Андрей Смирнов
Время чтения: ~22 мин.
Просмотров: 5

Настройка аудита в windows для полноценного soc-мониторинга

Введение

Все мы любим заворожённо читать про очередное расследование инцидента, где шаг за шагом распутывается клубок: как проник злоумышленник, какие инструменты он использовал и когда, что за процессы создавались на скомпрометированном хосте, что происходило в сети и, конечно же, кто виноват и что делать.

На практике ответы на эти вопросы находятся не всегда. Зачастую при расследовании специалисты отделов ИБ сталкиваются с тем, что аудит не настроен, логи перезаписались, отсутствует единая система хранения и анализа журналов, «перезалит» заражённый хост (популярное решение всех проблем).

Ниже мы разберём один из самых важных этапов, который нужен для того, чтобы расследование не завершилось ещё в самом начале: сбор и хранение журналов аудита. Будут рассмотрены возможности расширенного аудита ОС Windows и его настройка.

Усиление цифровой обороны

Для максимальной отдачи необходимо выполнить ещё одну настройку — включить логирование «командной строки процесса». Тогда на рабочих станциях и серверах, к которым применяется этот параметр политики, сведения из командной строки будут заноситься в журнал событий «Безопасность» (Security) с ID 4688.

Рисунок 10. Журналирование командной строки процесса

 

Путь к политике: Конфигурация компьютера / Административные шаблоны / Система / Аудит создания процессов (Computer Configuration / Administrative Templates / System / Audit Process Creation). Имя: «Включать командную строку в события создания процессов» (Include command line in process creation events).

Рисунок 11. Путь к аудиту создания процессов

 

Включаем политику, выставив соответствующее значение, и нажимаем «Применить» (Apply).

Рисунок 12. Настройка «Включать командную строку в события создания процессов» 

 

После включения этой политики в журнале событий «Безопасность» (Security) в событиях с кодом 4688 появится дополнительное значение «Командная строка процесса» (Process Command Line), где будет отображаться тело исполняемой команды.

В примере ниже демонстрируется, как это поможет заглянуть чуть глубже. На первый взгляд в событии происходит запуск легитимного процесса «opera_autoupdate.exe», но вот строка «Process Command Line» больше похожа на запуск утилиты «mimikatz». Без активированной политики «Включать командную строку в события создания процессов» мы этого не зафиксируем.

Рисунок 13. Детектирование mimikatz

 

Укрепим нашу оборону и полным журналированием работы самого мощного инструмента ОС Windows — PowerShell. Для этого необходима версия PowerShell 5.0 или выше.

PowerShell 5.0 / 5.1 предустановлен в Windows 10, Windows Server 2016 и Windows Server 2019. Для остальных операционных систем необходимо обновить модуль Windows Management Framework.

Список поддерживаемых ОС:

  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2 SP1
  • Windows 8.1
  • Windows 8
  • Windows 7 SP1

Скачайте с сайта Microsoft соответствующую версию, выполните установку и перезагрузку хоста. Также обязательным требованием является наличие Microsoft .NET Framework 4.5 или выше.

Включим регистрацию блоков сценариев PowerShell через соответствующую политику. Она находится по следующему пути: Административные шаблоны / Компоненты Windows / Windows PowerShell (Administrative Templates / Windows Components / Windows PowerShell). Имя: «Включить регистрацию блоков сценариев PowerShell» (Turn on PowerShell Script Block Logging)

Рисунок 14. Путь к аудиту Windows PowerShell

 

Включаем политику и нажимаем «Применить» (Apply). При этом устанавливать галочку напротив поля «Регистрация начала или остановки вызова блоков сценариев» (Log script block invocation start / stop events) не нужно. Данная функция увеличивает количество регистрируемых событий, которые не несут полезной информации.

Рисунок 15. Включить регистрацию блоков сценариев PowerShell

 

После включения этой политики PowerShell будет регистрировать в журнале событий трассировки Microsoft-Windows-PowerShell/Operational с кодом события 4104 все блоки сценариев, в том числе — путь, тело скрипта и все используемые командлеты.

