Ondrej Sevecek's Blog

Engineering and troubleshooting by Directory Master!

Follow @OndrejSevecek

RSS

Manage Subscriptions

/_layouts/images/ReportServer/Manage_Subscription.gif

/_layouts/ReportServer/ManageSubscriptions.aspx?list={ListId}&ID={ItemId}

0x80

0x0

FileType

rdl

350

Manage Data Sources

/_layouts/ReportServer/DataSourceList.aspx?list={ListId}&ID={ItemId}

0x0

0x20

FileType

rdl

351

Manage Shared Datasets

/_layouts/ReportServer/DatasetList.aspx?list={ListId}&ID={ItemId}

0x0

0x20

FileType

rdl

352

Manage Parameters

/_layouts/ReportServer/ParameterList.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

rdl

353

Manage Processing Options

/_layouts/ReportServer/ReportExecution.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

rdl

354

Manage Cache Refresh Plans

/_layouts/ReportServer/CacheRefreshPlanList.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

rdl

355

View Report History

/_layouts/ReportServer/ReportHistory.aspx?list={ListId}&ID={ItemId}

0x0

0x40

FileType

rdl

356

View Dependent Items

/_layouts/ReportServer/DependentItems.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

rsds

350

Edit Data Source Definition

/_layouts/ReportServer/SharedDataSource.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

rsds

351

View Dependent Items

/_layouts/ReportServer/DependentItems.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

smdl

350

Manage Clickthrough Reports

/_layouts/ReportServer/ModelClickThrough.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

smdl

352

Manage Model Item Security

/_layouts/ReportServer/ModelItemSecurity.aspx?list={ListId}&ID={ItemId}

0x0

0x2000000

FileType

smdl

353

Regenerate Model

/_layouts/ReportServer/GenerateModel.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

smdl

354

Manage Data Sources

/_layouts/ReportServer/DataSourceList.aspx?list={ListId}&ID={ItemId}

0x0

0x20

FileType

smdl

351

Load in Report Builder

/_layouts/ReportServer/RSAction.aspx?RSAction=ReportBuilderModelContext&list={ListId}&ID={ItemId}

0x0

0x2

FileType

smdl

250

Edit in Report Builder

/_layouts/images/ReportServer/EditReport.gif

/_layouts/ReportServer/RSAction.aspx?RSAction=ReportBuilderReportContext&list={ListId}&ID={ItemId}

0x0

0x4

FileType

rdl

250

Edit in Report Builder

/_layouts/ReportServer/RSAction.aspx?RSAction=ReportBuilderDatasetContext&list={ListId}&ID={ItemId}

0x0

0x4

FileType

rsd

250

Manage Caching Options

/_layouts/ReportServer/DatasetCachingOptions.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

rsd

350

Manage Cache Refresh Plans

/_layouts/ReportServer/CacheRefreshPlanList.aspx?list={ListId}&ID={ItemId}&IsDataset=true

0x0

0x4

FileType

rsd

351

Manage Data Sources

/_layouts/ReportServer/DataSourceList.aspx?list={ListId}&ID={ItemId}

0x0

0x20

FileType

rsd

352

View Dependent Items

/_layouts/ReportServer/DependentItems.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

rsd

353

All Site Content

Ondrej Sevecek's Blog > Posts > Poznámky k mému včerejšímu a dnešnímu WUGu na téma infrastrukturní bezpečnosti

duben 23

Poznámky k mému včerejšímu a dnešnímu WUGu na téma infrastrukturní bezpečnosti

by Ondřej Ševeček

on 23.4.2014 9:45

Category: Skripty a PowerShell; Události a prezentace

Včera jsem měl a dneska budu mít WUG.

Slajdy a screenshoty

No používal jsem slajdy například ze svého GOC 175 kurzu, který školím v GOPASu. Slajdy, například tu tabulku s porovnáním jednotlivých servisních účtů, nebo screenshoty z procexp najdete zde. Nebo ještě lépe, přijděte na to pětidenní školení.

A nebo vůbec přijďte na konferenci GOPAS TechEd 2014 (www.teched.cz)

Budu tam také mít několik přednášek, ale hlavně tam bude milión dalších úžasných přednášek, které se nikde jinde nevidí. A samozřejmě plno luxusního jídla a zábavy.

