Tillbaka till resultat
  • Windows

Så här övervakar du ändringar i BootConfig-filen i Windows [PowerShell Script]

  • av Team Ninja

I den komplicerade IT-världen är det av yttersta vikt att upprätthålla systemintegriteten. En viktig komponent i operativsystemet Windows är filen BootConfig. Att övervaka ändringar i denna fil är avgörande för systemadministratörer och IT-proffs för att säkerställa systemets säkerhet och stabilitet. Den här guiden beskriver ett PowerShell-skript som söker efter ändringar i BootConfig-filen, vilket ger en proaktiv metod för systemhantering.

Bakgrund

BootConfig-filen i Windows är ett grundläggande element som innehåller startkonfigurationsdata. Det styr hur systemet startas, vilka OS-versioner som ska laddas och andra startparametrar. Med tanke på dess roll i startprocessen kan alla obehöriga eller oväntade ändringar leda till systemfel eller sårbarheter. Detta gör den till ett utmärkt mål för skadliga aktörer eller skadlig kod. För IT-specialister och tjänsteleverantörer (MSP) är det ovärderligt att ha ett verktyg som kan upptäcka dessa förändringar. Det hjälper till med proaktiv systemhantering och kriminalteknisk analys vid säkerhetsöverträdelser.

Manus

#Requires -Version 5.1

<#
.SYNOPSIS
    Checks if the BootConfig file was modified from last run.
.DESCRIPTION
    Checks if the BootConfig file was modified from last run.
    On first run this will not produce an error, but will create a cache file for later comparison.
.EXAMPLE
    No parameters needed.
.OUTPUTS
    None
.NOTES
    Minimum OS Architecture Supported: Windows 10, Windows Server 2016
    Release Notes:
    Initial Release
By using this script, you indicate your acceptance of the following legal terms as well as our Terms of Use at https://www.ninjaone.com/terms-of-use.
    Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms. 
    Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party. 
    Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library or website belonging to or under the control of any other software provider. 
    Warranty Disclaimer: The script is provided “as is” and “as available”, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations. 
    Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks. 
    Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script. 
    EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA).
#>

[CmdletBinding()]
param (
    # Path and file where the cache file will be saved for comparison
    [string]
    $CachePath = "C:ProgramDataNinjaRMMAgentscriptingTest-BootConfig.clixml"
)

begin {
    function Test-IsElevated {
        $id = [System.Security.Principal.WindowsIdentity]::GetCurrent()
        $p = New-Object System.Security.Principal.WindowsPrincipal($id)
        $p.IsInRole([System.Security.Principal.WindowsBuiltInRole]::Administrator)
    }
}
process {
    if (-not (Test-IsElevated)) {
        Write-Error -Message "Access Denied. Please run with Administrator privileges."
        exit 1
    }

    # Get content and create hash of BootConfig file
    $BootConfigContent = bcdedit.exe /enum
    $Stream = [IO.MemoryStream]::new([byte[]][char[]]"$BootConfigContent")
    $BootConfigHash = Get-FileHash -InputStream $Stream -Algorithm SHA256

    $Current = [PSCustomObject]@{
        Content = $BootConfigContent
        Hash    = $BootConfigHash
    }

    # Check if this is first run or not
    if ($(Test-Path -Path $CachePath)) {
        # Compare last content and hash
        $Cache = Import-Clixml -Path $CachePath
        $ContentDifference = Compare-Object -ReferenceObject $Cache.Content -DifferenceObject $Current.Content -CaseSensitive
        $HashDifference = $Cache.Hash -like $Current.Hash
        $Current | Export-Clixml -Path $CachePath -Force -Confirm:$false
        if (-not $HashDifference) {
            Write-Host "BootConfig file has changed since last run!"
            Write-Host ""
            $ContentDifference | ForEach-Object {
                if ($_.SideIndicator -like '=>') {
                    Write-Host "Added: $($_.InputObject)"
                }
                elseif ($_.SideIndicator -like '<=') {
                    Write-Host "Removed: $($_.InputObject)"
                }
            }
            exit 1
        }
    }
    else {
        Write-Host "First run, saving comparison cache file."
        $Current | Export-Clixml -Path $CachePath -Force -Confirm:$false
    }
    exit 0
}
end {}

 

Få tillgång till detta skript och hundratals fler i NinjaOne Dojo

Få tillgång till

Detaljerad uppdelning

Det medföljande skriptet är ett PowerShell-skript som är noggrant utformat för att övervaka ändringar i BootConfig-filen sedan den senaste körningen. Här är en mer detaljerad genomgång steg för steg:

  1. Förkunskapskrav: Skriptet kräver PowerShell version 5.1.
  2. Kontroll av höjd: Innan skriptet dyker ner i sin huvudfunktion kontrollerar det om det körs med administratörsbehörighet, vilket är nödvändigt för att komma åt vissa systemfiler och kommandon.
  3. Hashning av BootConfig: Med hjälp av kommandot bcdedit.exe /enum hämtar skriptet innehållet i BootConfig. Därefter skapas en SHA256-hash av innehållet, som fungerar som en unik identifierare för det specifika innehållet.
  4. Jämförelse av cacheminne: Skriptet letar sedan efter en tidigare sparad cachefil. Om den finns jämför skriptet det aktuella BootConfig-innehållet och hashen med den cachade versionen.
  5. Utgång: Om skillnader upptäcks ger skriptet en detaljerad utskrift av ändringarna och anger vad som har lagts till eller tagits bort. Om det är första gången skriptet körs sparar det aktuella BootConfig-data för framtida jämförelser.