Рисунок 16. Пример регистрируемого события 4104

 

Хорошей практикой является увеличение размера самих журналов, даже если вы используете SIEM или сервер сборщика событий (Windows Event Collector). Например, журнал «Безопасность» (Security) по умолчанию имеет размер 20 МБ. При настроенном аудите на типичном АРМ этого объёма хватит на журналирование нескольких дней, на сервере — нескольких часов, а на контроллере домена 20 МБ не хватит ни на что.

Рекомендуем для всех основных журналов следующие объёмы:

  • журнал «Установка» (Setup) — не менее 10 МБ,
  • журнал «Система» (System) — не менее 50 МБ,
  • журнал «Приложение» (Application) — не менее 50 МБ,
  • журнал «Безопасность» (Security) — не менее 200 МБ (для контроллера домена — не менее 500 МБ).

При этом оставляем функцию перезаписи старых событий (по умолчанию она активирована).

Рисунок 17. Настройка хранения журналов аудита

 

Пошаговая инструкция развёртывания Windows 7 из образа

1. Делаем шаблоную установку Windows в режиме аудита

1.1. На этапе OOBE (появляется окно создания учётной записи) нажимаем Ctrl + Shift + F3. Компьютер перезагружается в режим аудита. Также перегрузиться в режим аудита можно выполнив команду sysprep /audit (Shift + F10 — открыть консоль):

1.2. Устанавливаем необходимое ПО, подключаем принтеры и другую переферию, устанавливаем обновления ОС. Некоторое ПО при активации привязывается к оборудованию. Эти приложения активировать сейчас не следует(!), а отложить этот процесс до запуска ОС на конечном компьютере пользователя. Во время установки ПО можно перезагружать компьютер сколько угодно раз. После перезагрузки мы сможем опять войти в режим аудита и продолжить настройку.

2. Подготавливаем систему к распространению с помощью утилиты SysPrep

Если мы подготовили файл ответов (например с помощью WIAK), то нужно выложить его в папку C:\Windows\System32\sysprep:

Можно запустить графическую оболочку C:\Windows\System32\sysprep\sysprep.exe и поставить там галочку «Подготовка к использованию», а в параметрах завершения работы выбрать «Завершение работы». Того же эффекта можно добиться выполнив команду (с правами администратора):

%SystemRoot%\system32\sysprep\sysprep.exe /generalize /oobe /shutdown /quiet

Используемые ключи:

  • generalize — обобщение конфигурации системы, то есть удаляются параметры, специфические для конкретного компьютера, что позволяет развертывать один образ на нескольких компьютерах;
  • oobe — после перезагрузки системы выйти в режим настройки учётной записи (а не аудита), т.е. продолжим установку ОС;
  • shutdown — выключить систему после завершения подготовки ОС;
  • quiet — не показывать сообщений и диалоговых окон, «тихий» режим.

Если на этом этапе загрузить систему, то выполненное обобщение будет утеряно, поэтому образ раздела нужно создавать, загрузившись с live-CD.

3. Создаём образ системного раздела (файл *.wim) с помощью утилиты ImageX

Загружаемся с установочного диска Windows 7, Windows PE или другого Windows live-CD, можно также подключить жёсткий диск с подготовленной для тиражирования ОС к другому компьютеру дополнительным диском. В любом случае нам понадобиться утилита ImageX, которую можно записать, например, на флэшку.

Создаём копию раздела командой:

E:\tools\imagex.exe /capture C: E:\images\win7image.wim "Windows 7 Pro +ПО" /compress maximum /verify

где «С:» — диск с подготовленной ОС.

!В Windows PE (а также в установщике Windows 7) для базовых операций с файлами и каталогами (включая копирование и переименование) удобно использовать… Блокнот (так как Проводник не доступен), выбрав в нём «Файл — Открыть» и используя контекстное меню. Указав в поле «Имя файла» звезду «*» и нажав Ввод мы увидим все файлы в папке (а не только текстовые).

Блокнот запускается командой notepad.

4. Форматируем целевой жёсткий диск

4.1. На целевом компьютере загружаемся с Windows PE
или установочного диска Windows 7 (открываем консоль по Shift + F10).

