Comment surveiller les modifications du fichier BootConfig sur Windows [PowerShell Script]

Dans le monde complexe de l’informatique, le maintien de l’intégrité des systèmes est de la plus haute importance. Le fichier BootConfig est un élément essentiel du système d’exploitation Windows. Le contrôle des modifications apportées à ce fichier est essentiel pour les administrateurs système et les professionnels de l’informatique afin de garantir la sécurité et la stabilité du système. Ce guide présente un script PowerShell qui vérifie les modifications apportées au fichier BootConfig, offrant ainsi une approche proactive de la gestion du système.

Contexte

Le fichier BootConfig de Windows est un élément fondamental qui contient les données de configuration du démarrage. Il détermine la manière dont le système démarre, les versions du système d’exploitation à charger et d’autres paramètres de démarrage. Compte tenu de son rôle dans le processus de démarrage, toute modification non autorisée ou inattendue peut entraîner des dysfonctionnements ou des vulnérabilités du système. Cela en fait une cible de choix pour les personnes et les logiciels malveillants. Pour les professionnels de l’informatique et les fournisseurs de services gérés (MSP), disposer d’un outil capable de détecter ces changements est d’une valeur inestimable. Il aide à la gestion proactive du système et à l’analyse criminalistique en cas de violation de la sécurité.

Le script

#Requires -Version 5.1

<#
.SYNOPSIS
    Checks if the BootConfig file was modified from last run.
.DESCRIPTION
    Checks if the BootConfig file was modified from last run.
    On first run this will not produce an error, but will create a cache file for later comparison.
.EXAMPLE
    No parameters needed.
.OUTPUTS
    None
.NOTES
    Minimum OS Architecture Supported: Windows 10, Windows Server 2016
    Release Notes:
    Initial Release
By using this script, you indicate your acceptance of the following legal terms as well as our Terms of Use at https://www.ninjaone.com/terms-of-use.
    Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms. 
    Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party. 
    Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library or website belonging to or under the control of any other software provider. 
    Warranty Disclaimer: The script is provided “as is” and “as available”, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations. 
    Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks. 
    Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script. 
    EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA).
#>

[CmdletBinding()]
param (
    # Path and file where the cache file will be saved for comparison
    [string]
    $CachePath = "C:ProgramDataNinjaRMMAgentscriptingTest-BootConfig.clixml"
)

begin {
    function Test-IsElevated {
        $id = [System.Security.Principal.WindowsIdentity]::GetCurrent()
        $p = New-Object System.Security.Principal.WindowsPrincipal($id)
        $p.IsInRole([System.Security.Principal.WindowsBuiltInRole]::Administrator)
    }
}
process {
    if (-not (Test-IsElevated)) {
        Write-Error -Message "Access Denied. Please run with Administrator privileges."
        exit 1
    }

    # Get content and create hash of BootConfig file
    $BootConfigContent = bcdedit.exe /enum
    $Stream = [IO.MemoryStream]::new([byte[]][char[]]"$BootConfigContent")
    $BootConfigHash = Get-FileHash -InputStream $Stream -Algorithm SHA256

    $Current = [PSCustomObject]@{
        Content = $BootConfigContent
        Hash    = $BootConfigHash
    }

    # Check if this is first run or not
    if ($(Test-Path -Path $CachePath)) {
        # Compare last content and hash
        $Cache = Import-Clixml -Path $CachePath
        $ContentDifference = Compare-Object -ReferenceObject $Cache.Content -DifferenceObject $Current.Content -CaseSensitive
        $HashDifference = $Cache.Hash -like $Current.Hash
        $Current | Export-Clixml -Path $CachePath -Force -Confirm:$false
        if (-not $HashDifference) {
            Write-Host "BootConfig file has changed since last run!"
            Write-Host ""
            $ContentDifference | ForEach-Object {
                if ($_.SideIndicator -like '=>') {
                    Write-Host "Added: $($_.InputObject)"
                }
                elseif ($_.SideIndicator -like '<=') {
                    Write-Host "Removed: $($_.InputObject)"
                }
            }
            exit 1
        }
    }
    else {
        Write-Host "First run, saving comparison cache file."
        $Current | Export-Clixml -Path $CachePath -Force -Confirm:$false
    }
    exit 0
}
end {}