Statistika přihlašování z logu

Něco podobného jsem tu psal už nedávno. Pro zopakování ze včerejška jednotlivé PowerShell skriptové kousky. Upozorňuju, že to chce ještě dodělat i pro NTLM ověřování, to znamená zapracovat ještě druhou událost číslo 4776, která má trošku jinak rozhozené InsertionStrings a navíc to obsahuje jméno počítače a nikoliv IP adresu.

Začali jsme takto se všemi successful Kerberos Authentication Service událostmi číslo 4768:

gwmi -Query 'SELECT * FROM Win32_NTLogEvent WHERE EventCode=4768'

A pokračovali s transformací InsertionStrings na tabulku o dvou sloupečcích:

gwmi -Query 'SELECT * FROM Win32_NTLogEvent WHERE EventCode=4768' | select @{ n ='Login'; e = { $_.InsertionStrings[0] } }, @{ n='IP'; e = { $_.InsertionStrings[9] } }

Pak nás napadlo tam přidat i datum a čas události:

gwmi -Query 'SELECT * FROM Win32_NTLogEvent WHERE EventCode=4768' | select @{ n ='Login'; e = { $_.InsertionStrings[0] } }, @{ n='IP'; e = { $_.InsertionStrings[9] } }, @{ n = 'Date' ; e = { $_.ConvertToDateTime($_.TimeGenerated) } }

Načež bych z toho odstranil přihlašování počítačů, tedy loginů, které končí dolarem $ (ale bacha, nic neříká, že normální účet nemůže končit dolarem):

gwmi -Query 'SELECT * FROM Win32_NTLogEvent WHERE EventCode=4768' | select @{ n ='Login'; e = { $_.InsertionStrings[0] } }, @{ n='IP'; e = { $_.InsertionStrings[9] } }, @{ n = 'Date' ; e = { $_.ConvertToDateTime($_.TimeGenerated) } } | ? { $_.Login -notlike '*$' }

No a mě se vůbec nelíbily ty IP adresy, takže bychom to mohli zkusit přeložit na jména počítačů. To už ale chce trošku sofistikovanější skript:

function Resolve-LogIP ([string] $ip, [string] $eventFromServer)
{
  if ($ip -eq '::1') { return $eventFromServer }
  if ($ip -like '::ffff:*.*.*.*') { return [System.Net.DNS]::Resolve($ip.SubString(7)).HostName }
  return [System.Net.DNS]::Resolve($ip).HostName
}

gwmi -Query 'SELECT * FROM Win32_NTLogEvent WHERE EventCode=4768' | select @{ n ='Login'; e = { $_.InsertionStrings[0] } }, @{ n='IP'; e = { $_.InsertionStrings[9] } }, @{ n = 'Host' ; e = { Resolve-LogIP $_.InsertionStrings[9] $_.__SERVER } }, @{ n = 'Date' ; e = { $_.ConvertToDateTime($_.TimeGenerated) } } | ? { $_.Login -notlike '*$' }

No a poslední krok bylo to doplnit o dotaza na více řadičů domény. Pro jednoduchost jsem tam dal prostě jenom seznam. Pokud byste to chtěli lepší, tak stačí použít například Get-AdComputer, nebo DSQUERY SERVER -o RDN:

function Resolve-LogIP ([string] $ip, [string] $eventFromServer)
{
  if ($ip -eq '::1') { return $eventFromServer }
  if ($ip -like '::ffff:*.*.*.*') { return [System.Net.DNS]::Resolve($ip.SubString(7)).HostName }
  return [System.Net.DNS]::Resolve($ip).HostName
}

'dc1', 'dc2', 'dc3' | % { gwmi -Query 'SELECT * FROM Win32_NTLogEvent WHERE EventCode=4768' -Comp $_ } | select @{ n ='Login'; e = { 

$_.InsertionStrings[0] } }, @{ n='IP'; e = { $_.InsertionStrings[9] } }, @{ n = 'Host' ; e = { Resolve-LogIP $_.InsertionStrings[9] 

$_.__SERVER } }, @{ n = 'Date' ; e = { $_.ConvertToDateTime($_.TimeGenerated) } } | ? { $_.Login -notlike '*$' }