4.2. Переразбиваем жёсткий диск с помощью консольной команды DiskPart, создавая один раздел 100Гб, который будет системным:

select disk 0
clean
convert mbr
create partition primary size=102400
format quick fs=ntfs label="Win7"
assign letter=C
active
list volume
exit 

Microsoft советует системные файлы для повышения безопасности размещать на отдельном небольшом разделе. Если мы хотим следовать этой рекомендации, тогда перед созданием раздела с Windows создадим системный раздел. Как это сделать см в статье DiskPart.

5. Записываем созданный образ раздела на локальный жёсткий диск

E:\tools\imagex.exe /apply E:\images\win7image.wim 1 C:

где

С: — раздел, куда будем развёртывать образ
1 — номер (или название) образа, по умолчанию = 1

Если образы ОС лежат на сетевом ресурсе, то подключаем его предварительно командой:

net use E: \\server\share /user: domain_name\username password

6. Завершение

Если создавали отдельный системный раздел, то нужно перенести на него загрузочные системные файлы (предполагаем, что ОС находится на диске C:):

bcdboot C:\Windows

Выходим из Windows PE:

exit

или закрываем окно установщика Windows 7. Компьютер уйдёт в перезагрузку. Вынимаем CD/DVD диск и загружаемся с только что установленной ОС.

7. Осложнения

Если при загрузке перенесённой ОС возникли проблемы, то можно попробовать восстановить загрузчик. Для этого нужно загрузиться с дистрибутива Windows 7 (открыть консоль можно, нажав Shift+F10) или Windows PE и выполнить команду:

bcdboot C:\Windows /l ru-RU /s C:
Подробнее читайте в статье «Восстановление загрузчика Windows и Linux».

Настройка политик аудита

Очень часто можно услышать совет: «давайте включим все политики». Это, конечно, — «путь джедая», но, как показывает практика, не все джедаи добрались до финала.

Для большинства сценариев мониторинга нет острой необходимости включать всё. Это излишне. Включая все политики, вы можете получить гигантский поток событий, в котором очень легко «утонуть». В большой инфраструктуре с несколькими тысячами Windows-хостов поток событий может исчисляться десятками тысяч EPS (событий в секунду). Это порождает другую, не менее сложную задачу: как этим управлять, где это хранить, как обрабатывать.

Предлагаем рассмотреть оптимальный список политик, который может вам понадобиться

Также стоит обратить внимание на то, что фактически настроек две (и, соответственно, существуют две различные GPO). Первая — исключительно для контроллеров домена, так как часть событий (например, ID 4768: A Kerberos authentication ticket (TGT) was requested) фиксируется исключительно на них

Вторая — для рядовых серверов и АРМ пользователей.

