Windows PowerShell viene utilizzato da molti amministratori IT in tutto il mondo. È un framework di gestione delle attività e di configurazione delle configurazioni di Microsoft. Con il suo aiuto, gli amministratori possono eseguire attività amministrative su entrambi i sistemi Windows locali e remoti. Tuttavia, recentemente, alcune organizzazioni hanno evitato di usarlo; in particolare per l'accesso remoto; sospettando vulnerabilità di sicurezza. Per chiarire questa confusione sullo strumento, l'ingegnere di Microsoft Premier Field, Ashley McGlone, ha pubblicato un blog in cui viene indicato perché è uno strumento sicuro e non una vulnerabilità.
Le organizzazioni stanno prendendo in considerazione PowerShell come vulnerabilità
McGlone menziona alcune delle recenti tendenze nelle organizzazioni riguardanti questo strumento. Alcune organizzazioni vietano l'uso del servizio remoto di PowerShell; mentre altrove InfoSec ha bloccato l'amministrazione del server remoto con esso. Egli menziona inoltre che riceve costantemente domande sulla sicurezza di PowerShell Remoting. Molte aziende stanno limitando le capacità dello strumento nel loro ambiente. La maggior parte di queste aziende è preoccupata per il Remoting dello strumento, che è sempre crittografato, porta singola 5985 o 5986.
Sicurezza PowerShell
McGlone descrive perché questo strumento non è una vulnerabilità, ma d'altra parte è molto sicuro. Menziona punti importanti come questo strumento è uno strumento di amministrazione neutrale, non una vulnerabilità. Il remoting dello strumento rispetta tutti i protocolli di autenticazione e autorizzazione di Windows. Richiede l'appartenenza al gruppo di amministratori locali per impostazione predefinita.
Egli menziona inoltre perché lo strumento è più sicuro di quanto le aziende pensano:
“The improvements in WMF 5.0 (or WMF 4.0 with KB3000850) make PowerShell the worst tool of choice for a hacker when you enable script block logging and system-wide transcription. Hackers will leave fingerprints everywhere, unlike popular CMD utilities”.
Grazie alle sue potenti funzioni di tracciamento, McGlone raccomanda PowerShell come lo strumento migliore per l'amministrazione remota. Lo strumento è dotato di funzionalità che consentono alle organizzazioni di trovare la risposta alle domande come chi, cosa, quando, dove e come attività sui server.
Ha inoltre fornito i collegamenti alle risorse per apprendere come proteggere questo strumento e utilizzarlo a livello aziendale. Se il dipartimento di sicurezza delle informazioni della tua azienda desidera saperne di più su questo strumento, McGlone fornisce un collegamento alle considerazioni sulla sicurezza di PowerShell. Questa è una nuova documentazione sulla sicurezza del team PowerShell. Il documento include varie sezioni informative, ad esempio Powershell Remoting, le impostazioni predefinite, l'isolamento del processo, i protocolli di crittografia e di trasporto.
Il post sul blog menziona diverse fonti e collegamenti per ulteriori informazioni su PowerShell. È possibile ottenere queste fonti, inclusi i collegamenti al sito Web WinRMSecurity e un white paper di Lee Holmes qui su TechNet Blogs.
Leggi il prossimo: Impostazione e applicazione della sicurezza di PowerShell a livello aziendale.
