Veeam Hardened Repository ISO Bond
Author Archives: Nunt
Windows ดู Session User ที่ใช้งานอยู่
ใช้ Powershell
User Login
Get-CimInstance Win32_LoggedOnUser | Select Antecedent, Dependent
User Login Process
Get-Process -IncludeUserName | Select-Object Id, ProcessName, UserName
User Login Service
Get-WmiObject Win32_Service | Select Name, StartName, State
Aruba VSX, VRRP, Spanning-tree
Enable VSX and VRRP
Core 1
interface lag 100
description VSX-ISL
no shutdown
no routing
vlan trunk native 1 tag
vlan trunk allowed all
lacp mode active
interface 1/1/49
no shutdown
lag 100
interface 1/1/50
no shutdown
lag 100
interface 1/1/48
no shutdown
ip address 10.10.10.1/30
vsx
system-mac 00:00:00:00:00:11
inter-switch-link lag 100
role primary
keepalive peer 10.10.10.2 source 10.10.10.1
vsx-sync vrrp
interface vlan 100
ip address 192.168.100.2/24
vrrp 100 address-family ipv4
address 192.168.100.1 primary
priority 110
no shutdown
exit
router vrrp enable
Core 2
interface lag 100
description VSX-ISL
no shutdown
no routing
vlan trunk native 1 tag
vlan trunk allowed all
lacp mode active
interface 1/1/49
no shutdown
lag 100
interface 1/1/50
no shutdown
lag 100
interface 1/1/48
no shutdown
ip address 10.10.10.2/30
vsx
system-mac 00:00:00:00:00:11
inter-switch-link lag 100
role secondary
keepalive peer 10.10.10.1 source 10.10.10.2
vsx-sync vrrp
interface vlan 100
ip address 192.168.100.3/24
vrrp 100 address-family ipv4
address 192.168.100.1 primary
priority 90
no shutdown
exit
router vrrp enable
Check Status
sh vsx status
sh vrrp
show vsx configuration inter-switch-link
Test Failover
interface vlan 100
shutdown
sh vrrp
Failback
interface vlan 100
no shutdown
sh vrrp
Spanning-tree
Core 1
spanning-tree
spanning-tree mode mstp
spanning-tree priority 0
Core 2
spanning-tree
spanning-tree mode mstp
spanning-tree priority 1
Multi-chassis LAG
Core 1 & Core 2
interface lag 10 multi-chassis
no shutdown
no routing
vlan trunk native 1
vlan trunk allowed all
lacp mode active
interface 1/1/40
lag 10
Access Switch
interface lag 1
no shutdown
vlan trunk native 1
vlan trunk allowed all
lacp mode active
interface 1/1/49
lag 1
interface 1/1/50
lag 1
Windows 11 สร้าง Local Account
กด Shift+F10
พิมพ์ oobe\bypassnro
เครื่องจะ Restart
ไม่ต้องต่อ Internet
Knowledge : DNSSEC เพิ่มความปลอดภัยให้ DNS
DNSSEC (Domain Name System Security Extensions) คือส่วนเสริมด้านความปลอดภัยให้กับระบบ DNS ดั้งเดิมที่ไม่ได้ถูกออกแบบมาเพื่อป้องกันการโจมตี การโจมตี DNS ทั่วไป เช่น DNS Spoofing หรือ Cache Poisoning ทำให้ผู้โจมตีสามารถปลอมแปลงข้อมูล DNS และหลอกให้ผู้ใช้เข้าเว็บไซต์ปลอมได้ DNSSEC เข้ามาแก้ปัญหานี้โดยใช้ ลายเซ็นดิจิทัล และ โครงสร้าง PKI (Public Key Infrastructure)
DNSSEC ทำงานอย่างไร?