Таблица 2. Рекомендуемые настройки аудита Windows

КатегорияПодкатегорияВключитьХост (DC, сервер, АРМ)Категория (успех / отказ)
Account LogonAudit Credential Validation+DC, сервер, АРМУспех и отказ
Audit Kerberos Authentication Service+DCУспех и отказ
Audit Kerberos Service Ticket Operations+DCУспех и отказ
Audit Other Account Logon Events  
Account ManagementAudit Application Group Management+DCУспех и отказ
Audit Computer Account Management+DCУспех
Audit Distribution Group Management+DCУспех
Audit Other Account Management Events+DC, сервер, АРМУспех
Audit Security Group Management+DC, сервер, АРМУспех
Audit User Account Management+DC, сервер, АРМУспех и отказ
Detailed TrackingAudit DPAPI Activity+DC, сервер, АРМУспех и отказ
Audit PNP Activity+DC, сервер, АРМУспех и отказ
Audit Process Creation+DC, сервер, АРМУспех
Audit Process Termination  
Audit RPC Events  
Audit Token Right Adjusted  
DS AccessAudit Detailed Directory Service Replication+DCУспех и отказ
Audit Directory Service Access+DCУспех и отказ
Audit Directory Services Changes+DCУспех и отказ
Audit Directory Service Replication+DCУспех и отказ
Logon/LogoffAudit Account Lockout+DC, сервер, АРМОтказ
Audit User / Device Claims  
Audit IPsec Extended Mode  
Audit IPsec Main Mode  
Audit IPsec Quick Mode  
Audit Logoff+DC, сервер, АРМУспех
Audit Logon+DC, сервер, АРМУспех и отказ
Audit Network Policy Server  
Audit Other Logon / Logoff Events+DC, сервер, АРМУспех и отказ
Audit Special Logon+DC, сервер, АРМУспех
Object AccessAudit Application Generated  
Audit Certification Services  
Audit Detailed File Share  
Audit File Share  
Audit File System+DC, сервер, АРМУспех и отказ
Audit Filtering Platform Connection  
Audit Filtering Platform Packet Drop  
Audit Handle Manipulation  
Audit Kernel Object  
Audit Other Object Access Events+DC, сервер, АРМУспех и отказ
Audit Registry+DC, сервер, АРМУспех и отказ
Audit Removable Storage+DC, сервер, АРМУспех и отказ
Audit SAM  
Audit Central Access Policy Staging  
Policy ChangeAudit Policy Change+DC, сервер, АРМУспех
Audit Authentication Policy Change+DC, сервер, АРМУспех
Audit Authorization Policy Change+DC, сервер, АРМУспех
Audit Filtering Platform Policy Change  
Audit MPSSVC Rule-Level Policy Change+DC, сервер, АРМУспех и отказ
Audit Other Policy Change Events  
Privilege UseAudit Non Sensitive Privilege Use+DC, сервер, АРМУспех и отказ
Audit Other Privilege Use Events  
Audit Sensitive Privilege Use+DC, сервер, АРМУспех и отказ
SystemAudit IPsec Driver  
Audit Other System Events+DC, сервер, АРМУспех и отказ
Audit Security State Change+DC, сервер, АРМУспех
Audit Security System Extension+DC, сервер, АРМУспех
Audit System Integrity  
Global Object Access AuditingFile system  
Registry  

После включения описанных политик у вас будут все необходимые события для мониторинга и расследования инцидентов.

Sysprep limitations you should know

Care must be taken when using Sysprep, as it has some limitations. Here are three major restrictions of Sysprep.

  • *On a single system image, you can run Sysprep up to 8 times. After running this tool 8 times, you must recreate your system image.

  • *Sysprep may fail if you install or update Microsoft Store apps before generalizing a system image.

  • *Users are often disappointed to find Windows 10 Sysprep fails when the Generalize checkbox is enabled.

As you can see from above, Sysprep doesn’t always work fine. Once it fails, you can’t perform deployment with Windows deployment tools like Windows Deployment Services (WDS) and Microsoft Deployment Toolkit (MDT). In fact, you still have chances to deploy system remotely if you read on.

Настройка аудита изменений учетных записей и групп Active Directory

В данном случае, нас интересует категория Account Management, позволяющая включить аудит изменений в группах Audit Security Group Management)  и аудит учетных записей пользователей (политика Audit User Account Management). Активируем данные политики аудита, задав отслеживание только успешных изменений (Success).

Осталось прилинковать данную политику к контейнеру, содержащему учетные записи контроллеров домена (по умолчанию это OU Domain Controllers) и применить эту политику (выждав 90 минут или выполнив команду gpupdate /force).

После применения данной политики информация обо всех изменения в учетных записях пользователей и членстве в группах будет фиксировать на контроллерах домена в журнале Security. На скриншоте ниже отображено событие, фиксирующие момент удаления пользователя из групп Active Directory (в событии можно увидеть кто, когда и кого удалил из группы).

По умолчанию журнал отображает все события безопасности, попавшие в лог. Чтобы упростить поиск нужного события, журнал можно отфильтровать по конкретному Event ID. В том случае, если нас интересуюсь только события, например, качающиеся сброса пароля пользователя в домене, необходимо включить фильтр по id 4724.

