Microsoft phát triển Windows PowerShell để tự động hóa nhiệm vụ và quản lý cấu hình. Nó dựa trên khuôn khổ.NET; trong khi nó bao gồm một shell dòng lệnh và một ngôn ngữ kịch bản lệnh. Nó không giúp người dùng tự động hóa, nhưng nó cũng nhanh chóng giải quyết các nhiệm vụ quản trị phức tạp. Mặc dù vậy, nhiều người dùng thường tin rằng PowerShell là một công cụ được sử dụng bởi tin tặc cho các vi phạm an ninh. Thật không may, đúng là PowerShell được sử dụng rộng rãi cho các vi phạm an ninh. Do đó, người dùng có ít hoặc không có kiến thức kỹ thuật thường tắt PowerShell. Tuy nhiên, thực tế là cách tiếp cận bảo mật PowerShell có thể cung cấp sự bảo vệ tốt nhất chống lại các vi phạm an ninh ở cấp độ doanh nghiệp.
Đọc: Hiểu về bảo mật PowerShell.
Bảo mật Windows PowerShell ở cấp Doanh nghiệp
Trước khi cài đặt Windows PowerShell Security, cần phải biết những điều cơ bản của nó. Người dùng phải sử dụng phiên bản Windows PowerShell mới nhất; tức là PowerShell phiên bản 5 hoặc WMP 5.1. Với WMF 5.1, người dùng có thể dễ dàng cập nhật phiên bản PowerShell trên các máy hiện có của mình, bao gồm Windows 7. Trên thực tế, những người sử dụng Windows 7 hoặc thậm chí có những người trên mạng của họ phải có WMP 5.1 và PowerShell 5. Đó là vì kẻ tấn công chỉ cần một máy tính để bắt đầu cuộc tấn công.
Người dùng phải lưu ý ở đây rằng PowerShell Security phải được thiết lập với phiên bản Windows PowerShell mới nhất. Nếu nó là một phiên bản thấp hơn (như PowerShell Version 2) có thể gây hại nhiều hơn là tốt. Do đó, người dùng phải loại bỏ PowerShell phiên bản 2.
Ngoài phiên bản Windows PowerShell mới nhất, người dùng cũng phải chọn phiên bản hệ điều hành mới nhất. Để thiết lập Bảo mật PowerShell, Windows 10 là hệ điều hành tương thích nhất. Windows 10 đi kèm với nhiều tính năng bảo mật. Do đó, người dùng nên di chuyển các máy Windows cũ hơn của mình sang Windows 10 và đánh giá tất cả các tính năng bảo mật có thể được sử dụng.
ExecutionPolicy: Nhiều người dùng không chọn cách tiếp cận PowerShell Security và sử dụng ExecutionPolicy làm ranh giới bảo mật. Tuy nhiên, như David đã đề cập trong bài đăng của mình, có hơn 20 cách để vượt qua ExecutionPolicy ngay cả khi người dùng chuẩn. Do đó người dùng nên thiết lập nó thông qua GPO như RemoteSigned. ExecutionPolicy có thể ngăn chặn một số tin tặc sử dụng các kịch bản PowerShell từ internet, nhưng nó không phải là thiết lập bảo mật hoàn toàn đáng tin cậy.
Các yếu tố cần được xem xét trong phương pháp tiếp cận bảo mật PowerShell
David đề cập đến tất cả các yếu tố quan trọng cần xem xét khi thiết lập PowerShell Security ở cấp doanh nghiệp. Một số yếu tố được bảo hiểm bởi David như sau:
- PowerShell Remoting
- Bảo vệ quyền truy cập đặc quyền
- Hiện đại hóa môi trường
- Whitelisting / Signing / ConstrainedLanguage / Applocker / Device Guard
- Ghi nhật ký
- ScriptBlockLogging
- Ghi nhật ký mở rộng / WEF và JEA
Để biết thêm thông tin chi tiết về cài đặt PowerShell Security, hãy đọc bài đăng của anh ấy trên MSDN Blogs.
Bài viết liên quan:
- Các tính năng và lợi ích của Windows PowerShell khi nâng cấp
- Hướng dẫn sử dụng Windows PowerShell 4.0 từ Microsoft
- Sửa lỗi ứng dụng Windows Store bằng cách thực hiện Xóa sạch bằng PowerShell
- Quản lý các ứng dụng web cũ với Cổng danh sách trang web chế độ doanh nghiệp của Microsoft
- PowerShell có thực sự dễ bị tổn thương không? Hiểu về bảo mật PowerShell.
