9 основных сценариев безопасности PowerShell, которые должен знать каждый администратор
PowerShell — это расширенный инструмент администрирования для Windows. Некоторые конечные пользователи с расширенными знаниями или те, кто работал с более ранними версиями Windows, могут быть более знакомы со скромной командной строкой, с помощью которой вы можете запускать команды и сценарии. PowerShell похож, но намного более продвинут с точки зрения функциональности.
PowerShell предоставляет расширенные функции для управления конфигурацией и автоматизации задач. Инструмент включает в себя как язык сценариев, так и оболочку командной строки. Он был построен на.Net Framework. PowerShell предоставляет вам интегрированную среду сценариев (ISE), которая дает вам графический интерфейс, в котором вы можете выполнять все свои сценарии.
PowerShell уже более десяти лет является ведущим инструментом администрирования Windows. Но используете ли вы этот инструмент в полной мере? Вот несколько важных советов по безопасности PowerShell для администраторов Windows.
Очистите группу администраторов.
Наличие нескольких пользователей в локальной группе администрирования создает одну из самых больших и распространенных лазеек, через которую хакер может взломать. Этот сценарий дает вам возможность удалить имена нескольких пользователей из групп локальных администраторов нескольких компьютеров за один раз. Он принимает текстовый файл с именами пользователей, которых нужно удалить, и еще один текстовый файл с именами машин, на которых это нужно сделать.
Все, что вам нужно изменить в сценарии перед его запуском, это: а) заменить имя, присутствующее в переменной $Computernames, на имя текстового файла, содержащего имена машин, и б) заменить имя, присутствующее в переменной $Admins, на имя текстового файла, содержащего имена пользователей.
Закрепить доступ к SAM
Как только хакерам удается взломать систему через определенную точку уязвимости, они используют скомпрометированные локальные и доменные учетные данные для перемещения по сети своей жертвы. Один из способов получить всех локальных пользователей и пользователей домена вместе с членством в группах для сопоставления возможных маршрутов в Windows 10 — это удаленно опросить диспетчера учетных записей безопасности с использованием протокола SAMR.
Хотя раньше любой пользователь, подключенный к сети, мог получить удаленный доступ к SAM, позже в Windows 10 появилась возможность контролировать доступ к SAM, а также были изменены разрешения по умолчанию, чтобы разрешить удаленный доступ только администраторам. Сценарий SAMRi10 позволяет усилить удаленный доступ, предоставляя доступ к SAM только членам определенной группы. Нет, это не дискриминация, это протоколы безопасности!
Усиление перечисления сетевых сессий
Net Sessions Enumeration может использоваться злоумышленниками для получения информации о сеансах, установленных на сервере, включая имена компьютеров, имена пользователей, время активности сеанса и IP-адреса. По умолчанию NetSessionEnum может выполняться любым пользователем, прошедшим проверку подлинности. Сценарий Net Cease изменяет это, предоставляя вам возможность удалить разрешения на выполнение для всех аутентифицированных пользователей и вместо этого добавить разрешения для определенных сеансов.
Запустить скрипт как процесс
Одна из наиболее рекомендуемых передовых практик с точки зрения безопасности — использовать учетную запись с наименьшими возможными привилегиями, чтобы даже в случае компрометации сеанса потери были сведены к минимуму. Это особенно верно, когда администратор работает с Active Directory. Нет, вам не нужно носить кроссовки Nike для запуска Active Directory. Если вы верите в это, вы находитесь не в том поле.
Этот сценарий позволяет запускать сценарии PowerShell как отдельное удостоверение. Чтобы запустить сценарий с другим идентификатором, этот сценарий заставит консольную программу дождаться завершения вызванного сценария, а затем вернется к подсказке.
Модуль безопасности файловой системы
Этот модуль упрощает управление правами доступа к файлам и папкам в Powershell. NTFSSecurity предоставляет вам командлеты для различных задач, в том числе повседневных, таких как получение отчетов о разрешениях, добавление разрешений к элементу и удаление ACE (записей управления доступом). Вы даже можете использовать командлет, чтобы получить определенные разрешения для конкретного пользователя.
Общий отчет о вирусах
Хакеры постоянно ищут учетные записи с высокими привилегиями, чтобы попытаться войти в системы в сети. Этот модуль ищет все указанные журналы событий (с журналом безопасности по умолчанию) на указанных машинах (все контроллеры домена по умолчанию) для событий входа в систему от определенных пользователей (настройка по умолчанию для всех учетных записей, принадлежащих уровню 0). группы).
Этот модуль может помочь вам оценить, какие компьютеры подверглись любой предполагаемой атаке с использованием определенных привилегированных учетных записей. Он работает со всеми версиями Windows 7 и выше.
Проверка подписи сертификата SHA-1
Microsoft планирует прекратить распознавать сертификаты с подписями SHA-1. Доступные в настоящее время планы применимы к сертификатам проверки подлинности сервера и тем, которые используются для подписи исполняемых файлов в среде Windows (подписание кода и метки времени).
Из-за сложности, связанной с обработкой сертификатов и PKI, может быть трудно определить, действительно ли устаревшее SHA-1 применяется к определенному сертификату или приложению. Этот модуль делает именно это. Он может проверять сертификаты TLS и приложения (EXE). Нет, он не может заменить масло в вашей машине или приготовить вам блины, так что не спрашивайте об этом!
Обнаружение локальных администраторов
Локальные группы администраторов — одна из самых уязвимых точек системы, где хакеры могут незаметно создавать учетные записи локальных администраторов в определенных системах. Этот сценарий регулярно опрашивает несколько компьютеров на наличие изменений в локальных группах администраторов и отправляет отчеты по электронной почте всякий раз, когда добавляются новые участники.
Проверка золотого билета Kerberos
Kerberos — это протокол и механизм, который позволяет узлам, взаимодействующим по незащищенным сетям, подтверждать свою идентичность друг другу безопасным способом. Хакер, получивший доступ к компьютеру, может создать так называемый билет Kerberos, предоставляющий доступ. Нет, с билетами такого типа вы не сможете посмотреть, как играет ваша местная бейсбольная или баскетбольная команда! Это не сработает!
Такие билеты позволяют хакерам поддерживать доступ к системе в течение длительного периода времени и постоянно извлекать небольшие объемы данных.
Это то, что называется атакой с золотым билетом, при которой хакер может создать билет, действительный в течение 10 лет (это больше, чем один сезон; это много игр без оплаты!) или даже дольше, манипулируя контроллеры домена и Active Directory. Эти билеты могут быть сгенерированы после того, как хакер получит идентификатор с правами администратора домена. Этот сценарий представляет собой модуль, который может помочь в проверке кэшей билетов Kerberos компьютера на наличие таких билетов на выдачу билетов.