Ниже приведен список некоторых ID событий, которые могут понадобиться для поиска и фильтрации событий в журнале Security практике:ID событий, в контексте изменений в группах AD

4727 : A security-enabled global group was created.4728 : A member was added to a security-enabled global group.4729 : A member was removed from a security-enabled global group.4730 : A security-enabled global group was deleted.4731 : A security-enabled local group was created.4732 : A member was added to a security-enabled local group.4733 : A member was removed from a security-enabled local group.4734 : A security-enabled local group was deleted.4735 : A security-enabled local group was changed.4737 : A security-enabled global group was changed.4754 : A security-enabled universal group was created.4755 : A security-enabled universal group was changed.4756 : A member was added to a security-enabled universal group.4757 : A member was removed from a security-enabled universal group.4758 : A security-enabled universal group was deleted.4764 : A group’s type was changed.

Примечание.  Подробнее об аудите изменений в группах Active Directory.

ID событий, в контексте изменений в учетных записей пользователей в AD

4720 : A user account was created.4722 : A user account was enabled.4723 : An attempt was made to change an account’s password.4724 : An attempt was made to reset an account’s password.4725 : A user account was disabled.4726 : A user account was deleted.4738 : A user account was changed.4740 : A user account was locked out.4765 : SID History was added to an account.4766 : An attempt to add SID History to an account failed.4767 : A user account was unlocked.4780 : The ACL was set on accounts which are members of administrators groups.4781 : The name of an account was changed:4794 : An attempt was made to set the Directory Services Restore Mode.5376 : Credential Manager credentials were backed up.5377 : Credential Manager credentials were restored from a backup.

Создание собственного настроенного дистрибутива Windows 10. Способ для опытных пользователей

Авторы — Владимир и Админ
Не буду ещё раз разглагольствовать Вам о том, для чего нужен собственный настроенный дистрибутив Windows 10, думаю это всем и так понятно, скажу лишь коротко. Вы устанавливаете Windows 10 на ноутбук, простой компьютер или даже виртуальную машину, потом устанавливаете весь необходимый софт вместе с антивирусом и после всего этого создаёте дистрибутив операционной системы, по вашему мнению отвечающий всем требованиям современного времени.

Установить Windows 10 с помощью такого настроенного дистрибутива можно на любой компьютер, после установки система будет уже настроена, а все программы установлены и вам останется инсталлировать только лишь драйвера.
 

Примечание: Если статья покажется вам слишком сложной, то прочтите нашу статью «Создание собственного настроенного дистрибутива Windows 10. Простой способ для начинающих пользователей»

Итак, для осуществления задуманного нам понадобится два компьютера или один компьютер, но с установленной на нём виртуальной машиной. Если у вас один компьютер, то вариант с виртуальной машиной описан в конце статьи.
 
Я обойдусь без виртуальной машины, так как у меня есть ноутбук и обычный стационарный компьютер. 
Начну с установки на ноутбук операционной системы Windows 10 со всеми драйверами и необходимыми мне программами, а также антивирусом. После установки на ноутбук Windows 10 с необходимым софтом, скачиваем на официальном сайте Майкрософт дистрибутив Windows 10 и создаём загрузочную флешку.

После создания загрузочной флешки с Win 10, запускаем встроенную в систему утилиту «sysprep», разработанную специально для подготовки настроенного образа Windows вместе с установленными программами к переносу на другой компьютер. Запускаем командную строку от имени администратора и вводим команду:

C:\Windows\System32\Sysprep\Sysprep.exe

Запускается утилита «sysprep»
В появившемся окне с параметрами выставляем всё так, как на скришноте
Перевод системы в режим (OOBE).
Отмечаем пункт — Подготовка к использованию.
Завершение работы
и нажимаем ОК.

1. Перевод системы в режим OOBE — режим переноса операционной системы активируется при следующем запуске системы.
2. Подготовка к использованию — из системы будут удалены все данные, которые не должны копироваться вместе с образом (идентификаторы безопасности (SID), сведения об активации и так далее), но установленное программное обеспечение должно перенестись без проблем.
Windows 10 подготавливается утилитой «sysprep» несколько минут.

 

Затем ноутбук выключается.
 
Создание файла-образа Windows 10 в формате ESD 

Подсоединяем к ноутбукупереносной жёсткий диск USB и загрузочную флешку с Windows 10.

