Wie Sie Änderungen an der BootConfig-Datei in Windows überwachen können [PowerShell-Skript]

In der komplizierten Welt der IT ist die Aufrechterhaltung der Systemintegrität von größter Bedeutung. Ein zentraler Bestandteil des Windows-Betriebssystems ist die BootConfig-Datei. Die Überwachung von Änderungen an dieser Datei ist für Systemadministratoren und IT-Fachleute entscheidend, um die Sicherheit und Stabilität des Systems zu gewährleisten. In diesem Blog wird ein PowerShell-Skript vorgestellt, das auf Änderungen an der BootConfig-Datei prüft und einen proaktiven Ansatz für die Systemverwaltung bietet.

Kontext

Die BootConfig-Datei in Windows ist ein grundlegendes Element, das Boot-Konfigurationsdaten enthält. Sie bestimmt, wie das System startet, welche Betriebssystemversionen geladen werden und andere Boot-Parameter. Aufgrund seiner Rolle im Bootvorgang können unbefugte oder unerwartete Änderungen zu Fehlfunktionen oder Schwachstellen im System führen. Dies macht sie zu einem bevorzugten Ziel für böswillige Akteure oder Malware. Für IT-Fachleute und Managed Service Provider (MSPs) ist ein Tool, das diese Änderungen erkennen kann, von unschätzbarem Wert. Es hilft bei der proaktiven Systemverwaltung und der forensischen Analyse im Falle von Sicherheitsverletzungen.

Das Skript

#Requires -Version 5.1

<#
.SYNOPSIS
    Checks if the BootConfig file was modified from last run.
.DESCRIPTION
    Checks if the BootConfig file was modified from last run.
    On first run this will not produce an error, but will create a cache file for later comparison.
.EXAMPLE
    No parameters needed.
.OUTPUTS
    None
.NOTES
    Minimum OS Architecture Supported: Windows 10, Windows Server 2016
    Release Notes:
    Initial Release
By using this script, you indicate your acceptance of the following legal terms as well as our Terms of Use at https://www.ninjaone.com/terms-of-use.
    Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms. 
    Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party. 
    Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library or website belonging to or under the control of any other software provider. 
    Warranty Disclaimer: The script is provided “as is” and “as available”, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations. 
    Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks. 
    Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script. 
    EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA).
#>

[CmdletBinding()]
param (
    # Path and file where the cache file will be saved for comparison
    [string]
    $CachePath = "C:ProgramDataNinjaRMMAgentscriptingTest-BootConfig.clixml"
)

begin {
    function Test-IsElevated {
        $id = [System.Security.Principal.WindowsIdentity]::GetCurrent()
        $p = New-Object System.Security.Principal.WindowsPrincipal($id)
        $p.IsInRole([System.Security.Principal.WindowsBuiltInRole]::Administrator)
    }
}
process {
    if (-not (Test-IsElevated)) {
        Write-Error -Message "Access Denied. Please run with Administrator privileges."
        exit 1
    }

    # Get content and create hash of BootConfig file
    $BootConfigContent = bcdedit.exe /enum
    $Stream = [IO.MemoryStream]::new([byte[]][char[]]"$BootConfigContent")
    $BootConfigHash = Get-FileHash -InputStream $Stream -Algorithm SHA256

    $Current = [PSCustomObject]@{
        Content = $BootConfigContent
        Hash    = $BootConfigHash
    }

    # Check if this is first run or not
    if ($(Test-Path -Path $CachePath)) {
        # Compare last content and hash
        $Cache = Import-Clixml -Path $CachePath
        $ContentDifference = Compare-Object -ReferenceObject $Cache.Content -DifferenceObject $Current.Content -CaseSensitive
        $HashDifference = $Cache.Hash -like $Current.Hash
        $Current | Export-Clixml -Path $CachePath -Force -Confirm:$false
        if (-not $HashDifference) {
            Write-Host "BootConfig file has changed since last run!"
            Write-Host ""
            $ContentDifference | ForEach-Object {
                if ($_.SideIndicator -like '=>') {
                    Write-Host "Added: $($_.InputObject)"
                }
                elseif ($_.SideIndicator -like '<=') {
                    Write-Host "Removed: $($_.InputObject)"
                }
            }
            exit 1
        }
    }
    else {
        Write-Host "First run, saving comparison cache file."
        $Current | Export-Clixml -Path $CachePath -Force -Confirm:$false
    }
    exit 0
}
end {}

Detailansicht

Das mitgelieferte Skript ist ein PowerShell-Skript, das sorgfältig entwickelt wurde, um Änderungen in der BootConfig-Datei seit ihrer letzten Ausführung zu überwachen. Hier finden Sie eine detaillierte Schritt-für-Schritt-Anleitung:

