Windows PowerShell está sendo usado por muitos administradores de TI em todo o mundo. É uma estrutura de automação de tarefas e gerenciamento de configuração da Microsoft. Com sua ajuda, os administradores podem executar tarefas administrativas nos sistemas Windows locais e remotos. No entanto, recentemente, algumas organizações têm evitado usá-lo; especialmente para acesso remoto; suspeitar de vulnerabilidades de segurança. Para eliminar essa confusão em torno da ferramenta, o Engenheiro de Campo do Microsoft Premier, Ashley McGlone, publicou um blog que menciona porque é uma ferramenta segura e não uma vulnerabilidade.
As organizações estão considerando o PowerShell como vulnerabilidade
McGlone menciona algumas das tendências recentes nas organizações em relação a essa ferramenta. Algumas organizações estão proibindo o uso de comunicação remota do PowerShell; enquanto em outro lugar, o InfoSec bloqueou a administração do servidor remoto com ele. Ele também menciona que constantemente recebe perguntas sobre a segurança do PowerShell Remoting. Várias empresas estão restringindo os recursos da ferramenta em seu ambiente. A maioria dessas empresas está preocupada com o Remoting da ferramenta, que é sempre criptografado, porta única 5985 ou 5986.
Segurança do PowerShell
McGlone descreve por que essa ferramenta não é uma vulnerabilidade - mas, por outro lado, é muito segura. Ele menciona pontos importantes como esta ferramenta é uma ferramenta de administração neutra, não uma vulnerabilidade. O recurso remoto da ferramenta respeita todos os protocolos de autenticação e autorização do Windows. Ele requer associação do grupo Administradores local por padrão.
Ele também menciona por que a ferramenta é mais segura do que as empresas pensam:
“The improvements in WMF 5.0 (or WMF 4.0 with KB3000850) make PowerShell the worst tool of choice for a hacker when you enable script block logging and system-wide transcription. Hackers will leave fingerprints everywhere, unlike popular CMD utilities”.
Por causa de seus poderosos recursos de rastreamento, McGlone recomenda o PowerShell como a melhor ferramenta para administração remota. A ferramenta vem com recursos que permitem que as organizações encontrem a resposta para as perguntas sobre quem, o que, quando, onde e como as atividades em seus servidores.
Ele também forneceu os links para recursos para aprender a proteger essa ferramenta e usá-la em um nível corporativo. Se o departamento de segurança de informações da sua empresa quiser saber mais sobre essa ferramenta, o McGlone fornecerá um link para Considerações sobre segurança remota do PowerShell. Esta é uma nova documentação de segurança da equipe do PowerShell. O documento inclui várias seções informativas, como o que é o Powershell Remoting, suas configurações padrão, isolamento de processo e criptografia e protocolos de transporte.
O post do blog menciona várias fontes e links para saber mais sobre o PowerShell. Você pode obter essas fontes, incluindo links para o site WinRMSecurity e um white paper de Lee Holmes aqui no TechNet Blogs.
Ler a seguir: Definir e impor a segurança do PowerShell no nível da empresa.
