Category: Domain Controller

Как вы слышали,  в августе 2020 года была обнаружена критическая уязвимость CVE-2020-1472 в протоколе проверки пользователя контроллером домена.

Критическая она потому, что для эксплуатации этой уязвимости достаточно оказаться в одной сети с контроллером домена.

Microsoft конечно же выпустил обновления, но кто ж их ставит, верно?

В сети есть скрипт, позволяющий провести проверку через эксплуатацию уязвимости, но это вряд ли считается нормальным методом проверки.

Поэтому я написал скрипт, который проверяет наличие требуемых обновлений на контроллерах домена Windows Server 2012 R2.

Список обновлений взят из статьи про уязвимость, а также Catalog MS, указывающего на более новые версии обновлений. В моем списке сентябрьское обновление, два августовских и перекрывающий их апдейт безопасности для Windows 2012 R2.

Обратите внимание, что для Windows 2016/2019 номера апдейтов другие!

Для запуска скрипта требуются права администратора домена, так как скрипт проходит по контроллерам и через WMI получает список установленных обновлений.

Результатом работы скрипта является следующий вывод:

WARNING означает, что нужно срочно бежать и ставить обновления.

Наличие сентябрьского обновления означает, что вы молодцы. Наличие августовских – ну не безнадежны, по крайней мере :-).

Возникла задача включить оповещения между сайтами AD.

Данные оповещения снижают время “сходимости” между сайтами за счет того, что репликация  не по расписанию, а при наличии изменений (как внутри сайта).

Скрипт MS располагается здесь, я его немного допилил:

Get-adobject -filter * -searchbase 'cn=configuration,dc=holding,dc=com' -properties options | where {$_.objectclass -eq "sitelink"} | set-adobject -replace @{options=$($_.options -bor 1)} -Verbose

Оригинальный скрипт не работал.

Как вы уже поняли, моим хобби является написание скриптов на Powershell для Active Directory 🙂

В этот раз я поделюсь скриптом, который составляет табличку по всем доменным контроллерам, в которой содержится сайт AD, в которой содержится сайт, операционная система с сервис-паком, производитель и модель сервера, количество процессоров и памяти.

Из полезного – еще можно выдернуть наличие на контроллере домена роли глобального каталога, FSMO-ролей, RODC или нет. Плюс убрать саму привязку скрипта к модулю AD for Powershell. Но атрибута “глобальный каталог” или RODC в выводе Get-ADDomainController я не увидел, а FSMO-роли возвращаются в виде массива значений, поэтому в экспорт CSV не попадают.

Get-ADDomainController -Filter * | select hostname, site, operatingsystem, OperatingSystemServicePack, @{name="vendor";expression={(gwmi Win32_ComputerSystem -ComputerName $_.hostname).Manufacturer}}, @{name="model";expression={(gwmi Win32_ComputerSystem -ComputerName $_.hostname).model}}, @{name="CPU, count";expression={(gwmi Win32_ComputerSystem -ComputerName $_.hostname).NumberOfLogicalProcessors}}, @{name="RAM/GB";expression={[math]::round((gwmi Win32_ComputerSystem -ComputerName $_.hostname).Totalphysicalmemory/1GB)}} | sort hostname | Export-
Csv -NoTypeInformation C:\scripts\dclist.csv

Полученный CSV-файл открывается в Excel и обрабатывается с помощью операции “Текст по столбцам”.

[table id=1 /]

Возникла у меня задача получения списка контроллеров и количества памяти на них. Так как я привык работать через Active Directory Module for Powershell, приведу пример работы с ним.

Get-ADComputer -SearchBase 'ou=domain controllers,dc=domain' -filter * | select Name, @{Name="Memory, Gb";Expression={[decimal]::round((Get-WmiObject -Class Win32_OperatingSystem -Namespace root/cimv2 -ComputerName $_.dnshostname).TotalVisibleMemorySize/1mb)}} | sort name

Результатом станет красивая табличка, содержащая количество гигабайт для каждого контроллера.

Upd: В комментариях справедливо замечают, что скрипт можно использовать для инвентаризации обычных серверов в произвольной OU.

UPD2: Появилась более продвинутая версия скрипта.