- สร้างคู่กุญแจ: แต่ละโซน DNS จะมี กุญแจส่วนตัว (Private Key) สำหรับลงนามข้อมูล และ กุญแจสาธารณะ (Public Key) สำหรับตรวจสอบลายเซ็น
- ลงนามดิจิทัล: เมื่อข้อมูล DNS เปลี่ยนแปลง กุญแจส่วนตัวจะถูกใช้สร้าง ลายเซ็นดิจิทัล (RRSIG Record)
- ตรวจสอบความถูกต้อง: DNS Resolver จะใช้กุญแจสาธารณะเพื่อตรวจสอบลายเซ็น หากถูกต้องก็มั่นใจว่าข้อมูลนั้นมาจากแหล่งที่เชื่อถือได้และไม่มีการเปลี่ยนแปลง
กลไกนี้สร้าง “Chain of Trust” (ห่วงโซ่ความน่าเชื่อถือ) ตั้งแต่ Root DNS Server ลงมาจนถึงโดเมนย่อย
ประโยชน์ของ DNSSEC
- ป้องกันการปลอมแปลง DNS: มั่นใจได้ว่าข้อมูล DNS ที่ได้รับนั้นถูกต้อง
- เพิ่มความน่าเชื่อถือ: รับรองความสมบูรณ์ของข้อมูล
- ลดความเสี่ยงจากการโจมตี: ป้องกันการถูกนำไปเว็บไซต์อันตราย
การเปิดใช้งาน DNSSEC บน Windows Server 2022 (สำหรับ Internal DNS)
- สามารถเปิดใช้งานได้เต็มรูปแบบ ผ่าน DNS Manager หรือ PowerShell
- ขั้นตอน: ติดตั้งบทบาท DNS Server > เปิด DNS Manager > ลงนาม Zone ผ่าน Zone Signing Wizard (สร้าง KSK, ZSK) > เผยแพร่ DS Record ไปยัง Parent Zone (สำหรับโดเมนสาธารณะ)
- ควรเปิดใช้สำหรับ Internal DNS Server: เพื่อป้องกันการโจมตีภายใน, เพิ่มความสมบูรณ์ของข้อมูล (โดยเฉพาะ Active Directory), และเป็น Best Practices ด้านความปลอดภัย
Public Key ใน DNSSEC ไม่ต้องออกโดย CA
- แตกต่างจาก SSL/TLS Certificate: DNSSEC ไม่ได้ใช้ Certificate Authority (CA) มาออก Public Key
- ใช้ Chain of Trust: ความน่าเชื่อถือของ Public Key ใน DNSSEC มาจากกลไก “Chain of Trust” ที่เริ่มต้นจาก Root DNS Server และมีการลงนามแบบต่อเนื่องเป็นลำดับชั้นลงมา
- DS Record สำคัญ: DS Record ที่อยู่ใน Parent Zone คือตัวเชื่อมโยงสำคัญที่ทำให้ Chain of Trust สมบูรณ์
ผู้ให้บริการ DNSSEC และค่าใช้จ่าย
การที่คุณจะ “ฝาก DNS” ที่รองรับ DNSSEC หมายถึงการที่คุณต้องการให้ผู้ให้บริการ DNS Hosting ของคุณรองรับการตั้งค่า DNSSEC สำหรับโดเมนของคุณ ซึ่งจะทำให้ข้อมูล DNS ของคุณได้รับการลงนามด้วยลายเซ็นดิจิทัล และ DNS Resolver ที่รองรับ DNSSEC จะสามารถตรวจสอบความถูกต้องได้
- ผู้จดทะเบียนโดเมน (Domain Registrar):
- ตัวอย่าง: Namecheap, GoDaddy, Cloudflare Registrar, Gandi, Squarespace (สำหรับ Google Domains เดิม)
- การรองรับ: ผู้จดทะเบียนโดเมนส่วนใหญ่ในปัจจุบันมักจะรองรับการตั้งค่า DNSSEC สำหรับโดเมนที่คุณจดทะเบียนกับพวกเขา
- ค่าใช้จ่าย: โดยทั่วไปแล้ว การเปิดใช้งาน DNSSEC บนผู้จดทะเบียนโดเมนจะไม่มีค่าใช้จ่ายเพิ่มเติม หากคุณใช้ DNS Server ของผู้จดทะเบียนนั้นๆ (ซึ่งเป็นค่าเริ่มต้น) แต่ถ้าคุณใช้ DNS Server ภายนอก คุณอาจจะต้องนำค่า DS Record ไปใส่ที่ผู้จดทะเบียนโดเมนของคุณ
- ผู้ให้บริการ DNS Hosting โดยเฉพาะ (Dedicated DNS Hosting Providers):
- ตัวอย่าง: Cloudflare DNS, Amazon Route 53, Google Cloud DNS, NS1, Akamai (Linode DNS)
- การรองรับ: ผู้ให้บริการเหล่านี้ถูกออกแบบมาเพื่อให้บริการ DNS โดยเฉพาะ และมักจะรองรับ DNSSEC อย่างเต็มรูปแบบ พร้อมเครื่องมือที่ช่วยให้การจัดการ DNSSEC ง่ายขึ้น
- ค่าใช้จ่าย:
- Cloudflare DNS: มีบริการ DNS ที่ยอดเยี่ยมและ รองรับ DNSSEC ฟรี สำหรับแผน Free Plan ซึ่งเป็นตัวเลือกที่ได้รับความนิยมอย่างมาก
- บริการอื่นๆ (มีค่าใช้จ่าย): ผู้ให้บริการรายอื่น ๆ เช่น Amazon Route 53, Google Cloud DNS จะมีค่าใช้จ่ายตามการใช้งาน (Pay-as-you-go) โดยคิดตามจำนวนโซน DNS, จำนวนคำขอ DNS, และฟีเจอร์เพิ่มเติมอื่น ๆ เหมาะสำหรับธุรกิจหรือผู้ที่ต้องการประสิทธิภาพและความสามารถขั้นสูง
