¿Es PowerShell realmente una vulnerabilidad? Comprensión de la seguridad de PowerShell.

Windows PowerShell está siendo utilizado por muchos administradores de TI de todo el mundo. Se trata de un marco de trabajo de automatización de tareas y gestión de configuraciones de Microsoft. Con su ayuda, los administradores pueden realizar tareas administrativas tanto en sistemas Windows locales como remotos. Sin embargo, recientemente, algunas organizaciones han estado evitando su uso, especialmente para el acceso remoto, sospechando de vulnerabilidades de seguridad. Para aclarar esta confusión en torno a la herramienta, Ashley McGlone, Ingeniero de Campo Premier de Microsoft, publicó un blog que menciona por qué es una herramienta segura y no una vulnerabilidad.

¿Es PowerShell realmente una vulnerabilidad? Comprensión de la seguridad de PowerShell. 1

Las organizaciones están considerando PowerShell como una vulnerabilidad

McGlone menciona algunas de las tendencias recientes en las organizaciones con respecto a esta herramienta. Algunas organizaciones están prohibiendo el uso del control remoto de PowerShell, mientras que en otros lugares InfoSec ha bloqueado la administración de servidores remotos con él. También menciona que recibe constantemente preguntas sobre la seguridad de PowerShell Remoting. Múltiples compañías están restringiendo las capacidades de la herramienta en su entorno. La mayoría de estas compañías están preocupadas por el Remoting de la herramienta, que siempre está encriptado, puerto único 5985 o 5986.

Seguridad de PowerShell

McGlone describe por qué esta herramienta no es una vulnerabilidad, pero por otro lado es muy segura. Menciona puntos importantes como que esta herramienta es una herramienta de administración neutral, no una vulnerabilidad. El control remoto de la herramienta respeta todos los protocolos de autenticación y autorización de Windows. Requiere la pertenencia al grupo de Administradores locales de forma predeterminada.

Además, menciona por qué la herramienta es más segura de lo que las empresas creen:

«Las mejoras en WMF 5.0 (o WMF 4.0 con KB3000850) hacen de PowerShell la peor herramienta para un hacker cuando se habilita el registro de bloques de scripts y la transcripción en todo el sistema. Los hackers dejarán huellas dactilares en todas partes, a diferencia de las utilidades populares de CMD».

Debido a sus potentes funciones de seguimiento, McGlone recomienda PowerShell como la mejor herramienta para la administración remota. La herramienta incluye funciones que permiten a las organizaciones encontrar la respuesta a las preguntas de quién, qué, cuándo, dónde y cómo realizar actividades en sus servidores.

Además, proporcionó los enlaces a recursos para aprender a proteger esta herramienta y a utilizarla a nivel empresarial. Si el departamento de seguridad de la información de su empresa desea obtener más información sobre esta herramienta, McGlone proporciona un enlace a PowerShell Remoting Security Considerations. Esta es una nueva documentación de seguridad del equipo de PowerShell. El documento incluye varias secciones informativas tales como qué es Powershell Remoting, su configuración predeterminada, aislamiento de procesos y protocolos de encriptación y transporte.

La entrada del blog menciona varias fuentes y enlaces para aprender más sobre PowerShell. Puede obtener estas fuentes, incluyendo enlaces a la página web de WinRMSecurity y un white paper de Lee Holmes aquí en TechNet Blogs .

Leer siguiente : Setting & enforcing PowerShell Security at the Enterprise level.

Contenido Relacionado

Deja un comentario