 

Résumé détaillé

Le script fourni est un script PowerShell méticuleusement conçu pour surveiller les modifications apportées au fichier BootConfig depuis sa dernière exécution. Voici une description plus détaillée, étape par étape :

1. Prérequis : Le script nécessite la version 5.1 de PowerShell.
2. Vérification de l’élévation : Avant de se lancer dans sa fonction principale, le script vérifie s’il est exécuté avec les privilèges d’administrateur, indispensables pour accéder à certains fichiers et commandes du système.
3. Hachage de BootConfig : En utilisant la commande bcdedit.exe /enum, le script récupère le contenu de BootConfig. Il crée ensuite un hachage SHA256 de ce contenu, qui sert d’identifiant unique et spécifique à ce contenu.
4. Comparaison des caches : Le script recherche alors un fichier cache précédemment enregistré. S’il existe, le script compare le contenu et le hachage actuels de BootConfig avec la version mise en cache.
5. Résultat : Si des différences sont détectées, le script fournit un rapport détaillé des modifications, en précisant ce qui a été ajouté ou supprimé. Si le script est exécuté pour la première fois, il enregistre les données BootConfig actuelles en vue de comparaisons ultérieures.

Cas d’utilisation potentiels

• Contrôles de routine du système : Les professionnels de l’informatique comme Alex peuvent déployer ce script sur les serveurs de l’entreprise pour effectuer des contrôles de routine et s’assurer qu’aucune modification non autorisée n’a été effectuée.
• Après l’installation d’un logiciel : Après l’installation d’un nouveau logiciel ou d’une mise à jour, le script peut être exécuté pour vérifier que le fichier BootConfig reste inchangé, afin de s’assurer que le logiciel n’a pas altéré les données de démarrage essentielles.
• Modifications de la configuration du système : Avant et après des modifications importantes de la configuration du système, le script peut être utilisé pour s’assurer que l’intégrité du fichier BootConfig reste intacte.

Comparaisons

Bien qu’il existe des outils et des logiciels tiers qui offrent des capacités de surveillance du système, l’avantage de ce script réside dans sa simplicité et sa spécificité. Il est léger, facile à déployer et se concentre uniquement sur le fichier BootConfig, ce qui garantit une vérification ciblée et efficace.

FAQ

• Q : Ce script peut-il fonctionner sur d’anciennes versions de Windows ?
  R : Le script prend en charge Windows 10 et Windows Server 2016 et les versions plus récentes.
• Q : Que se passe-t-il si le fichier BootConfig est inchangé ?
  R : Le script se termine simplement sans aucune alerte, indiquant qu’il n’y a pas eu de changement depuis la dernière exécution.

Implications en matière de sécurité

La détection des changements dans le fichier BootConfig n’est pas seulement une question de stabilité du système, mais aussi de sécurité. Des modifications non autorisées peuvent être le signe d’une intrusion ou d’une activité malveillante. En surveillant ce fichier, les professionnels de l’informatique peuvent adopter une attitude proactive face aux menaces.

Recommandations

• Exécutez toujours le script avec des privilèges d’administrateur pour garantir des résultats précis.
• Programmez l’exécution du script à intervalles réguliers pour effectuer une surveillance continue.
• Conservez des copies de sauvegarde du fichier BootConfig afin de pouvoir le restaurer rapidement en cas de modifications non autorisées.

Conclusions

Dans le domaine de la sécurité informatique et de la gestion des systèmes, des outils tels que NinjaOne offrent des solutions complètes pour relever différents défis. La surveillance des fichiers système cruciaux, tels que le fichier BootConfig de Windows, témoigne de l’importance d’une gestion proactive du système. Grâce à des scripts tels que celui présenté ici, les professionnels de l’informatique peuvent garantir l’intégrité du système, renforcer la sécurité et maintenir l’efficacité opérationnelle.

Voici quelques ressources supplémentaires qui pourraient vous être utiles :

• Le fichier BootConfig sur Windows : https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/bcdedit
• Tutoriel de scripting PowerShell : https://docs.microsoft.com/en-us/powershell/scripting/