1. Voraussetzungen: Das Skript erfordert PowerShell Version 5.1.
2. Überprüfung der Berechtigungen: Bevor das Skript mit seiner Hauptfunktion beginnt, prüft es, ob es mit Administratorrechten ausgeführt wird, die für den Zugriff auf bestimmte Systemdateien und Befehle erforderlich sind.
3. BootConfig-Hashing: Mit dem Befehl bcdedit.exe /enum holt das Skript den Inhalt der BootConfig. Anschließend wird ein SHA256-Hash dieses Inhalts erstellt, der als eindeutiger Bezeichner für diesen spezifischen Inhalt dient.
4. Cache-Vergleich: Das Skript sucht dann nach einer zuvor gespeicherten Cache-Datei. Wenn sie existiert, vergleicht das Skript den aktuellen BootConfig-Inhalt und -Hash mit der zwischengespeicherten Version.
5. Ausgabe: Wenn Unterschiede festgestellt werden, liefert das Skript eine detaillierte Ausgabe der Änderungen und gibt an, was hinzugefügt oder entfernt wurde. Wenn das Skript zum ersten Mal ausgeführt wird, speichert es die aktuellen BootConfig-Daten für zukünftige Vergleiche.

Potenzielle Anwendungsfälle

• Routinemäßige Systemüberprüfungen: IT-Experten wie Alex können dieses Skript für Routineüberprüfungen auf Unternehmens-Servern einsetzen und so sicherstellen, dass keine unbefugten Änderungen vorgenommen wurden.
• Nach der Software-Installation: Nach der Installation neuer Software oder von Updates kann das Skript ausgeführt werden, um zu überprüfen, ob die BootConfig-Datei unverändert bleibt, um sicherzustellen, dass die Software keine kritischen Boot-Daten manipuliert hat.
• Änderungen der Systemkonfiguration: Vor und nach wesentlichen Änderungen der Systemkonfiguration kann das Skript verwendet werden, um sicherzustellen, dass die Integrität der BootConfig-Datei intakt bleibt.

Vergleiche

Es gibt zwar Tools und Software von Drittanbietern, die Systemüberwachungsfunktionen bieten, doch der Vorteil dieses Skripts liegt in seiner Einfachheit und Spezialisierung. Es ist leichtgewichtig, einfach zu implementieren und konzentriert sich ausschließlich auf die BootConfig-Datei, um eine gezielte und effiziente Prüfung zu gewährleisten.

FAQs

• F: Kann dieses Skript auf älteren Windows-Versionen ausgeführt werden?
  A: Das Skript unterstützt Windows 10 und Windows Server 2016 und neuere Versionen.
• F: Was passiert, wenn die BootConfig-Datei unverändert bleibt?
  A: Das Skript wird einfach ohne Warnmeldungen beendet, was bedeutet, dass seit dem letzten Lauf keine Änderungen vorgenommen wurden.

Implikationen für die Sicherheit

Die Erkennung von Änderungen in der BootConfig-Datei dient nicht nur der Systemstabilität, sondern auch der Sicherheit. Unerlaubte Änderungen könnten auf einen möglichen Verstoß oder Malware-Aktivitäten hinweisen. Durch die Überwachung dieser Datei können IT-Experten proaktiv gegen potenzielle Bedrohungen vorgehen.

Empfehlungen

• Führen Sie das Skript immer mit Administratorrechten aus, um genaue Ergebnisse zu gewährleisten.
• Planen Sie die Ausführung des Skripts in regelmäßigen Abständen für eine kontinuierliche Überwachung.
• Führen Sie Sicherungskopien der BootConfig-Datei durch, um sie im Falle von unautorisierten Änderungen schnell wiederherstellen zu können.

Abschließende Überlegungen

Im Bereich der IT-Sicherheit und des Systemmanagements bieten Tools wie NinjaOne umfassende Lösungen für verschiedene Herausforderungen. Die Überwachung kritischer Systemdateien, wie z. B. der BootConfig-Datei in Windows, ist ein Beleg für die Bedeutung einer proaktiven Systemverwaltung. Mit Skripten wie dem hier vorgestellten können IT-Experten die Systemintegrität gewährleisten, die Sicherheit verbessern und die betriebliche Effizienz aufrechterhalten.

Hier finden Sie einige zusätzliche Ressourcen, die Sie vielleicht hilfreich finden:

• Die BootConfig-Datei unter Windows: https://learn.microsoft.com/de-de/windows-server/administration/windows-commands/bcdedit
• PowerShell Skripting-Tutorial: https://learn.microsoft.com/de-de/powershell/scripting/overview?view=powershell-7.5