Понимание безопасности PowerShell. Действительно ли PowerShell — это уязвимость?

Windows PowerShell используется многими ИТ-администраторами по всему миру. Это среда автоматизации задач и управления конфигурацией от Microsoft. С его помощью администраторы могут выполнять административные задачи как в локальных, так и в удаленных системах Windows. Однако в последнее время некоторые организации избегают его использования; особенно для удаленного доступа; подозревая уязвимости безопасности. Чтобы устранить эту путаницу вокруг инструмента, ведущий инженер Microsoft на местах Эшли МакГлоун опубликовала блог, в котором упоминается, почему это безопасный инструмент, а не уязвимость.

PowerShell

Организации рассматривают PowerShell как уязвимость

МакГлоун упоминает некоторые из последних тенденций в организациях, касающихся этого инструмента. Некоторые организации запрещают использование удаленного взаимодействия PowerShell; в то время как в другом месте InfoSec заблокировал с его помощью удаленное администрирование сервера. Он также упоминает, что постоянно получает вопросы о безопасности PowerShell Remoting. Несколько компаний ограничивают возможности инструмента в своей среде. Большинство этих компаний обеспокоены удаленным взаимодействием инструмента, которое всегда зашифровано, с одним портом 5985 или 5986.

Безопасность PowerShell

МакГлоун объясняет, почему этот инструмент не является уязвимостью, но, с другой стороны, очень безопасен. Он упоминает такие важные моменты, как то, что этот инструмент является нейтральным инструментом администрирования, а не уязвимостью. Удаленное взаимодействие инструмента учитывает все протоколы проверки подлинности и авторизации Windows. По умолчанию требуется членство в группе локальных администраторов.

Он также упоминает, почему этот инструмент безопаснее, чем думают компании:

«Улучшения в WMF 5.0 (или WMF 4.0 с KB3000850) делают PowerShell худшим инструментом для хакеров, когда вы включаете ведение журнала блоков сценариев и общесистемную транскрипцию. Хакеры повсюду оставляют отпечатки пальцев, в отличие от популярных утилит CMD ».

Благодаря мощным функциям отслеживания McGlone рекомендует PowerShell как лучший инструмент для удаленного администрирования. Инструмент поставляется с функциями, которые позволяют организациям находить ответы на такие вопросы, как кто, что, когда, где и как выполняет действия на ваших серверах.

Далее он дал ссылки на ресурсы, чтобы узнать о защите этого инструмента и его использовании на уровне предприятия. Если отдел информационной безопасности вашей компании хочет узнать больше об этом инструменте, McGlone предоставляет ссылку на рекомендации по безопасности удаленного взаимодействия PowerShell. Это новая документация по безопасности от команды PowerShell. Документ включает в себя различные информативные разделы, например, что такое Powershell Remoting, его настройки по умолчанию, изоляцию процессов, шифрование и транспортные протоколы.

В сообщении блога упоминаются несколько источников и ссылки, чтобы узнать больше о PowerShell. Вы можете получить эти источники, включая ссылки на веб-сайт WinRMSecurity и технический документ Ли Холмса, здесь, в блогах TechNet.

Читайте дальше: Настройка и обеспечение безопасности PowerShell на уровне предприятия.

Логотип PowerShell .

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *