Continúa leyendo para conocer las medidas de seguridad a utilizar y adopta para mantener PowerShell que empezamos aquí Medidas de seguridad a utilizar y adopta para mantener PowerShell – cloud-riders.ES (cloudriders.es)
Protección de red de la comunicación remota de PowerShell:
Las conexiones remotas se pueden utilizar para potentes capacidades de administración remota, por lo que las reglas del Firewall de Windows en los puntos finales deben configurarse adecuadamente para controlar las conexiones permitidas.
Las ediciones cliente y servidor de Windows incluyen la comunicación remota PowerShell, con esta capacidad habilitada de forma predeterminada en servidores Windows a partir de Windows 2012 R2.
El acceso a puntos finales con comunicación remota de PowerShell requiere que la cuenta de usuario solicitante tenga privilegios administrativos en el destino de forma predeterminada.
Habilitar la comunicación remota de PowerShell en redes privadas introducirá una regla de Firewall de Windows para aceptar todas las conexiones.
El requisito de permiso y las reglas del Firewall de Windows se pueden personalizar para restringir las conexiones solo a puntos finales y redes confiables para reducir las oportunidades de movimiento lateral.
Las organizaciones pueden implementar estas reglas para reforzar la seguridad de la red cuando sea posible.
Integración de la interfaz de escaneo antimalware (AMSI)
La función Antimalware Scan Interface, disponible por primera vez en Windows 10, está integrada en diferentes componentes de Windows.
Admite el escaneo de contenidos de archivos dinámicos y en memoria utilizando un producto antivirus registrado con Windows y expone una interfaz para que las aplicaciones escaneen contenido potencialmente malicioso.
Lenguajes de secuencias de comandos integrados (por ejemplo, PowerShell, VBScript y JScript)) utilizan AMSI para que los scripts sean analizados por software antivirus registrado y compatible.
Esta característica requiere productos antivirus compatibles con AMSI, como Windows Defender, McAfee y Symantec.
PowerShell restringido con control de aplicaciones:
La configuración de AppLocker o Windows Defender Application Control (WDAC) para bloquear acciones en un host de Windows hará que PowerShell funcione en modo de lenguaje restringido (CLM), restringiendo las operaciones de PowerShell a menos que lo permitan las políticas definidas por el administrador.
Esta característica corrige una deficiencia en la aplicación de secuencias de comandos de AppLocker que bloquea los comandos de PowerShell en una secuencia de comandos, pero permite que los mismos comandos se ingresen de forma interactiva en la consola de comandos de PowerShell.
La configuración adecuada de WDAC o AppLocker en Windows 10+ ayuda a evitar que un actor malintencionado obtenga control total sobre una sesión de PowerShell y el host.
Controlar el origen y la ejecución de scripts y módulos brinda oportunidades para mejorar los requisitos de seguridad y los canales de firma de código dentro de las organizaciones. Los requisitos de firma son también se puede hacer cumplir a través de la característica de seguridad de PowerShell llamada Política de ejecución.
Sin embargo, la Política de ejecución no restringe la ejecución de todo el contenido de PowerShell.
Métodos de PowerShell para detectar abusos:
El registro de las actividades de PowerShell puede registrar cuándo las amenazas cibernéticas aprovechan PowerShell, y el monitoreo continuo de los registros de PowerShell puede detectar y alertar sobre posibles abusos.
El registro de bloques de script profundo, el registro de módulos y la transcripción por encima del hombro están deshabilitados de forma predeterminada.
Los autores recomiendan habilitar las capacidades cuando sea posible.
Registro de bloques de script profundo (DSBL) y registro de módulos:
Deep Script Block Logging registra cada comando de PowerShell en el registro de eventos de Windows, lo que permite análisis adicionales en plataformas de análisis y almacenamiento centralizado.
DSBL registra incluso actividades maliciosas ocultas de PowerShell y los comandos que se ejecutan, como invocaciones de comandos y partes de scripts.
De manera similar, el registro del módulo captura los detalles de ejecución de la canalización de PowerShell, con el objetivo de registrar las acciones de PowerShell.
Aunque es posible que no se registren todos los detalles y resultados, estos registros de módulos y registros de eventos evitan que los comandos de PowerShell queden ocultos (por ejemplo, ofuscados o cifrados) para los defensores.
Transcripción sobre el hombro (OTS):
La capacidad de registrar todas las actividades ejecutadas dentro de PowerShell 5 se puede aplicar en Windows 7 y versiones posteriores, tanto para el mantenimiento de registros en el momento como para el seguimiento de seguridad restringido. OTS registra cada entrada y salida de PowerShell, ya sea funcional o no, para permitir a los defensores descifrar las acciones previstas.
PowerShell 5.0 amplió el alcance de la transcripción, que se puede administrar a través de la Política de grupo para la configuración en toda la empresa.
Procedimientos de PowerShell para proporcionar autenticación:
Varios métodos de autenticación en PowerShell permiten su uso en dispositivos que no son Windows.
Comunicación remota a través de SSH:
PowerShell 7 permite conexiones remotas a través de Secure Shell (SSH) además de admitir conexiones WinRM.
Esto permite la autenticación de clave pública y hace que la administración remota a través de PowerShell de las máquinas sea conveniente y segura.
La nueva capacidad de comunicación remota SSH en PowerShell puede establecer conexiones remotas sin requerir el uso del Protocolo seguro de transferencia de hipertexto (HTTPS) con Secure Sockets
Certificados de seguridad de capa/capa de transporte (SSL/TLS).
PowerShell sobre SSH no requiere hosts confiables como cuando se realiza la comunicación remota a través de WinRM fuera de un dominio.
Esto permite una administración remota segura a través de SSH sin contraseña para todos los comandos y conexiones, y permite la comunicación remota con PowerShell entre hosts de Windows y Linux.
Espero que os resulte útil.
Un saludo