Загружаем с флешки ноутбук. В начальном окне установки Windows 10 жмём клавиатурное сочетание «Shift+F10»,

открывается командная строка, ввожу команды:
diskpart

lis vol (данной командой выводим список разделов жёсткого диска, видим, что разделу с установленной Windows 10 присвоена буква диска C:, а переносному жёсткому диску буква I:)

exit (выходим из DiskPart)

вводим следующую команду, которая произведёт захват диска (C:) с установленной Windows 10 в файл-образ формата ESD и сохранит его на переносном винчестере USB (буква диска (I:).

Dism /Capture-Image /ImageFile:I:\install.esd /CaptureDir:C:\ /Name:Windows

где,

install.esd: — это название будущего ESD-образа диска (C:) с Windows 10.

I:\ — место сохранения ESD-образа.

C:\ — раздел с установленной Windows 10.
сжатие fast (параметр fast обеспечивает ускоренное сжатие образа, но получаемые файлы имеют больший размер, чем файлы, сжимаемые с параметром maximum, тип сжатия fastдействует по умолчанию, если не указан аргумент сжатия (у нас он не указан)).
Прогресс операции 100%. Образ Windows 10 создан на разделе (I:). 

Сохранение образа

Операция успешно завершена.

Ошибки при использовании Sysprep

Как и у большинства штатных инструментов Windows, у Sysprep имеются свои ограничения. В ряде случаев вы можете столкнуться с ошибками выполнения. Например, часто появляется сообщение «Sysprep не удалось проверить установку Windows». Ошибка возникает при запуске Sysprep на обновленной или клонированной ОС.

К счастью, устранение этой неполадки не представляет особой сложности. Откройте командой regedit редактор реестра, перейдите в расположение HKLM/SYSTEM/Setup и удалите оттуда параметр Upgrade.

Затем перейдите в расположенный в этом же ключе подраздел Status, найдите в нём параметр CleanupState и установите в качестве его значения 7. Если параметр отсутствует, создайте его вручную, выбрав тип DWORD.

Иногда запуск средства Sysprep приводит к появлению сообщения «Произошла неустранимая ошибка при выполнении программы Sysprep». Данная ошибка возникает в результате превышения лимита использования утилиты. Чтобы продолжить работу, необходимо сбросить счетчик с помощью твика реестра. Откройте редактор реестра, перейдите в расположение HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/SoftwareProtectionPlatform и установите для параметра SkipRearm значение 1.

Если это не помогло, пройдите по пути HKLM/SYSTEM/Setup/Status/SysprepStatus. Далее для параметра GeneralizationState установите значение 7, а для параметра CleanupState значение 2.

Более жестким, но и более эффективным методом устранения ошибки является переустановка службы координатора распределенных транзакций MSDTC. Для осуществления операции запускаем командную строку с правами администратора и выполняем эти две команды:

  • msdtc -uninstall
  • msdtc -install

Проблемы с Sysprep также могут быть вызваны конфликтом с некоторыми приложениями и службами. Избавиться от ряда ошибок позволяет удаление программ для создания виртуальных приводов, службы Windows Media и Internet Explorer 10. Если для защиты системного раздела используется BitLocker, перед применением Sysprep шифрование необходимо отключить.

Deploy your system without running Windows 10 Sysprep

You don’t have to run Sysprep when you turn to AOMEI Image Deploy (AID) Free. This freeware works well to deploy system to other computers over a network. The SID information will not be copied during the deployment process. Compared to deployment tools provided by Windows, it’s easier to use.

Unlimited computers can be deployed at the same time. Download this freeware today! It works for Server 2003/2008/2012/2016 (including 32/64-bit, R2/SBS) and Windows 10/8.1/8/7/Vista/XP.

Download Freeware

Win 10/8.1/8/7/XP

Here are necessary steps to deploy your system.

Preparations you need to do

  • Make sure that all the required computers are on the same network.

  • All client computers should support PXE boot. If not, exclude it please.

  • The disk sequence numbers for storing system in target computers must be the same. Move out other disks and only keep the destination disk.