Potentiella användningsområden

  • Rutinmässiga kontroller av systemet: IT-proffs som Alex kan distribuera detta skript över företagsservrar för rutinkontroller, vilket säkerställer att inga obehöriga ändringar har skett.
  • Installation efter programvarans slut: Efter installation av ny programvara eller uppdateringar kan skriptet köras för att verifiera att BootConfig-filen förblir oförändrad, vilket säkerställer att programvaran inte har manipulerat viktiga startdata.
  • Ändringar i systemkonfigurationen: Före och efter betydande ändringar av systemkonfigurationen kan skriptet användas för att säkerställa att BootConfig-filens integritet förblir intakt.

Jämförelser

Även om det finns verktyg och programvara från tredje part som erbjuder systemövervakningsfunktioner, ligger fördelen med detta skript i dess enkelhet och specificitet. Den är lätt, enkel att distribuera och fokuserar enbart på BootConfig-filen, vilket garanterar en målinriktad och effektiv kontroll.

Vanliga frågor

  • Q: Kan detta skript köras på äldre versioner av Windows?
    Svar: Skriptet stöder Windows 10 och Windows Server 2016 och nyare.
  • Q: Vad händer om BootConfig-filen är oförändrad?
    Svar: Skriptet avslutas helt enkelt utan några varningar, vilket indikerar att inga förändringar har skett sedan den senaste körningen.

Konsekvenser för säkerheten

Att upptäcka ändringar i BootConfig-filen handlar inte bara om systemstabilitet utan även om säkerhet. Obehöriga ändringar kan tyda på ett potentiellt intrång eller skadlig aktivitet. Genom att övervaka den här filen kan IT-personal agera proaktivt mot potentiella hot.

Rekommendationer

  • Kör alltid skriptet med administratörsbehörighet för att säkerställa korrekta resultat.
  • Schemalägg skriptet så att det körs med jämna mellanrum för kontinuerlig övervakning.
  • Behåll säkerhetskopior av BootConfig-filen för att snabbt kunna återställa den om obehöriga ändringar görs.

Avslutande tankar

När det gäller IT-säkerhet och systemhantering erbjuder verktyg som NinjaOne heltäckande lösningar för olika utmaningar. Övervakning av kritiska systemfiler, t.ex. BootConfig-filen i Windows, är ett bevis på vikten av proaktiv systemhantering. Med skript som det som diskuteras kan IT-personal säkerställa systemintegritet, stärka säkerheten och upprätthålla driftseffektiviteten.

Här är några ytterligare resurser som du kan ha nytta av:

Nästa steg

För att bygga upp ett effektivt och handlingskraftigt IT-team krävs en centraliserad lösning som fungerar som ett centralt redskap för att leverera IT-tjänster. NinjaOne gör det möjligt för IT-teams att övervaka, hantera, säkra och stödja alla sina enheter, oavsett var de befinner sig, utan behovet av en komplex infrastruktur på plats.

Lär dig mer om NinjaOne endpoint-hantering, ta en live tour, eller starta en gratis provperiod av NinjaOne.

Starta en gratis provperiod

Kategorier:

  • Allmän konfiguration

Du kanske även gillar

×

Se NinjaOne i aktion!

Genom att skicka detta formulär accepterar jag NinjaOne:s integritetspolicy.

Download the script

NinjaOne Villkor och bestämmelser

Genom att klicka på knappen ”Jag accepterar” nedan anger du att du accepterar följande juridiska villkor samt våra användarvillkor:

  • Äganderätt: NinjaOne äger och kommer att fortsätta att äga alla rättigheter, titlar och intressen i och till manuset (inklusive upphovsrätten). NinjaOne ger dig en begränsad licens att använda skriptet i enlighet med dessa juridiska villkor.
  • Begränsning av användning: Du får endast använda skriptet för dina legitima personliga eller interna affärssyften, och du får inte dela skriptet med någon annan part.
  • Republikbildning Förbud: Du får under inga omständigheter återpublicera skriptet i något skriptbibliotek som tillhör eller kontrolleras av någon annan programvaruleverantör.
  • Friskrivning från garantiansvar: Skriptet tillhandahålls ”i befintligt skick” och ”som tillgängligt”, utan garanti av något slag. NinjaOne ger inga löften eller garantier om att skriptet kommer att vara fritt från defekter eller att det kommer att uppfylla dina specifika behov eller förväntningar.
  • Antagande av risk: Din användning av skriptet sker på egen risk. Du bekräftar att det finns vissa inneboende risker med att använda skriptet, och du förstår och tar på dig var och en av dessa risker.
  • Avstående och befrielse: Du kommer inte att hålla NinjaOne ansvarig för några negativa eller oavsiktliga konsekvenser till följd av din användning av skriptet, och du avstår från alla juridiska eller skäliga rättigheter eller rättsmedel som du kan ha mot NinjaOne i samband med din användning av skriptet.
  • EULA: Om du är en NinjaOne-kund omfattas din användning av skriptet av det licensavtal för slutanvändare som gäller för dig (EULA).
Jag accepterar