【51CTO.com快譯】PowerShell是一個巨型的Windows工具箱，它使得Windows管理員能夠自動執(zhí)行各種任務(wù)，如：循環(huán)日志、部署補丁和管理用戶。無論是特定的Windows管理工作還是與安全相關(guān)的任務(wù),如：管理證書和尋找攻擊活動,PowerShell總有一種方法可是實現(xiàn)。

說到安全，有人可能已經(jīng)創(chuàng)建了一個PowerShell腳本或是模塊來處理其工作。微軟擁有一個腳本的社區(qū)庫，那里提供了處理各種安全事務(wù)的腳本，如：滲透測試、證書管理、和網(wǎng)絡(luò)取證等。

鑒于一些預(yù)設(shè)好的PowerShell能夠減輕Windows管理員的工作負荷，就請隨我一起來看看下面的各個模塊是如何能提高您的Windows系統(tǒng)和網(wǎng)絡(luò)安全的吧。

[[180606]]

系統(tǒng)加固

一旦進入您的網(wǎng)絡(luò)，攻擊者通常需要一些時間來偵察學(xué)習(xí)網(wǎng)絡(luò)的拓撲結(jié)構(gòu),以發(fā)現(xiàn)其它的系統(tǒng)，并通過找到額外的認證憑證來跨過網(wǎng)絡(luò)去入侵其它的系統(tǒng)。其目標當然是定位最敏感的信息的存儲位置并使之漏出。

以下的PowerShell腳本就能使得偵察活動難以執(zhí)行。

從多臺計算機上將多個用戶從本地管理員組里刪除掉。誠然用戶可能因為一些原因被添加到本地管理員組里。例如：一個賬戶可以被IT用于故障診斷的意圖或是為了創(chuàng)建一臺機器。但無論如何,在本地管理員組里包括多個用戶卻是一個安全風(fēng)險,因為攻擊者完全可以竊取這些認證憑證。Remove-LocalAdmins Masive腳本則可以查看所有計算機上的從一個文件中所羅列出的用戶信息，并集中到一個指定的文本文件里,且刪除這些用戶。

該腳本需要用一個具有足夠權(quán)限的賬戶來運行，以訪問到其它機器上來刪除用戶。

加固SAM并遠程訪問Windows 10。攻擊者可以通過SAM-Remote協(xié)議來遠程訪問Windows安全帳戶管理器(SAM)，憑借著域服務(wù)器，它能了解所有的域和本地用戶組成員以及網(wǎng)絡(luò)中路由表等信息。默認情況下, 任何在網(wǎng)絡(luò)中的具有合法身份的用戶可以通過SAMR來遠程訪問SAM。當然Windows 10的年度更新已改為默認只有管理員是限制訪問的。

SAMRi10允許管理員修改網(wǎng)絡(luò)中所有Windows10和Windows Server 2016系統(tǒng)的遠程SAM的默認訪問權(quán)限，其得心應(yīng)手之處在于：攻擊者將不能輕易的獲得本地管理員或其他特權(quán)帳戶的認證憑證。

請注意,SAMRi10只適用于Windows10和Windows Server 2016。同樣的改變可以通過Windows10的 1607及其以后版本的組策略來實現(xiàn),因此該PowerShell模塊僅僅提供了另一種方式來完成相同的任務(wù)。

將應(yīng)用程序添加到微軟增強緩解體驗工具包(Microsoft Enhanced Mitigation Experience Toolkit，簡稱：EMET)中。EMET不接受文件名通配符，這意味著當一個應(yīng)用程序的名稱發(fā)生更改時(例如：每個版本的Adobe Flash Player有包含版本號的不同文件名)，EMET就需要更新。管理員使用EMET來保護個人應(yīng)用程序，并使用Configure_EMET來添加和刪除應(yīng)用程序到其檢測列表中。不過，該腳本只適用于Windows 7和8。

