Intro 

Auch heute ist das Wetter wieder perfekt. Nach der schon fast üblichen Stärkung mit einem Kaffee und einem Croissant geht es wieder zur Konferenz.  

Auch die Mitttagspause nutzen viele Teilnehmer der Konferenz um das Wetter zu genießen. Im Stadtpark welche direkt Visavi zur Konferenz ist kann man sich schön sammeln und das erlebte zusammenfassen. 

Session 1 – The art of mocking 

Bartek Bielawski 

Working in IT may feel like an action movie at times. Do you press the enter, or not? Do you cut the blue wire, or the red one? Fortunately, we have Pester to test both wires. And there can’t be a good test without correct mocking of the reality. In this session, I will share some hints how to make sure that your mocks make sense. How to make sure that when you cut the wrong wire in your tests, at least your mock is exploding (and nobody gets hurt). 

Bartek Bielawski 

Quelle: https://psconf.eu/  

Zusammenfassung der Session: 

Es geht direkt los. Bartek steigt direkt in das Thema ein und beschreibt, wie wichtig es ist Pester zu verwenden. Im Grunde geht es darum, dass man zuerst definiert, wie ein Skript funktionieren soll bevor man die eigentliche Funktion erstellt. Das sorgt neben der genauen Definition was ein Skript tun soll eben auch die Qualitätssicherung.  

Was ist das Konzept von Mocking: 

  • Predictable results  
    beschreibe exakt was ist genau von deiner Funktion erwartet wird. Nur dann bist du in der Lage diese Ergebnisse zu testen 
  • Code we dont have 
    stelle sicher, dass deine Tests funktionieren können 
  • Avoid changing the world 
    sorge dafür das alles was für das Skript benötigt wird das Skript selbst liefert 
  • Built a fake world 
    viele Tests kann man nicht in eine Produktivumgebung durchführen. Daher ist es häufig notwendig ein paar „Fakten zu virtualisieren“ 

Rules of Mocking 

  • Scope matters 
    Achte darauf, in welchem Kontext die Tests ausgeführt werden. Gerade in komplexeren Funktionen bzw. Skripts, könnten die Testergebnisse im falschen Kontext unerwartete Ergebnisse liefern 
  • Fake it good 
    Wenn es notwendig ist, dass für die Tests gewisse Gegebenheiten gefakt werden müssen, achte darauf, das so nah wie möglich an die Realität zu erstellen. Andernfalls ist die Change groß, daas die Tests alle super laufen, aber der produktivlauf fehlschlägt 
  • Dont mock absent 
    stelle sicher, dass die Tests außerhalb des eigenen Clients durchgeführt werden. Häufig sind die produktiven Gegebenheiten etwas anders. 

Es war eine spannende Session in der Bartek sehr gut erläutert hat, wie wichtig es ist die Funktionsweise und Outputs seiner Skripts zu testen und letztlich dadurch sicher und robust zu machen. Pester zu benutzen ist viel mehr als nur eine Empfehlung. Wer es bisher noch nicht verwendet sollte es sich unbedingt ansehen und in die eigenen Prozesse integrieren. 

Session 2 – From On-Prem to the Cloud. Hybrid AD attack path 

Sergey Chubarov 

Most businesses today use hybrid cloud and many of us will retire before companies fully migrate to the cloud. Cloud identity service Azure AD provides protection from advanced cybersecurity attacks, but what additional challenges appear when integrating with on-prem AD 

Sergey Chubarov 

Let’s check that out in advanced scenario-based session 

Live demos only. 

The session contains: 

  • Getting Domain Admin through Azure AD Connect 
  • Getting Domain Admin through Azure AD Connect Cloud Sync (new offering) 
  • Bypass Azure AD authentication & MFA 
  • Azure reconnaissance with AzureHound 

Quelle: https://psconf.eu/  

Zusammenfassung der Session: 

Eine Session, welche fast ausschließlich aus Livedemos besteht. Erfrischend technisch und beeindruckend, wie Sergej zeigt auf was Admins achten sollten, wenn sie beispielsweise AD Connect bereitstellen. Dabei geht es keinesfalls ums Bloßstellen von Admins, sondern um das Schaffen von Bewusstsein mithilfe welcher Konfigurationen man Risiken minimieren kann. 

In der Live Demo zeigt er, welche konkreten Berechtigungen bei einer Einrichtung für den AD Connect vergeben werden. Im Anschluss daran zeigt er, wie „einfach“ man mit Hilfe des Tools mimikatz an Informationen aus der lokalen Datenbank kommt. 

Das war sehr eindrucksvoll, wie Sergej gezeigt hat wie einfach man an die Hashwerte kommen kann und letztlich damit sich erweiterten Zugriff verschaffen kann. Sicherlich nicht so trivial wie es bei ihm aussieht aber eben auch nicht unmöglich. 

Diese Session zeigt, wie wichtig es ist die Berechtigungen innerhalb der Domäne sehr bewusst zu vergeben.  

Finales Zitat von Sergej: Avoid misconfiguration! 

Session 3 – Invoke-AzHunter – KQL Hunting in Azure with a PowerShell Katana 

Walter Legowski 

Becoming a Blue-Teamer is not easy… But since I started in this new role, I already spotted some recurring tasks and decided to build myself some PowerShell tools to get the job done. 

In this session, I will present a set of PowerShell cmdlets to interact with the azure log-analytics API, and will demo hunting with KQL advanced queries and writing custom event logs via the http connector, from the comfort of your favorite prompt and without dependencies to other modules. 

