Powershell Remoting implicações de segurança adicionando usuários ao WinRMRemoteWMIUsers

Navegue suas respostas
2

No nosso fluxo de trabalho atual, temos que RDP para vários servidores apenas para saber se um serviço está em funcionamento. Não temos direitos de administrador para esses servidores, mas temos permissão para visualizar, iniciar e parar serviços.

Gostaríamos de usar o Powershell Remoting. Algo como 

 (1..8)|%{gsv -c "server$($_" -n "*ourservice*"}

seria mais fácil e rápido de fazer.

Estou correto ao adicionar nossos usuários ao grupo WinRMRemoteWMIUsers

  • Podemos executar o comando (nossa preocupação) .
  • Não podemos fazer nada ao sistema que não poderíamos estar fazendo agora apenas pelo RDP ' (preocupação do gerenciamento de segurança) .

Editar

Após o extrato retirado do Secrects of Powershell, o Remoting parece adicionar as preocupações de segurança

powershellorg · Segredos do PowerShell Remoting

Neither PowerShell nor Remoting are a "Back Door" for Malware

This is a major misconception. Keep in mind that, by default, PowerShell does not execute scripts. When it does so, it can only execute commands that the executing user has permission to run - it does not execute anything under a super-privileged account, and it bypasses neither existing permissions nor security.

e

Bottom line: Because of the way it works, PowerShell Remoting does not allow any user, authorized or not, to do anything that they could not do through a dozen other means

    
por Lieven Keersmaekers 29.10.2015 / 13:37

1 resposta

5

We can't do anything to the system we couldn't be doing right now by just by RDP'ing to it (security management's concern).

O risco é um invasor ter acesso via PowerShell se uma conta desse grupo for comprometida. Avaliar o risco desse acesso e dos controles de compensação é algo que você precisa determinar com base no seu ambiente.

Para responder ao seu acompanhamento, não acredito que alguém possa fornecer uma suposição / conclusão geral de que a conta também possa fazer logon usando o RDP. Se a (s) conta (s) / servidor (es) estiver (em) configurada (s) para o cartão inteligente necessário, não poderão iniciar sessão utilizando o RDP.

Segurança significa avaliar riscos e implementar controles de compensação. Uma contraproposta construtiva pode sugerir:

  • Use o firewall para limitar o acesso à rede do PowerShell Remoting a computadores administrativos específicos / hosts de salto (tcp / 5985 e / ou tcp / 5986).
  • Use a Diretiva de Grupo para limitar / impor a associação de WinRMRemoteWMIUsers a grupos de domínio específicos.
  • Permitir apenas a participação de contas autorizadas nesses grupos de domínio específicos.
  • Implemente a auditoria da atividade do PowerShell / WinRM / WinRS e envie / inclua esses logs de eventos nos eventos que a equipe de segurança envia de volta ao coletor central de eventos (supondo que eles façam isso). Os logs de eventos incorporados para o PowerShell e o WinRM são realmente muito fracos a esse respeito, mas você pode usar SysInternals SysMon para isso. Aqui está uma amostra:

Linha de comando do evento de amostra do PowerShell Remoting:

LinhadecomandodoeventodeamostradoWinRS:

    
por 29.10.2015 / 13:51

Tags

Dois mailserver tecnologicamente diferentes (Postfix / Exchange) para um domínio logoff usuário específico de conexão quebrada