加固網(wǎng)絡(luò)會話枚舉。攻擊者可以使用網(wǎng)絡(luò)會話的枚舉來檢索服務(wù)器上建立的會話信息,如：計算機名稱、IP地址、用戶建立會話的名稱、會話存活的秒數(shù)。根據(jù)這些信息,攻擊者便可知道給定用戶所登錄過的所有計算機。

默認情況下,任何具有合法身份的用戶都可以執(zhí)行NetSessionEnum。Net Cease模塊通過移除合法身份的用戶組的執(zhí)行權(quán)限和向特定的會話添加權(quán)限來變更誰可以使用NetSessionEnum。Net Cease并不干擾防御人員遠程調(diào)用該方法的能力，而互動/服務(wù)/批處理的登錄會話仍然能夠本地調(diào)用之。

Windows的管理

PowerShell使得管理員能夠更好且更容易的管理控制Windows系統(tǒng)。雖然這種靠“黑掉”注冊表來實現(xiàn)各種操作，且會導(dǎo)致更多的問題并非是一個優(yōu)雅之舉，但PowerShell可以更容易的修改訪問控制列表(ACL),添加或遠程登錄個別主機上的用戶，并管理組策略設(shè)置——這些只是冰山的一角。

在Windows里，安全的最佳實踐是：盡可能使用最小權(quán)限帳戶的模式。因此,就算一個會話是盜用,攻擊者也只能禁錮于該用戶的較少特權(quán)憑證。而對于需要一些特權(quán)訪問的情況，管理員則可以使用“以一個進程運行腳本(Run Script as a Process)”的模式來以另一個身份去運行其它的PowerShell腳本。StartScriptAsProcess就能創(chuàng)建一個新的流程并明確告訴操作系統(tǒng)所使用的另一個身份，而不是那個與登錄用戶相關(guān)聯(lián)的身份。

SHA1證書簽名檢查。證書管理是一項非常復(fù)雜的任務(wù),而將SHA-1證書用更安全的替代方案予以更換已經(jīng)是迫在眉睫的了。該SHA1CertSigCheck模塊將有助于管理員判斷證書是否被SHA-1所簽發(fā)。而該腳本的輸出還指明了證書是否是以TLS的方式進行安全的網(wǎng)絡(luò)通信或是去簽發(fā)了Windows的可執(zhí)行文件。

雖然管理員也能夠查找非根 CA的證書,但該腳本并不告知其是否為公共CA所簽發(fā)的證書。由于它只能一次檢查一張證書或可執(zhí)行程序,而且并不主動發(fā)現(xiàn)它們,因此管理員仍然必須先人工找到所有的證書。

文件系統(tǒng)安全Powershell模塊(版本)4.2.3。用Windows PowerShell管理文件和文件夾的權(quán)限并不太容易,但NTFSSecurity模塊提供了為NTFS驅(qū)動器定制化的cmdlets,例如獲取當前的權(quán)限列表,添加和刪除訪問控制項(ACEs),以及設(shè)置繼承等。還有Windows商店的權(quán)限訪問控制項(ACEs)就在自主訪問控制列表(DACL) 之中。目前腳本中心存儲庫所鏈接下載的是幾年前的1.3版本，而最新版本4.3.2,可在GitHub托管平臺上獲得。

備份和恢復(fù)文件夾的訪問控制列表。跟蹤所有訪問控制列表的變化可能會相當棘手。有相當多的腳本聲稱能夠在ACL已被修改時予以顯示,但Track-NTFSChanges卻使用了一個非常簡單的方法。它將整個ACL備份為一個XML文件,并在下一次該腳本運行時,會檢查對比當前列表和以前的備份是否有變化。如果有,該模塊有讓管理員恢復(fù)舊的權(quán)限的功能。