This Sessionis aimed at Sentinel ninjas looking for a new tool, or simply at anyone interested in Azure security and custom PowerShell tooling. 

Walter Legowski 

Quelle: https://psconf.eu/  

Zusammenfassung der Session: 

Vorab zu dieser Session: Wer wissen möchte wie es sich anfühlt, herunter in den Kaninchenbau zu steigen, muss den Sessions von Walter Legowski folgen. Walter ist ein IT Sicherheitsexperte, der das Thema einfach liebt. Er zeigt auch auf dieser Konferenz wieder Teile, die er, unter anderem, für seiner Arbeit bei FalconForce nutzt. Seitdem ich Walter das erste Mal auf der PowerShell Konferenz sehen durfte, bin ich Fan vom ihm und freue mich immer wieder auf die Sessions. 

Heute beschreibt er, wie er mit Hilfe „seiner“ Tools Events (welche Aufmerksamkeit erfordern) mit Hilfe von KQL identifiziert und behandelt. Schaut es euch auf http://powershell.video/ an. Hier wird die Session bald verfügbar sein. 

Interessant ist wie er seine Idee skizziert, wie er die offensiven und defensiven Bereichen mithilfe der PowerShell verbinden möchte. Typisch auch die Darstellung die er dazu nutzt siehe Bild: Ein Bild, das Kuchen, Essen, Stück, süß enthält.

Automatisch generierte Beschreibung 

Session 4 – Tips and tricks for when you don’t have local admin rights 

David Sass 

Most training is meant to target sysadmins with a focus on features like remote management or active directory, but there are lots of places whereas end users don’t get local admin rights. This session will show you some handy tools and tricks what we all could use to boost our productivity. 

David Sass 

Quelle: https://psconf.eu/  

Zusammenfassung der Session: 

Ein Sprecher, der zum ersten Mal die präsentiert ist klar aufgeregt. Das Schöne an unsere Community ist, dass sie jeden herzlich Willkommen heißt. So war es auch hier. Es war eine kurze Session für Einsteiger in die PowerShell.

Einleitend beschreibt er die Vorbereitung der ISE welche für die den Großteil der täglichen Aufgaben vollkommen ausreichend ist. Dabei geht er auf die Erstellung der des PowerShell Profiles ein um seine Umgebung erst ein Mal grundlegend auf seine Bedürfnisse einzurichten. Basierend auf der Aussage welche meiner Erinnerung nach von Walter Legowski kommt ist die erste Sache welche definiert werden soll die Anpassung der Farbe für Fehler. Wer sieht denn schon gern alarmierende rote Fehlermeldungen. Es ist doch viel beruhigender wenn man eine grüne Fehlermeldung sieht. So geht man viel entspannter an die Fehlersuche.  

Für das installieren von neuen Modulen beispielsweise benötigt man beispielsweise erhöhte Rechte. Doch das ist nur der Fall, wenn man die Module gut das komplette System bereitstellen möchte. Benötigt man das Modul nur für sich allein kann man es mit dem Parameter „-Scope Currentuser“ installieren.  

Weitere Tips und Tricks stellt David über sein Git-Repository bereit.  

Session 5 – PowerShell Predictors 

Steven Bucher 

Discover the PowerShell predictors and how to use them! 

Steven Bucher 

Quelle: https://psconf.eu/  

Zusammenfassung der Session: 

Es gibt mittlerweile so viele Commandlet und Module. Natürlich kennt man die Befehle und Parameter welche man häufig benutzt, aber es gibt eben noch sehr viele weitere. Dafür bietet Microsoft Empfehlungen als eine Art der „Auto Tab Completion“. Es ist eine wirkliche Erleichterung, welche die PowerShell mittlerweile bereits beim Schreiben der Befehle mit Empfehlungen anbietet. Auch die Anpassung an die eigenen Bedürfnisse ist möglich. Somit kann jeder die Farben oder Hintergründe verwenden, welche gefallen. 

Wer daran gefallen gefunden hat, kann sich über die Microsoft Dokumentation weiter in das Thema einlesen. 

Session 6 – From the field – building a secure script with Graph API 

Andreas Hähnel 

Microsoft Graph is the large new modern API to access Microsoft 365 data. Developing with Graph can be fun, but like every API it requires actions to make a script or program secure. This sessions shows common mistakes and gives tipps how to secure your own Graph API PS Script. It will cover topics like permission models, CBA, CA, scoping and more. 

Andreas Hähnel 

Quelle: https://psconf.eu/  

Zusammenfassung der Session: 

Graph API ist die umfassende Schnittstelle, die von Microsoft bereitgestellt wird. Damit gibt Microsoft einen einheitlichen Zugang zu allen Daten über eine REST-Schnittstelle. Im Vortrag zeigt uns Andreas wie bedeutsam das ist. Bei der Implementierung muss jedoch unbedingt darauf geachtet werden, wie man vorgeht denn man kann sehr schnell seinem Tennant gefährden. Schaut euch das Video der Session an sobald es verfügbar ist. Das Praxisbeispiel mit der Abfrage aller Benutzer und Veröffentlichung in einer SharePoint Liste ist ein praxisnahes Beispiel welches gut nachvollzogen werden kann. 

Marco Haufe und Rob Sewell

Social Event – Lets walk to Wiener Prater 

Nach einer kurzen Pause geht zum Highlight der Konferenz. Nachdem in den letzten Jahren der Zoo in Hannover eine feste Adresse des Events war, geht es dieses Jahr auf den Wiener Prater. Hier werden wir in der Prater Alm den Abend gemeinsam ausklingen lassen.  

Marco Haufe

Marco Haufe

Service Management