PowerShell / Windows: prácticas recomendadas de seguridad para habilitar la administración remota de Windows

Question

PowerShell / Windows: prácticas recomendadas de seguridad para habilitar la administración remota de Windows

#1 de Badlarry (1 votos)

1

Como lo indica el título, estoy buscando las mejores prácticas de la industria para habilitar la administración remota de Windows en una combinación de servidores Windows (desde 2000, 2003, 2008 / R2 y 2012) para permitir que PowerShell ejecute comandos en un servidor remoto.

¿Cuáles son algunas de las mejores prácticas de seguridad a seguir para limitar la superficie de ataque si un atacante compromete un sistema interno?

¿Se puede hacer algo para fortalecer los servidores de dominio que tienen WinRM habilitado?

Pensando en teoría aquí, una idea que viene a la mente es solo permitir WinRM para una cuenta de servicio específica que tenga autenticación de dos factores. Una contraseña de cuenta de dominio normal y un token de seguridad rodante reducirían las posibilidades de que esta cuenta sea secuestrada en caso de que se vea comprometida.

risk-management windows powershell

pregunta maxflipz 27.03.2015 - 06:12

fuente

1 respuesta

Lea otras preguntas en las etiquetas risk-management windows powershell

Malware (conectividad a internet) y defensa contra él ¿Es DDOS más común que DOS?

score 1 · Answer 1

Para mi servidor remoto PowerShell, utilizo Just Enough Administration, consulte:

enlace *

Espacios de ejecución únicos:

Esto le permite al usuario ejecutar secuencias de comandos en su propio espacio de ejecución después de que usted ejecute los comandos. Además, puede iniciar sesión significativamente mejor, y se basa en el SID del usuario que está invocando esos comandos.

Acceso restringido:

Puede restringir el acceso a scripts específicos de ciertos individuos o grupos. También puede utilizar CAS, Code Access Security, dado que está usando cualquier C #.

enlace

De esta manera puede evitar el uso de credssp y cualquier problema de autenticación de doble salto. Credssp permitirá ataques MITM, de lo contrario, tendría que crear un único usuario único y configurar su archivo de configuración de powershell para que se ejecute como ese usuario. La segunda sugerencia es horrible para la auditoría.

Utilizar JEA le permitiría restringir a los usuarios, auditar a esos usuarios y solo les permitiría ejecutar comandos específicos.