Czynności, które należy wziąć pod uwagę podczas konfigurowania zabezpieczeń PowerShell na poziomie przedsiębiorstwa

Microsoft opracował Windows PowerShell dla automatyzacji zadań i zarządzania konfiguracją. Opiera się na framework.NET; podczas gdy zawiera powłokę wiersza polecenia i język skryptowy. Nie pomaga użytkownikom w automatyzacji, ale także szybko rozwiązuje złożone zadania administracyjne. Mimo to wielu użytkowników często uważa, że ​​PowerShell jest narzędziem wykorzystywanym przez hakerów do naruszania bezpieczeństwa. Niestety, prawdą jest, że PowerShell jest szeroko stosowany w przypadku naruszeń bezpieczeństwa. Z tego powodu użytkownicy z mniejszą lub żadną wiedzą techniczną często dezaktywują PowerShell. Jednak w rzeczywistości podejście PowerShell Security może zapewnić najlepszą ochronę przed naruszeniami bezpieczeństwa na poziomie przedsiębiorstwa.

David das Neves, Premier Field Engineer dla Microsoft Germany, w jednym ze swoich postów wspomniał, że podejście PowerShell Security to skuteczny sposób ustanowienie zabezpieczeń na poziomie przedsiębiorstwa. W rzeczywistości PowerShell jest jednym z najczęściej używanych języków w GitHub, zgodnie z tabelą rankingów języków programowania stworzoną przez RedMonk.

Przeczytaj : Zrozumienie bezpieczeństwa PowerShell.

Zabezpieczenia Windows PowerShell na poziomie Enterprise

Przed ustawieniem Windows PowerShell Security, konieczne jest poznanie jego podstaw. Użytkownicy muszą używać najnowszej wersji Windows PowerShell; tj. PowerShell wersja 5 lub WMP 5.1. Dzięki WMF 5.1 użytkownicy mogą z łatwością aktualizować wersję PowerShell na swoich istniejących maszynach, w tym w systemie Windows 7. W rzeczywistości osoby korzystające z systemu Windows 7 lub nawet posiadające te w swoich sieciach muszą mieć WMP 5.1 i PowerShell 5. Dzieje się tak, ponieważ atakujący potrzebuje tylko jednego komputer do zainicjowania ataku.

Użytkownik musi tutaj zaznaczyć, że PowerShell Security musi być ustawiony na najnowszą wersję Windows PowerShell. Jeśli jest to wersja niższa (jak PowerShell wersja 2), może wyrządzić więcej szkody niż pożytku. Dlatego zaleca się, aby użytkownicy pozbyli się wersji PowerShell 2.

Oprócz najnowszej wersji Windows PowerShell, użytkownicy muszą również wybrać najnowszą wersję systemu operacyjnego. Aby skonfigurować zabezpieczenia PowerShell, system Windows 10 jest najbardziej zgodnym systemem operacyjnym. Windows 10 ma wiele funkcji bezpieczeństwa. Dlatego zaleca się, aby użytkownicy przenieśli swoje starsze komputery z systemem Windows do systemu Windows 10 i ocenili wszystkie funkcje zabezpieczeń, które mogą być używane.

ExecutionPolicy: Wielu użytkowników nie wybiera podejścia PowerShell Security i używa ExecutionPolicy jako granica bezpieczeństwa. Jednak, jak wspomina David w swoim poście, istnieje ponad 20 sposobów na przekroczenie ExecutionPolicy nawet jako standardowy użytkownik. Dlatego użytkownicy powinni ustawić go za pomocą GPO, na przykład RemoteSigned. ExecutionPolicy może uniemożliwić niektórym hakerom używanie skryptów PowerShell z Internetu, ale nie jest to całkowicie niezawodna konfiguracja zabezpieczeń.

Czynniki, które należy wziąć pod uwagę w podejściu bezpieczeństwa PowerShell

David wspomina o wszystkich ważnych czynnikach, które należy wziąć pod uwagę podczas konfigurowania zabezpieczeń PowerShell na poziom przedsiębiorstwa. Niektóre z czynników uwzględnionych przez Davida są następujące:

• PowerShell Remoting
• Zabezpieczanie uprzywilejowanego dostępu
• Modernizacja środowiska
• Biała lista / Podpisywanie / Ograniczone języki / Applocker / Ochrona urządzenia
• Logowanie
• ScriptBlockLogging
• Rozszerzone rejestrowanie / WEF i JEA

Aby uzyskać więcej szczegółowych informacji o konfiguracji zabezpieczeń PowerShell, przeczytaj jego wpis na blogach MSDN.