不幸的是,雖然該腳本可以顯示已被修改的ACL，它不能告知誰導(dǎo)致了該變化。因此管理員仍然必須通過日志挖掘來發(fā)現(xiàn)詳細的信息。

捕獵攻擊者

PowerShell不僅僅是一種管理語言，管理員們還可以運用PowerShell來執(zhí)行正則表達式的模式匹配，以發(fā)現(xiàn)偽造的惡意文件、監(jiān)控網(wǎng)絡(luò)、分析日志中的安全事件。例如：管理員可以為可疑文件創(chuàng)建一個SHA256密碼散列,并使用Get-VirusTotalReport模塊來查詢VirusTotal服務(wù)(一個必需的API密匙)以確定該文件是否為一個已知的惡意軟件樣本。類似的腳本,Verify-AutoRun,查找文件中是否添加了自動運行到系統(tǒng)中，并通過查詢VirusTotal來發(fā)現(xiàn)潛在的惡意軟件樣本。它并不自己去獲取條目,因為它實際上是一個Autorunsc.exe和SigCheck.exe的包裝器，不過，這已經(jīng)夠方便了。

修改本地管理員組。攻擊者為了其可以執(zhí)行一系列活動的目標，會在系統(tǒng)上創(chuàng)建一個本地管理員帳戶的。Detect-LocalAdmin腳本定期查詢多臺計算機并比較本地管理員組的用戶列表來發(fā)現(xiàn)任何可能的更改。如果找到一個新用戶,該腳本將日志記錄該事件并發(fā)送一封電子郵件通知以提醒管理員可能存在的泄漏。

Kerberos黃金票據(jù)檢查。黃金票據(jù)攻擊發(fā)生在當攻擊者擁有了對活動目錄的管理員或當?shù)毓芾碓L問權(quán)限后，操縱Kerberos票據(jù)以獲得未經(jīng)授權(quán)的訪問權(quán)限。攻擊者可以執(zhí)行多種身份驗證的任務(wù)或是制造Kerberos票據(jù)授予類型的票據(jù)(TGT)來為用戶和并不存在服務(wù)賬戶創(chuàng)建其它的Kerberos票據(jù)。GoldenTicketCheck模塊檢查那些為異常TGT緩存的計算機Kerberos票據(jù),比如說那些生命周期并非為默認10個小時的期限。如果一個異常TGT或服務(wù)票證被發(fā)現(xiàn),PowerShell控制臺將顯示相關(guān)的細節(jié)并管道輸出其結(jié)果到一個文本文件里。

Get-LogonLocations。攻擊者“尋獵”特權(quán)帳戶并試圖登錄到網(wǎng)絡(luò)中的其它系統(tǒng)。PowerShell的Get-LogonLocations模塊搜索所有域控制器上與指定用戶相關(guān)聯(lián)的登錄事件。其輸出可以顯示那些攻擊者所試圖用特權(quán)帳戶登錄的所有電腦。該腳本是比較通用的,因為通過被修改，它可以查看到指定電腦,而非所有域控制器;以及指定的用戶,而非所有0層賬戶組的成員的不同事件日志。盡管該模塊能運行在所有新的Windows版本：從Windows 7到10,但貌似它不支持Windows Server 2003,2008,或2012 R2。在GitHub上也有它的一個版本。

腳本化安全

PowerShell使IT能自動化運行一些更為費時或乏味的Windows管理事務(wù)。與其它任何從互聯(lián)網(wǎng)下載，然后盲目的執(zhí)行的情況相比，使用這樣能夠處理事務(wù)的腳本是非常令人心悅的。您可以在實際運行腳本之前，通過代碼逐步審查以確保您能理解其真正含義。如果某些代碼不合理,您可以在找出其原因的同時,加以注釋或?qū)ふ伊硪粋€替代的代碼。因為可能需要提升特別權(quán)限，許多這些腳本會要求您在執(zhí)行之前進行解禁(unblock)。所以再提醒一次：檢查代碼是關(guān)鍵!

當然,您應(yīng)確保自己已經(jīng)安裝了PowerShell。PowerShell是被默認安裝在Windows10和Windows 10的年度更新上的。Windows 8和8.1附帶的是PowerShell 4。而在Windows 7上，管理員將需要手動安裝PowerShell。那些不太習(xí)慣使用PowerShell的管理員應(yīng)該參考Woody Leonard的指南作為開始。

原文標題：10 essential PowerShell security scripts for Windows administrators，作者：Fahmida Y. Rashid

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】