Recomendaciones para firmar un script de Windows PowerShell

Hola geek ! Aquí Federico en un nuevo tutorial para ustedes !
Espero que les solucione su problema y nos vemos en el próximo tutorial

Hay muchas ventajas de utilizar Windows PowerShell respecto al símbolo del sistema más popular. Pero utilizar PowerShell sin firmar digitalmente scripts os puede dejar vulnerable a los ataques.

En este post se explicará la importancia de las firmas de los scripts de PowerShell y se mencionarán algunas prácticas recomendadas para que sus scripts se mantengan seguros.

¿Qué es Windows PowerShell?

Windows PowerShell fue diseñado para sustituir el símbolo del sistema. Al igual que el símbolo del sistema, PowerShell utiliza un entorno de línea de comandos que da acceso a los servicios del sistema operativo.

Aunque las órdenes del símbolo del sistema todavía funcionan a PowerShell, este último puede ejecutar operaciones más complejas, tales como cambiar el nombre de archivos en una carpeta.

PowerShell se basa en el marco .NET. Es compatible con Windows, MacOS y Linux.

Dónde encontrar PowerShell Windows 10

La forma más rápida de acceder al Windows PowerShell es mediante la función Ejecutar. ir a correr (Windows + R) y escriba PowerShell. Esto debería iniciar Windows PowerShell.

También puede ir a empezar y en la barra de búsqueda, escriba PowerShell. El programa debería salir como una de las sugerencias. Haga clic para iniciar o haga clic con el botón derecho del ratón y seleccione Ejecutar como administrador para hacer cambios a nivel de administrador.

¿Qué es un script PowerShell?

Los scripts PowerShell permiten a los administradores del sistema ejecutar órdenes que les permitan gestionar los sistemas operativos mediante líneas de comandos. A PowerShell, estas órdenes se denominan cmdlets. Aunque los laicos pueden encontrar confusos los cmdlets, los administradores lo hacen más fácil de utilizar en comparación con el anterior estándar.

Puede utilizar el Bloc de notas para escribir scripts y guardarlos con la extensión de archivo .ps1 de manera que se reconocen como scripts PowerShell.

Como medida de seguridad, los archivos guardados con esta extensión no se pueden ejecutar haciendo doble clic.

¿Por qué firmar un script?

Firmar vuestros scripts hará dos cosas. Un: autenticará que las personas que usan el guión también son los autores del guión. Dos: se asegurará de que los scripts no se hayan manipulado de ninguna manera.

Políticas de grupo

Un sistema tendrá asignada una política de grupo. Esto afectará la forma en que su sistema tratará los scripts que se ejecutan en el ordenador.

  • restringido – No se ejecutarán scripts. Esta es la configuración predeterminada.
  • Firmado a distancia – Puede ejecutar scripts que haya creado usted o un editor de confianza.
  • AllSigned – Cualquier script que se cree localmente o se baje se puede ejecutar siempre que esté firmado digitalmente.
  • sin restricciones – Ejecute cualquier script después de la confirmación.
  • bypass – Ejecute cualquier script sin necesidad de confirmación.

Puede cambiar la política mediante la orden Set-ExecutionPolicy.

SET-EXECUTIONPOLICY -EXECUTIONPOLICY <POLICY NAME>
-SCOPE <SCOPE NAME>

al sustituir por uno de los valores de las políticas de grupo y se sustituye por uno de los siguientes:

  • proceso – Afecta sólo la sesión actual de PowerShell.
  • usuario actual – El cambio sólo afectará al usuario actual.
  • LocalMachine – Todos los cambios realizados afectarán a todos los usuarios del ordenador.

Por ejemplo, si desea una política de RemoteSigned donde la política se implemente a todos los usuarios, utilice esta orden:

SET-EXECUTIONPOLICY -EXECUTIONPOLICY REMOTESIGNED -SCOPE
LOCALMACHINE

Recomendaciones de PowerShell

Es posible que no pueda desactivar PowerShell por motivos prácticos. Pero hay cosas que puede hacer para evitar que la gente lance un ataque en su sistema.

Utilice el modo de idioma restringido PowerShell

El modo de idioma restringido elimina el soporte de funciones avanzadas, como las llamadas a .NET y la API de Windows. Las herramientas de ataque PowerShell se basan en estas funcionalidades, por lo que la falta de apoyo pondría en suspenso cualquier ataque.

Para activar el PowerShell mediante la política de grupo, abra la política de grupo y vaya a Configuración del ordenador > preferencias > Configuración de Windows > medio ambiente.

Utilice PowerShell v.5 con AppLocker y Device Guard

La versión 5 de PowerShell tiene funciones de seguridad integradas que la hacen mejor para entornos empresariales. Cuando se combina con AppLocker, bloquearía personas de ubicaciones no verificadas.

Una característica llamada Device Guard también se puede utilizar para aprovechar funciones de hardware avanzadas a las aplicaciones de la lista blanca. También puede aplicar el modo de idioma restringido.

Registro de actividad de PowerShell

La supervisión de la actividad para el PowerShell se puede habilitar editando la política de grupo. directorio activo, Por ejemplo, es un script que registra el uso del cmdlet. GroupPolicy
hace lo mismo, pero registra el uso del cmdlet de política de grupo.

Debe alimentar los registros a un sistema central de registro para que sean de utilidad. Configure los registros para enviar alertas de métodos de ataque conocidos.

Deja un comentario