PowerShell / Windows: best practice di sicurezza per abilitare Gestione remota di Windows

Question

PowerShell / Windows: best practice di sicurezza per abilitare Gestione remota di Windows

#1 da (1 voti)

1

Come indica il titolo, sto cercando le best practice del settore per abilitare Windows Remote Management su un mix di Windows Server (dal 2000, 2003, 2008 / R2 e 2012) per consentire a PowerShell di eseguire comandi su un server remoto.

Quali sono le migliori pratiche di sicurezza da seguire per limitare la superficie di attacco nel caso in cui un utente malintenzionato comprometta un sistema interno?

C'è qualcosa che può essere fatto per rafforzare i server di dominio con WinRM abilitato?

Pensando in teoria qui, un'idea che viene in mente è solo l'autorizzazione di WinRM per un account di servizio specifico con autenticazione a due fattori. Una normale password dell'account di dominio e un token di sicurezza mobile abbasserebbero le possibilità che l'account venga compromesso in caso di compromissione.

windows powershell risk-management

posta maxflipz 27.03.2015 - 06:12

fonte

1 risposta

Leggi altre domande sui tag windows powershell risk-management

Domanda di instradamento del tunnel VPN Malware (connettività internet) e difesa contro di esso

score 1 · Answer 1

Per il mio server remoto PowerShell, utilizzo Amministrazione Just Enough, per favore vedi:

link *

Runspaces unici:

Ciò consente all'utente di eseguire script nel proprio spazio di esecuzione dopo aver eseguito il proxy dei comandi. Inoltre, puoi accedere significativamente meglio e si basa sul SID dell'utente che sta invocando tali comandi.

Accesso limitato:

È possibile limitare l'accesso a script specifici da determinati individui o gruppi. Puoi anche utilizzare CAS, Code Access Security, a condizione che tu stia utilizzando qualsiasi C #.

link

In questo modo puoi evitare di utilizzare credssp e qualsiasi problema di autenticazione a doppio hop. Credssp consentirà attacchi MITM, altrimenti dovresti creare un singolo utente unico e impostare il tuo file di configurazione PowerShell su runas quell'utente. Il secondo suggerimento è orribile per l'auditing.

L'utilizzo di JEA consente di limitare gli utenti, controllare quegli utenti e consentire loro solo l'esecuzione di comandi specifici.