23 Comment(s)

Manage Subscriptions

/_layouts/images/ReportServer/Manage_Subscription.gif

/_layouts/ReportServer/ManageSubscriptions.aspx?list={ListId}&ID={ItemId}

0x80

0x0

FileType

rdl

350

Manage Data Sources

/_layouts/ReportServer/DataSourceList.aspx?list={ListId}&ID={ItemId}

0x0

0x20

FileType

rdl

351

Manage Shared Datasets

/_layouts/ReportServer/DatasetList.aspx?list={ListId}&ID={ItemId}

0x0

0x20

FileType

rdl

352

Manage Parameters

/_layouts/ReportServer/ParameterList.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

rdl

353

Manage Processing Options

/_layouts/ReportServer/ReportExecution.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

rdl

354

Manage Cache Refresh Plans

/_layouts/ReportServer/CacheRefreshPlanList.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

rdl

355

View Report History

/_layouts/ReportServer/ReportHistory.aspx?list={ListId}&ID={ItemId}

0x0

0x40

FileType

rdl

356

View Dependent Items

/_layouts/ReportServer/DependentItems.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

rsds

350

Edit Data Source Definition

/_layouts/ReportServer/SharedDataSource.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

rsds

351

View Dependent Items

/_layouts/ReportServer/DependentItems.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

smdl

350

Manage Clickthrough Reports

/_layouts/ReportServer/ModelClickThrough.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

smdl

352

Manage Model Item Security

/_layouts/ReportServer/ModelItemSecurity.aspx?list={ListId}&ID={ItemId}

0x0

0x2000000

FileType

smdl

353

Regenerate Model

/_layouts/ReportServer/GenerateModel.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

smdl

354

Manage Data Sources

/_layouts/ReportServer/DataSourceList.aspx?list={ListId}&ID={ItemId}

0x0

0x20

FileType

smdl

351

Load in Report Builder

/_layouts/ReportServer/RSAction.aspx?RSAction=ReportBuilderModelContext&list={ListId}&ID={ItemId}

0x0

0x2

FileType

smdl

250

Edit in Report Builder

/_layouts/images/ReportServer/EditReport.gif

/_layouts/ReportServer/RSAction.aspx?RSAction=ReportBuilderReportContext&list={ListId}&ID={ItemId}

0x0

0x4

FileType

rdl

250

Edit in Report Builder

/_layouts/ReportServer/RSAction.aspx?RSAction=ReportBuilderDatasetContext&list={ListId}&ID={ItemId}

0x0

0x4

FileType

rsd

250

Manage Caching Options

/_layouts/ReportServer/DatasetCachingOptions.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

rsd

350

Manage Cache Refresh Plans

/_layouts/ReportServer/CacheRefreshPlanList.aspx?list={ListId}&ID={ItemId}&IsDataset=true

0x0

0x4

FileType

rsd

351

Manage Data Sources

/_layouts/ReportServer/DataSourceList.aspx?list={ListId}&ID={ItemId}

0x0

0x20

FileType

rsd

352

View Dependent Items

/_layouts/ReportServer/DependentItems.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

rsd

353

Comments

Re: Poznámky k mému včerejšímu a dnešnímu WUGu na téma infrastrukturní bezpečnosti

Souhlasím s vámi, že biometrické ověřování není naprosto dokonalé a může být obelstěno. Nicméně, správně implementovaná biometrie může být stále velmi účinným zabezpečením a v mnoha případech přináší větší pohodlí pro uživatele. https://krunkerio.io

nearfirst on 13.7.2023 6:53

hii

Il semble que vous partagiez des extraits de code PowerShell concernant le traitement des événements de connexion Kerberos. Si vous avez des questions spécifiques ou si vous avez besoin d'aide pour comprendre ou exécuter ces commandes, n'hésitez pas à les poser. Je serai ravi de vous aider. https://davethediver.io

Harry on 15.7.2023 10:28

Re: Poznámky k mému včerejšímu a dnešnímu WUGu na téma infrastrukturní bezpečnosti

Je nezbytné https://pizzatower.io provést analýzu rizik a identifikovat potenciální hrozby a zranitelnosti v rámci infrastruktur.

pizza on 19.7.2023 3:48

Re: Poznámky k mému včerejšímu a dnešnímu WUGu na téma infrastrukturní bezpečnosti

