Рубрика «powershell» - 10

Теперь я тебя вижу: выявление бесфайловых вредоносных программ

2018-03-30 в 7:34, admin, рубрики: 365, defender, dll, microsoft, Petya, powershell, WannaCry, windows, антивирусная защита, атака, безопасность, Блог компании Microsoft, вирус, информационная безопасность, угроза

Злоумышленники твердо намерены применять для обхода средств защиты все более сложные методы. Использование бесфайловых вредоносных программ повышает незаметность и эффективность атаки. В прошлом году бесфайловые методы применялись в ходе двух крупномасштабных кампаний по распространению программ-вымогателей (Petya и WannaCry).

Теперь я тебя вижу: выявление бесфайловых вредоносных программ - 1

В основе бесфайловых атак лежит простая идея: если на устройстве уже имеются средства, способные выполнить задачи злоумышленника (например, PowerShell.exe или wmic.exe), то зачем размещать на нем специальные программы, которые могут быть распознаны как вредоносные? Если злоумышленник сможет перехватить управление процессом, запустить в пространстве памяти такого процесса свой код и использовать его для вызова средств, которые уже имеются на устройстве, обнаружить атаку будет сложнее.
Читать полностью »

Когда в бухгалтерии заменили принтер. «Надо всем переподключить»

2018-03-27 в 9:00, admin, рубрики: gpo, powershell, Блог компании Сервер Молл, принтеры, Серверное администрирование, системное администрирование

Когда в бухгалтерии заменили принтер. «Надо всем переподключить» - 1

Если такая заявка в вашей системе сервис-деска вызывает дергающийся глаз и падение тонуса ― у вас наверняка еще не настроено удобное централизованное управление принтерами. Пора исправлять эту неувязочку.

Статья скорее для тех, у кого нет этого сферического корпорейта в вакууме, с виртуальными принтерами, прикладыванием пропуска для печати на HP M8xx, а то и даже Ricoh Pro 8ххх. Как обычно, запасаемся скриптами, GPO и еще раз скриптами.Читать полностью »

Вертим логи как хотим ― анализ журналов в системах Windows

2018-03-20 в 9:00, admin, рубрики: logparser, powershell, Блог компании Сервер Молл, логи, Серверное администрирование, системное администрирование

Вертим логи как хотим ― анализ журналов в системах Windows - 1

Пора поговорить про удобную работу с логами, тем более что в Windows есть масса неочевидных инструментов для этого. Например, Log Parser, который порой просто незаменим.

В статье не будет про серьезные вещи вроде Splunk и ELK (Elasticsearch + Logstash + Kibana). Сфокусируемся на простом и бесплатном.Читать полностью »

Внесение изменений в закрытую ветку реестра windows через powerhell

2018-02-22 в 18:50, admin, рубрики: powershell

Была поставлена задача, внести измения в ветку ресстра windows пользовательских машин, с помощью GPO и скрипта powerhell.

Закрытая ветка реестра

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerKnownDLLs Тип данных реестра: String value Имя: UXTheme Значение: UXTheme.dll

Открытая ветка реестра

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Manager Имя: CWDIllegalInDllSearch Значение: 0xffffffff Тип данных реестра: DWORD

Открытая ветка реестра

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Manager Имя: SafeDllSearchMode Значение: 1 Тип данных реестра: DWORD

Читать полностью »

Решаем Open Day CrackMe, таск Pizza

2017-12-17 в 10:40, admin, рубрики: .net, dll, portable executable, powershell, reverse engineering, реверс-инжиниринг

На момент написания статьи (16.12.2017) ридми от ЛК еще не выложили, поэтому я подумал, что можно и свой пока написать. Кому интересно почитать, как работать с il-кодом в powershell и какая у .NET PE структура, прошу под кат.
Читать полностью »

