Windows PowerShell käytetään monien IT-järjestelmänvalvojien käytössä eri puolilla maailmaa. Se on Microsoftin tehtäväautomaatio- ja konfigurointihallintakehys. Apuaan järjestelmänvalvojat voivat suorittaa hallinnollisia tehtäviä sekä paikallisissa että etäjärjestelmissä. Viime aikoina muutamat organisaatiot ovat kuitenkin välttämättä käyttäneet sitä; erityisesti etäkäyttöön; epäilyttävät tietoturvahaavoittuvuuksia. Tämän epäselvyyden poistamiseksi työkalusta Microsoft Premier Field Engineer Ashley McGlone julkaisi blogin, jossa mainitaan, miksi se on turvallinen työkalu eikä haavoittuvuus.
Organisaatiot harkitsevat PowerShelliä haavoittuvuutena
McGlone mainitsee joitakin tämän työkalun organisaatioiden viimeaikaisia trendejä. Jotkut organisaatiot kieltävät PowerShell-etäopastuksen käytön; kun taas muualla InfoSec on estänyt etäpalvelimen hallinnan sen kanssa. Hän mainitsee myös, että hän ottaa jatkuvasti kysymyksiä PowerShell Remoting -turvallisuuden ympärille. Useat yritykset rajoittavat työkalun valmiuksia omassa ympäristössä. Useimmat näistä yrityksistä ovat huolissaan työkalun Remotingista, joka on aina salattu, yhdellä portilla 5985 tai 5986.
PowerShell-suojaus
McGlone kuvaa, miksi tämä työkalu ei ole haavoittuvuus - mutta toisaalta se on erittäin turvallinen. Hän mainitsee tärkeitä kohtia, kuten tämä työkalu on neutraali hallintatyökalu, ei haavoittuvuus. Työkalun etätoiminto noudattaa kaikkia Windows-todennusta ja valtuutusta koskevia protokollia. Se edellyttää oletusarvoisesti paikallisen järjestelmänvalvojan ryhmän jäsenyyttä.
Hän mainitsee myös, miksi työkalu on turvallisempi kuin yritykset ajattelevat:
“The improvements in WMF 5.0 (or WMF 4.0 with KB3000850) make PowerShell the worst tool of choice for a hacker when you enable script block logging and system-wide transcription. Hackers will leave fingerprints everywhere, unlike popular CMD utilities”.
Tehokkaiden seurantaominaisuuksiensa ansiosta McGlone suosittelee, että PowerShell toimii parhaimpana etäenhallintavälineenä. Työkalu sisältää ominaisuuksia, joiden avulla organisaatiot voivat löytää vastauksen kysymyksiin, kuten kuka, mitä, milloin, missä ja miten palvelimesi toiminnot.
Hän antoi lisäksi linkkejä resursseihin oppiakseen tämän työkalun varmistamisesta ja käyttämisestä yrityksen tasolla. Jos yrityksesi tietoturvaosasto haluaa oppia lisää tästä työkalusta, McGlone tarjoaa linkin PowerShell Remoting Security Considerations -ohjelmaan. Tämä on PowerShell-tiimin uusi turvallisuusasiakirja. Asiakirjassa on useita informatiivisia osioita, kuten Powerhouse Remoting, sen oletusasetukset, prosessin eristyneisyys ja salaus ja kuljetusprotokollat.
Blogikirje mainitsee useita lähteitä ja linkkejä saadaksesi lisätietoja PowerShellistä. Voit saada nämä lähteet, mukaan lukien linkit WinRMSecurity verkkosivuille ja valkoinen kirja Lee Holmes täällä TechNet Blogs.
Lue seuraava: PowerShell Securityn asettaminen ja voimaansaattaminen Enterprise-tasolla.
