AD Connect – staging with PowerShell

z jakiegoś powodu wszystkie arty pokazują jak włączyć/wyłączyć staging mode z interfejsu. nie udało mi się znaleźć… więc wypełniam lukę…

najpierw trochę teorii

  • flaga 'staging’ jest ustawieniem globalnym
  • ustawienia można odczytać przy pomocy Get-ADSyncGlobalSettings. przy czym obiekt, który jest zwracany ma poziom ogólny a same ustawienia są jako tablica parametrów. aby zobaczyć te ustawienia, pełne polecenie może wyglądać np. tak:
(Get-ADSyncGlobalSettings).Parameters | select name, scope, value
  • nie ma polecenia, które per se ustawia wartość konkretnego ustawienia
  • a więc algorytm jest prosty:
    • pobierz tablicę ustawień
    • dokonaj w niej zmianę
    • pchnij tablice jako 'zestaw nowych ustawień’

i dla 'stage’ to będzie:

$gs = Get-ADSyncGlobalSettings
$gs.parameters['Microsoft.Synchronize.StagingMode'].value = $true
Set-ADSyncGlobalSettings -GlobalSettings $gs

eN.

Locked Shields 2o22

LockedShieldsLogomake peace not war

jestem pacyfistą totalnym. mimo to kiedy dostałem zaproszenie do wzięcia udziału w Locked Shield 2o22 – nie wahałem się. LS to inicjatywa NATO CCDCoE.. jak widać wojsko wyprzedza IT w skrótowcach (; CCDOCoE to „Cooperative Cyber Defence Centre of Excellence”. w całej inicjatywie chodzi o połączenie sił wojskowych z cywilnymi i wspólną walkę w ramach symulowanego [zmasowanego] ataq hackerskiego na środowisko. oficjalne informacje można znaleźć na stronach ccdcoe.

w tym roq w ćwiczeniu brały udział 32 kraje, w tym 24 BlueTeam – czyli te 'broniące się’. Połączonym zespołem ćwiczebnym dowodził oficer NCBC DKWOC – jak mówiłem, że wojsko w skrótowcach bije IT na głowę. to skrót od „Narodowe Centrum Bezpieczeństwa Cyberprzestrzeni – Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni”, oficjalna informacja NCBC o LS22 tutaj. Polska w tym roq występowała ramię w ramię z Litwą, a ja miałem przyjemność wspierać Polsko-Litewską Unię Blue Team w zakresie [głównie] ochrony AD.

o co chodzi w ćwiczeniu?

ćwiczenie to duże środowisko, składające się w wielu usług, emulujące duży biznes, wykorzystujący przeróżne systemy operacyjne, aplikacje chmurowe i onpremisowe. środowisko jest skompromitowane, jest w nim wiele luk, dziur, furtek a wręcz otwartych na oścież bram. zadaniem Blue Team jest zabezpieczanie całego środowiska na bieżąco, szybka reakcja na błędy, utrzymywanie usług w stanie działania. w tym czasie Red Team [w tym roq Estonia] wykorzystuje wszelkiego rodzaju luki aby dostawać się do środowiska i psuć co się da. całość zaprojektowana jest tak, aby możliwie bardzo przypominać realną pracę, czyli z systemów normalnie korzystają użytkownicy, zgłaszają tickety etc. punkty dostaje się oczywiście za utrzymywanie usług tak aby działały.

w przeciwieństwie do 'normalnego’ środowiska, nie jest to administracja 'pasywna’ typu: 'a założę sobie GPO i będzie dobrze’. propagacja GPO trwa, a tutaj wszystko musiało być natychmiast i cały czas trzeba sprawdzać czy ktoś już nie wjechał i nie poprzestawiał opcji. dla mnie więc ćwiczenie było rodzajem hackathonu PowerShell, podczas którego sklejałem skrypty monitorujące cały szereg ustawień na kontrolerach domeny i reagujące na zmiany, natychmiast przywracając odpowiednie wartości – czy to ACL na przeróżnych obiektach, weryfiqjące wartości rejestru, czy to dbających o konta i grupy. na czekanie – czasu nie ma.

po co mi ta wojna?

pomimo, że jestem pacyfistą, zdaję sobie sprawę z wagi wojska – zwłaszcza w takim okresie jak obecny. mam nadzieję nigdy nie brać udziału w prawdziwej wojnie, jednak lepiej być przygotowanym. skoro umiem coś z tego IT, to dobrze umieć używać swoją wiedzę również w przypadkach zagrożenia. cały event dał mi naprawdę dużo:

  • ćwiczenie trwa dwa dni podczas których cały czas trzeba być aktywnym i w pełnym sqpieniu. dobre na sprawdzenie swoich możliwości 'pracy pod ciężką presją’ – głównie czasu.
  • choć AD znam bardzo dobrze, włączając aspekty bezpieczeństwa – wykonywałem wiele audytów – to jednak bardzo dużo się dowiedziałem nowych rzeczy. teraz jestem w stanie sięgnąć dużo głębiej i otworzyły mi się oczy jak złożone można wymyśleć wektory ataq i jak zagmatwanie poukrywane. niewątpliwie moje audyty będą dużo pełniejsze.
  • dodałbym pewnie social i czynnik ludzki, ale ten został mocno stępiony przez covida, grypy i inne wynalazki i LS w tym roq był w pełni zdalnie. niestety więc nie miałem okazji fizycznie poznać całej brygady – ale i tak dobrze było popracować w takiej atmosferze – zaangażowanie współuczestników jest olbrzymie, więc jest to duża radocha 'wspólnego celu’.

jak nam poszło?

średnia zdobytych punktów to 43,5k przez wszystkie 24 zespoły. nasz Polsko-Litewski batalion natrzaskał 61,3k punktów plasując się na drugim miejscu. z niewielką przewagą, chyba poniżej 1k, wygrała Finlandia. było blisko! o włos. domenę udało się zabezpieczyć a skrypty robiły taką robotę, że nikomu się na DCki nie udało wjechać (= na 3cim miejscu uplasował się organizator tegorocznego eventu czyli Estonia.

dzięki wszystkim współuczestnikom! liczę na możliwość udziału za rok – i oby dało się fizycznie spotkać. z relacji weteranów, atmosfera w war roomie, kiedy cała ekipa siedzi razem i może się komunikować bezpośrednio, jest dodatkową korbą. ale i tak było całkiem emocjonująco.

eN.