To zahrnuje jak přirozené katastrofy, https://pizzatower.io/pokemon-infinite-fusion jako jsou zemětřesení nebo povodně, tak i kybernetické útoky a lidské faktory.

polemon on 19.7.2023 3:48

Re: Poznámky k mému včerejšímu a dnešnímu WUGu na téma infrastrukturní bezpečnosti

Souhlasím s tím, že existují způsoby, jak obejít biometrické ověřování. Prosím, nestyďte se klást otázky nebo žádat o pomoc, pokud nějakou máte https://thebackrooms2.com

Eloy Mays on 24.7.2023 6:50

Re: Poznámky k mému včerejšímu a dnešnímu WUGu na téma infrastrukturní bezpečnosti

Základem pro zajištění https://bloxdio.io bezpečnosti infrastruktur je přesná identifikace těch, které jsou pro společnost kritické, a posouzení jejich zranitelnosti vůči různým hrozbám.

bloxdio on 25.7.2023 10:52

Re: Poznámky k mému včerejšímu a dnešnímu WUGu na téma infrastrukturní bezpečnosti

S nárůstem digitalizace https://amongusio.io a propojení infrastruktur je kybernetická bezpečnost klíčovým prvkem ochrany.

amongusio on 25.7.2023 10:53

Těšit se

Těšit se můžete na přednášky předních českých a slovenských odborníků ze světa informačních technologií. https://dinosaur-game.io

pinaforelegal on 26.7.2023 3:42

Re: Poznámky k mému včerejšímu a dnešnímu WUGu na téma infrastrukturní bezpečnosti

Organizace vašeho článku usnadnila sledování duhových přátel a pochopení. https://blobopera.io/

astronomerdecor on 27.7.2023 1:31

Nice

Your notes are very detailed and it helps the reader to understand the problem thoroughly. https://slope3d.org

Kara on 7.8.2023 6:27

Good

A reboot after installing the update is required to apply the changes and updates to the system. In some cases, some updates may require a restart of the computer or server to activate the changes. https://thepasswordgame.io

David on 7.8.2023 6:29

Re: Poznámky k mému včerejšímu a dnešnímu WUGu na téma infrastrukturní bezpečnosti

It is possible to convert HEIC to JPG using the https://heictojpg.io website without the need for extra applications. It is possible to convert HEIC to JPG without noticeably lowering image quality.

jeffreestar on 9.8.2023 5:01

Screenshoty

Podle webu https://www.positivewordsthatstartwith.com/ existuje nějaká appka na tvorbu screenshotu celé stránky.

dankrusina on 12.8.2023 0:27

good

Your careful study and attention to detail were clear, and they gave your arguments a lot of weight https://iogamesfree.io

willsaldana on 16.8.2023 11:16

Re: Poznámky k mému včerejšímu a dnešnímu WUGu na téma infrastrukturní bezpečnosti

You're making some great points there. https://www.ushadestinations.com/

UshaDestinations on 23.8.2023 9:56

Re: Poznámky k mému včerejšímu a dnešnímu WUGu na téma infrastrukturní bezpečnosti

Wow, great weblog structure. https://www.namasteindiatrip.org/

IndiaTravelBlog on 23.8.2023 9:57

Re: Poznámky k mému včerejšímu a dnešnímu WUGu na téma infrastrukturní bezpečnosti

You recommended the workshop https://geometrydashfree.org participants to come to your five-day GOC 175 training, which takes place within GOPAS. Infrastructure security is discussed in more detail here.

geometrydashfree on 24.8.2023 6:59

Car Rental in Dehradun

Car Rental in Dehradun is available at affordable prices. Book the Dehradun car rental services near me of your dreams a few steps away and create memories. https://www.dehraduncarrental.org/

dehraduncarrental on 11.10.2023 10:51

shell shockers

Shellshock.io is a complimentary web-based game developed by Blue Wizard Digital, a renowned game development company known for their creation of other popular games, including Friday the 13th: Killer Puzzle, Basketbros.io, Merc.Zone, and Slayaway Camp, among others. Experience the immersive gameplay of Shell Shockers, a captivating free shooting game that surpasses all expectations in terms of quality and enjoyment. https://shell-shockers.co

berrty on 26.10.2023 9:59

Re: Poznámky k mému včerejšímu a dnešnímu WUGu na téma infrastrukturní bezpečnosti

