Windows PowerShell используется многими ИТ-администраторами по всему миру. Это система автоматизации задач и управления конфигурацией от Microsoft. С его помощью администраторы могут выполнять административные задачи как на локальных, так и на удаленных системах Windows. Однако в последнее время некоторые организации избегают использовать его; особенно для удаленного доступа; подозревая уязвимости безопасности. Чтобы устранить эту путаницу вокруг инструмента, Microsoft Premier Field Engineer, Эшли МакГлоун опубликовала блог, в котором упоминается, почему это безопасный инструмент, а не уязвимость.
Организации рассматривают PowerShell как уязвимость
McGlone упоминает некоторые из последних тенденций в организациях, касающихся этого инструмента. Некоторые организации запрещают использование удаленного доступа PowerShell; в то время как в другом месте InfoSec блокирует управление удаленным сервером. Он также упоминает, что он постоянно получает вопросы о безопасности PowerShell Remoting. Несколько компаний ограничивают возможности инструмента в своей среде. Большинство из этих компаний беспокоятся о Remoting инструмента, который всегда зашифрован, один порт 5985 или 5986.
Безопасность PowerShell
McGlone описывает, почему этот инструмент не является уязвимостью, но, с другой стороны, очень безопасен. Он упоминает важные моменты, такие как этот инструмент, является нейтральным инструментом администрирования, а не уязвимостью. Удаленный доступ к инструменту относится ко всем протоколам проверки подлинности и авторизации Windows. Для этого требуется членство в локальной группе администраторов по умолчанию.
Он далее упоминает, почему инструмент безопаснее, чем компании думают:
“The improvements in WMF 5.0 (or WMF 4.0 with KB3000850) make PowerShell the worst tool of choice for a hacker when you enable script block logging and system-wide transcription. Hackers will leave fingerprints everywhere, unlike popular CMD utilities”.
Благодаря мощным функциям отслеживания McGlone рекомендует PowerShell как лучший инструмент для удаленного администрирования. Инструмент поставляется с функциями, которые позволяют организациям находить ответы на вопросы, такие как: кто, что, когда, где и как работает на ваших серверах.
Он также дал ссылки на ресурсы, чтобы узнать о защите этого инструмента и использовании его на уровне предприятия. Если отдел информационной безопасности в вашей компании хочет узнать больше об этом инструменте, McGlone предоставляет ссылку на PowerShell Remoting Security соображения. Это новая документация безопасности от команды PowerShell. Документ включает в себя различные информационные разделы, такие как «Powershell Remoting», его настройки по умолчанию, изоляция процесса и шифрование и транспортные протоколы.
В блоге упоминаются несколько источников и ссылок, чтобы узнать больше о PowerShell. Вы можете получить эти источники, включая ссылки на веб-сайт WinRMSecurity и белую книгу Ли Холмса здесь, в блогах TechNet.
Читать дальше: Настройка и обеспечение безопасности PowerShell Security на уровне предприятия.