  • Create system image backup with AOMEI Backupper Standard on the central Windows 10 computer. Choosing a network shared folder or NAS as the destination path when creating system backup.

1. Install and open AID. Choose Create WinPE automatically to create a bootable ISO file of the system or Create bootable WinPE ISO manually to add custom drivers into WinPE.

2. Keep only one DHCP server in the LAN. Click Enable DHCP if you have no DHCP server. Then click Next to get into this window.

3. Start all the client computers from network boot by entering into BIOS and set the network boot as the first boot device.

4. Here you can see the status for all client computers. Once a computer connects to AID successfully, you can get «Client computers connected». Click I confirm all the client computers which need to be deployed are online when all the client computers are connected. Then click Next.

5. Here comes detailed guide for configuring the operation.

a. Choose Browse to find your system image.

b. Select the client computers you need or click All to select all connected computers.

c. Input the destination disk number. If all the client computers have only one disk reserved, the disk number should be .

d. Decide how many computers will be deployed each time.

e. Click Settings to set computer name. Then click OK.

Tips:

  • Set IP: click it to preset IP address. This feature is in Technician edition.

  • Universal Restore: you can deploy system image to computers with different hardware. Upgrade to Technician version to enjoy this feature.

6. After confirming your operations, you can click Start Deploy. Then choose whether to shut down or restart the client computers.

Benefits and Disadvantages of Using Sysprep

Syprep’s benefits:

  • The customized reference Windows 10 image allows you to quickly deploy a ready-to-work environment on a user’s computer. You do not need to install drivers, programs, security updates and configure custom Windows Settings manually on each computer;
  • You can automatically deploy the Windows image using the answer (unattended) file. You do not need to select the various options on the initial Windows 10 setup screen after installation;
  • At any time, you can extract the image, make changes to it, and update it on the deployment tool.

Disadvantages:

  • The size of the Windows reference image can be significantly larger than the clean Windows 10 installation ISO image;
  • Periodically you have to update the versions of programs and drivers injected to the reference image.

Обзор инструментов

Переходим к самой интересной, практической части — обзору основных инструментов аудита и настройки native-опций безопасности Windows

В первой части нашего обзора мы сконцентрируем свое внимание на бесплатных или open source инструментах, которые будут доступны абсолютно каждому

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score!
Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя!
Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.

Я уже участник «Xakep.ru»

What Sysprep Windows 10?

Have you ever heard about Sysprep (System Preparation) in Windows 10? Built into Windows, it is often used to prepare a system image, which will be deployed to multiple computers. The preparation process is also called generalizing the image.

Each time you install Windows, the operating system assigns an unique SID (System Identifier) to this computer. If you want to install the same OS on many computers simultaneously, you can create a system image and then deploy it to other computers. Note that the SID information will be copied to other devices at the same time.

However, SID duplications on the same network may cause many problems, for example, WSUS incompatibility. Thus, you must remove the computer-specific information before deployment. Luckily, Microsoft created Sysprep for this purpose. It can not only clear the SID information, but also generalize new SIDs for client computers.

How to run Sysprep in Windows 10?

Follow the steps below to generalize your image and make it ready for deployment.

1. Press Windows logo key + X at the same time. Select Command Prompt (Admin) from the menu.

2. Type cd \Windows\System32\Sysprep and then press Enter.

3. Type sysprep and then press Enter to open Sysprep GUI mode.

4. Choose Enter System Out-of-Box Experience (OOBE) and tick the Generalize checkbox. Select Shutdown from the drop-down menu. Then click OK.

Tips:

  • To explore the command line mode, you can type sysprep /h and then press Enter at Step 3.

  • Enter System Out-of-Box Experience (OOBE): prepares the server as if it is powered on for the first time.

  • Generalize: removes SID information from the image.

  • Shutdown: once Sysprep completes, shutdown the server.

  • The above steps also work with Sysprep in Windows 7.

Рейтинг автора
5
Материал подготовил
Максим Иванов
Наш эксперт
Написано статей
129
Ссылка на основную публикацию
Похожие публикации