows to automatically Informace o využívání stroje Windows 10

Windows Components / Data Colection and Preview Builds / Allow Telemetry Customer Expirience Program, Error reporting Computer Configuration -> Administrative Templates -> Systém -> Internet Communication Management -> Internet Communication settings. Sledování aplikací a reportování Microsoftu Computer Configuration > Administrative Templates > Windows Components Vypnout zobrazování zpětné vazby Zakázat insider Zákaz účtu Microsoft - možnosti Ověřování účtem Microsoft (Windows Components) Sledování polohy

• Windows Components / Locations and sensors • Windows Components / Windows Maps Přístup ke kameře a mikrofonu Jak nastavit Onedrive Další politiky související s odesíláním dat

• Computer Configuration > Administrative Templates > Windows Components > > Prevent participation in the Customer Experience Improvement Program

• computer Configuration > Administrative Templates > System > Internet Communication Management > Internet Communication settings

• Computer Configuration > Administrative Templates > System > User Profiles > User management of sharing user name account picture and domain information with apps (not desktop apps)

• Computer Configuration > Administrative Templates > Windows Components > > Disable Windows Error Reporting

• Computer Configuration > Administrative Templates > System > Device Installation> Do not send a Windows error report when a generic driver is installed on a device Jak porazit aplikace na pozadí

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\BackgroundAccessApplications

GlobalUserDisabled

0 = On 1 = Off BITLOCKER V PODNIKOVÉM PROSTŘEDÍ Co riskuju

• Počítač je v doméně • Nacachované doménové účty • Data z formulářů prohlížeče • Historie procházení Odstranění dat z disku

• pomocí elektromagnetického pole • Několikanásobný počet přepisu Servis je důvěryhodný?

• Elektronika pevného disku • Srk – tpm • Vmk • Fvek Jak použít

• Heslo • TPM • TPM + PIN • TPM + PIN + USB • TPM + USB • Jenom USB Nastavení metody ověřování

• manage-bde –protectors –delete %systemdrive% -type tpm

• manage-bde –protectors –add %systemdrive% - tpmandpin <číselný kód PIN o 4-20 číslicích> Pár otázek

• Jak to dlouho trvá? (šifrovní pouze dat na pevném disku) – 8 minut vs. 1:30 algoritmus XTS-AES • Výkon sytému? • Přesun na jiný počítač? • Jaké práva potřebuji? • Jaké má požadavky? Co v těchto situacích

Upgrade základní Zapomenutí Recovery Přenos disku desky, firmware PIN metoda Objeví se výzva pro zadání recovery key Kroky konfigurace

• Inicicializace TPM (ve Windows 10 automaticky) • TPM 1.2 není nutno UEFI • Poslední verze BIOS, v UEFI modu, TPM 2, gpt(msinfo32) • NTFS systém drive • Basic, nikoliv dynamic disk • Speciální oddíl 350 MB

Kontrola

• Manage-bde status

• Get-BitLockerVolume Dešifrování vs. pozastavení

• Dešifrování

• Pozastavení (speciální nezašifrovaný klíč, na disku) mbr2gpt

• mbr2gpt /validate /disk:0

• mbr2gpt /convert /disk:0 Datové disky PŘÍKLAD KONFIGURACE BEZ TPM CHIPU GPO cesta k nastavení Bitlockeru

• Computer Configuration - Administrative Templates - Windows Components - BitLocker Drive Encryption – drives – Fixed data drives – Removable data drives Nevyžadování TPM chipu Uložení klíčů v Dodatečné uložení do AD

• Manage-bde -protectors -get C:

• Manage-bde -protectors -adbackup C: ID {zkopírované id} Instalace na serveru Aktivace Bitlockeru vzdáleně

Invoke-Command -computername $computername –Scriptblock {Enable-BitLocker -MountPoint C: -EncryptionMethod Aes256 - PasswordProtector ; Get-BitLockerVolume | Enable-BitLocker -RecoveryPasswordProtector }

Kde najdeme Recovery Password? Nezobrazuje se rozšíření Active Directory Users and Computers? Comand .exe BdeAducExt.dll

Máte zapnuté Advanced Features? Bitlocker To Go Bitlocker pomocí MDT task sequence UŽITEČNÉ PERFORMANCE COUNTERY Disk

• \Logical Disk(*)\Avg. sec/Read • \Logical Disk(*)\Avg. sec/Write

• Kritéria: – Do 15 ms v pohodě – 15ms až 25ms = varování – 26ms až greater = kritické, ovlivněn celý systém • Pozn. Disková min 10 - 15 % z cel. kapacity Memory

• \Memory\Available Mbytes – alespoň 25% volného místa

• \Memory\Pages/sec – Meně než 500 = v pořádku, je ale nutné zvářit to v konkrétním kontextu – Větší než 1000 = kritické Síť

• Odezva sítě • Ztráta paketů – Network Interface(*)\Output Queue Length • Využití sítě – \Network Interface (*) \ Bytes Total/sec

<40 % Ok

41 % - 64 % Monitor reccomended

65% - 100% Kritické, nutno řešit Procesor

• Průměr menší než 75 %