I'm really impressed by the idea you gave. Advice that is really useful and worth learning! This article shines a light on the truth so that we can see it https://ageofwargame.io

kiricowell on 3.11.2023 5:31

Re: Poznámky k mému včerejšímu a dnešnímu WUGu na téma infrastrukturní bezpečnosti

Get kids motorbike leather suit.
https://masterpointleather.com/product/champ-p1-motorcycle-suit/

Master123 on 4.12.2023 19:24

Re: Poznámky k mému včerejšímu a dnešnímu WUGu na téma infrastrukturní bezpečnosti

Master123 on 4.12.2023 19:25

Re: Poznámky k mému včerejšímu a dnešnímu WUGu na téma infrastrukturní bezpečnosti

Master123 on 4.12.2023 19:26

Manage Subscriptions

/_layouts/images/ReportServer/Manage_Subscription.gif

/_layouts/ReportServer/ManageSubscriptions.aspx?list={ListId}&ID={ItemId}

0x80

0x0

FileType

rdl

350

Manage Data Sources

/_layouts/ReportServer/DataSourceList.aspx?list={ListId}&ID={ItemId}

0x0

0x20

FileType

rdl

351

Manage Shared Datasets

/_layouts/ReportServer/DatasetList.aspx?list={ListId}&ID={ItemId}

0x0

0x20

FileType

rdl

352

Manage Parameters

/_layouts/ReportServer/ParameterList.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

rdl

353

Manage Processing Options

/_layouts/ReportServer/ReportExecution.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

rdl

354

Manage Cache Refresh Plans

/_layouts/ReportServer/CacheRefreshPlanList.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

rdl

355

View Report History

/_layouts/ReportServer/ReportHistory.aspx?list={ListId}&ID={ItemId}

0x0

0x40

FileType

rdl

356

View Dependent Items

/_layouts/ReportServer/DependentItems.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

rsds

350

Edit Data Source Definition

/_layouts/ReportServer/SharedDataSource.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

rsds

351

View Dependent Items

/_layouts/ReportServer/DependentItems.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

smdl

350

Manage Clickthrough Reports

/_layouts/ReportServer/ModelClickThrough.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

smdl

352

Manage Model Item Security

/_layouts/ReportServer/ModelItemSecurity.aspx?list={ListId}&ID={ItemId}

0x0

0x2000000

FileType

smdl

353

Regenerate Model

/_layouts/ReportServer/GenerateModel.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

smdl

354

Manage Data Sources

/_layouts/ReportServer/DataSourceList.aspx?list={ListId}&ID={ItemId}

0x0

0x20

FileType

smdl

351

Load in Report Builder

/_layouts/ReportServer/RSAction.aspx?RSAction=ReportBuilderModelContext&list={ListId}&ID={ItemId}

0x0

0x2

FileType

smdl

250

Edit in Report Builder

/_layouts/images/ReportServer/EditReport.gif

/_layouts/ReportServer/RSAction.aspx?RSAction=ReportBuilderReportContext&list={ListId}&ID={ItemId}

0x0

0x4

FileType

rdl

250

Edit in Report Builder

/_layouts/ReportServer/RSAction.aspx?RSAction=ReportBuilderDatasetContext&list={ListId}&ID={ItemId}

0x0

0x4

FileType

rsd

250

Manage Caching Options

/_layouts/ReportServer/DatasetCachingOptions.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

rsd

350

Manage Cache Refresh Plans

/_layouts/ReportServer/CacheRefreshPlanList.aspx?list={ListId}&ID={ItemId}&IsDataset=true

0x0

0x4

FileType

rsd

351

Manage Data Sources

/_layouts/ReportServer/DataSourceList.aspx?list={ListId}&ID={ItemId}

0x0

0x20

FileType

rsd

352

View Dependent Items

/_layouts/ReportServer/DependentItems.aspx?list={ListId}&ID={ItemId}

0x0

0x4

FileType

rsd

353

Add Comment

Title

Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *

Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *

Type number two as digit *

Semhle vyplňte číslici dvě. Předchozí antispemové pole nefunguje úplně dokonale, zdá se, že jsou i spamery, které pochopily, že je občas potřeba vyplnit autora :-)

Email

Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Ondrej Sevecek's Blog