- ผู้ให้บริการ Web Hosting / VPS Hosting:
- การรองรับ: หากคุณมีเว็บไซต์และใช้บริการ Web Hosting หรือ VPS Hosting บางผู้ให้บริการอาจมีบริการ DNS Hosting รวมอยู่ด้วย และบางรายก็รองรับ DNSSEC
- ค่าใช้จ่าย: มักจะ รวมอยู่ในแพ็กเกจ Hosting อยู่แล้ว หรืออาจมีค่าใช้จ่ายเพิ่มเติมเล็กน้อยสำหรับฟีเจอร์เฉพาะ
การใช้ DNSSEC กับ DNS Resolver สาธารณะ (เช่น 8.8.8.8)
- ได้รับประโยชน์จากการตรวจสอบ DNSSEC: หากตั้งค่า DNS Resolver ไปที่ 8.8.8.8 (Google Public DNS) คุณจะได้รับประโยชน์จากการ DNSSEC Validation โดยอัตโนมัติ
- เงื่อนไข: โดเมนที่คุณกำลังเข้าถึง ต้องเปิดใช้งาน DNSSEC ไว้แล้ว ด้วยเช่นกัน
- หากตรวจสอบไม่ผ่าน: DNS Resolver จะไม่ส่ง IP Address ของโดเมนนั้นกลับมา (เช่น ส่ง
SERVFAIL) เพื่อป้องกันการเข้าถึงเว็บไซต์ปลอม
การป้องกันการโดนปลอม IP จาก DNS ใน Wi-Fi สาธารณะ
Wi-Fi สาธารณะมีความเสี่ยงสูงต่อ DNS Spoofing คุณสามารถป้องกันได้ด้วยวิธีดังนี้:
- ใช้ DNSSEC Validation: ตั้งค่าอุปกรณ์ให้ใช้ DNS Resolver ที่รองรับ DNSSEC (เช่น 8.8.8.8, 1.1.1.1)
- ใช้ DNS over HTTPS (DoH) หรือ DNS over TLS (DoT): เข้ารหัสการสื่อสาร DNS ทำให้ยากต่อการดักจับและแก้ไข (รองรับในเบราว์เซอร์และ OS สมัยใหม่)
- ใช้ Virtual Private Network (VPN): สร้างอุโมงค์เข้ารหัสสำหรับทราฟฟิกทั้งหมด รวมถึงคำขอ DNS ป้องกันการดักฟังและการเปลี่ยนเส้นทาง
- ระมัดระวังในการเชื่อมต่อ: ตรวจสอบชื่อ Wi-Fi, หลีกเลี่ยงการทำธุรกรรมสำคัญ, และใช้ HTTPS เสมอ
การรวมมาตรการเหล่านี้เข้าด้วยกันจะช่วยเพิ่มความปลอดภัยของคุณอย่างมากเมื่อใช้ Wi-Fi สาธารณะครับ
Veeam Hardened Repository ISO
Limitation
- All hardware must be on the Red Hat compatibility list
- The server must have at least two storage volumes
- A separate volume for the operating system (minimum 100GB).
- At least one additional volume for data. All additional data volumes must be larger than the operating system volume.
https://helpcenter.veeam.com/docs/backup/vsphere/hardened_iso_requirements.html?ver=120
Download: https://www.veeam.com/download_add_packs/vmware-esx-backup/hardened-repository/
Windows shutdown เพราะ Evaluation หมดอายุ
เปิด Powershell As Administrator
slmgr -dlv
ดูตรง Remaining Windows rearm count: คือจำนวนครั้งที่ยังต่อได้
slmgr -rearm
จากนั้น restart เครื่อง จะใช้ได้อีก 180 วัน และค่า Remaining Windows rearm count จะลดลง
Checkpoint Identity Awareness บน Smart-1 Cloud
Windows Core ติดตั้ง Feature on Demand
ติดตั้ง FOD บน Windows Server Core เพื่อใช้ Feature เหล่านี้ได้
- Microsoft Management Console (mmc.exe)
- Event Viewer (Eventvwr.msc)
- Performance Monitor (PerfMon.exe)
- Resource Monitor (Resmon.exe)
- Device Manager (Devmgmt.msc)
- File Explorer (Explorer.exe)
- Windows PowerShell (Powershell_ISE.exe)
- Disk Management (Diskmgmt.msc)
- Hyper-V Manager (virtmgmt.msc)
- Task Scheduler (taskschd.msc)
คำสั่งนี้ใช้ Internet เพื่อติดตั้ง
Add-WindowsCapability -Online -Name ServerCore.AppCompatibility~~~~0.0.1.0
หลังจากเสร็จแล้ว Restart 1 ครั้ง ก็จะเรียกใช้ Command ขึ้นมาใช้งานได้
ข้อมูลเพิ่มเติม: https://learn.microsoft.com/en-us/windows-server/get-started/server-core-app-compatibility-feature-on-demand
Palo Alto NAT
NAT Client to use Internet
NAT Server to Access from Internet