Перекрестное опыление: управляем Linux из-под Windows, и наоборот

2017-11-27 в 9:03, admin, рубрики: linux, powershell, ssh, Блог компании Сервер Молл, Серверное администрирование, системное администрирование, удаленное администрирование

Перекрестное опыление: управляем Linux из-под Windows, и наоборот - 1

В прошлой статье я обещал рассмотреть механизм удаленного подключения с Windows на серверы под управлением *nix, и наоборот при помощи PowerShell. Обещанного обычно ждут три года, но я успел чуть раньше. Что ж, если хочется с верного макбука управлять гетерогенной инфраструктурой, или наоборот ― с Surface Pro рулить Linux-серверами без всяких putty, ― прошу под кат.Читать полностью »

1000++ способ запуска команд на удаленном компьютере

2017-11-16 в 12:09, admin, рубрики: powershell, WMI, Блог компании Сервер Молл, Серверное администрирование, системное администрирование, Терминология IT, удаленный запуск

1000++ способ запуска команд на удаленном компьютере - 1
В наше время даже для собак придумали удаленное управление.

Возвращаясь к циклу «Конспект Админа», мне хотелось бы рассказать о вариантах запуска исполняемых программ на удаленных компьютерах. Эта статья будет интересна тем, у кого еще нет систем централизованного управления, но уже есть понимание утомительности ручного обхода рабочих станций и серверов. Либо тем, кому решения «под ключ» не интересны ввиду неспортивности.Читать полностью »

Мониторинг raid массивов в Windows Core

2017-11-01 в 14:24, admin, рубрики: intel raid, powershell, windows core, мониторинг raid, хранилища данных

Всем привет!

За последние годы мы привыкли что можно и нужно все мониторить, множество инструментов начиная от простых логов, заканчивая Zabbix и все можно связать. Microsoft в свою очередь тоже дала нам отличный инструмент WinRM, с помощью которого мы можем отслеживать состояние операционных систем и не только. Но как всегда есть ложка дегтя, собственно об «обходе» этой ложки дегтя и пойдет речь.

Как выше было сказано, мы имеем все необходимые инструменты для мониторинга IT структуры, но так сложилось что мы не имеем «автоматизированный» инструмент для мониторинга состояния Intel raid массивов в Windows core. Обращаю Ваше внимание на то, что речь идет об обычном «желтом железе».
Читать полностью »

PowerShell для ИТ-безопасности. Часть IV: платформа безопасности с использованием скриптов

2017-09-27 в 14:34, admin, рубрики: big data, powershell, Varonis, Блог компании Varonis Systems, информационная безопасность, хранение данных

PowerShell для ИТ-безопасности. Часть IV: платформа безопасности с использованием скриптов - 1

В предыдущей заметке этой серии я предложил возможность объединения моих отдельных скриптов — один для обработки событий, другой для классификации — в одну систему. Не замахнуться ли на платформу безопасности на основе одного кода PowerShell?

Проработав некоторые детали, в основном относящиеся к зубодробительным событиям PowerShell, я смог заявить о своей победе и зарегистрировал патент на платформу безопасности на базе скриптов — SSP (Security Scripting Platform ).
Читать полностью »

Применение PowerShell для ИТ-безопасности. Часть III: бюджетная классификация

2017-09-18 в 12:00, admin, рубрики: powershell, Varonis, аудит файловых серверов, Блог компании Varonis Systems, информационная безопасность, системное администрирование, хранение данных, хранилища данных

Применение PowerShell для ИТ-безопасности. Часть III: бюджетная классификация - 1

Последний раз с помощью нескольких строк кода PowerShell я запустил совершенно новую категорию программного обеспечения — анализ доступа к файлам. Мои 15 минут славы почти закончились, но я смог отметить, что PowerShell предоставляет практические возможности для мониторинга событий доступа к файлам. В этой заметке я завершу работу над инструментом анализа доступа к файлам и перейду к классификации данных PowerShell.Читать полностью »

Информация

Комментарии

Рекомендуем