Início / server / Perguntas / 732500
Accepted
Lieven Keersmaekers
Asked: 2015-10-30 04:37:50 +0800 CST

Implicações de segurança do Powershell Remoting adicionando usuários a WinRMRemoteWMIUsers

  • 772

Em nosso fluxo de trabalho atual, precisamos fazer RDP para vários servidores apenas para saber se um serviço está funcionando. Não temos direitos de administrador para esses servidores, mas temos permissão para visualizar, iniciar e interromper serviços.

Em vez disso, gostaríamos de usar o Powershell Remoting. Algo como 

 (1..8)|%{gsv -c "server$($_" -n "*ourservice*"}

seria mais fácil e mais rápido de fazer.

Estou correto ao adicionar nossos usuários ao WinRMRemoteWMIUsersgrupo

  • Podemos executar o comando (nossa preocupação) .
  • Não podemos fazer nada no sistema que não poderíamos estar fazendo agora apenas por RDP'ing para ele (preocupação do gerenciamento de segurança) .

Editar

O seguinte extrato retirado de Secrets of Powershell Remoting parece abordar as preocupações de segurança

powershellorg · Segredos do PowerShell Remoting

Nem o PowerShell nem o Remoting são uma "porta dos fundos" para malware

Este é um grande equívoco. Lembre-se de que, por padrão, o PowerShell não executa scripts. Ao fazer isso, ele só pode executar comandos para os quais o usuário que está executando tem permissão para executar - ele não executa nada em uma conta superprivilegiada e não ignora as permissões existentes nem a segurança.

e

Resumindo: devido à forma como funciona, o PowerShell Remoting não permite que nenhum usuário, autorizado ou não, faça algo que não poderia fazer por uma dúzia de outros meios

security

1 respostas

  1. Best Answer

    Não podemos fazer nada no sistema que não poderíamos estar fazendo agora apenas por RDP'ing para ele (preocupação do gerenciamento de segurança).

    O risco é que um invasor pode ter acesso via PowerShell se uma conta desse grupo for comprometida. Avaliar o risco desse acesso e os controles de compensação é algo que você precisa determinar com base em seu ambiente.

    Para responder ao seu acompanhamento, não acredito que alguém possa fornecer uma suposição/conclusão geral de que a conta também possa fazer logon usando o RDP. Se a(s) conta(s)/servidor(es) estiver(em) configurado(s) para smartcard necessário, não, eles não poderão fazer logon usando RDP.

    Segurança é avaliar riscos e implementar controles de compensação. Uma contraproposta construtiva pode ser sugerir:

    • Use o firewall para limitar o acesso à rede do PowerShell Remoting para computadores administrativos específicos/hosts de salto (tcp/5985 e/ou tcp/5986).
    • Use a Diretiva de Grupo para limitar/impor a associação de WinRMRemoteWMIUsers a grupos de domínio específicos.
    • Permita apenas associação de contas autorizadas nesses grupos de domínio específicos.
    • Implemente a auditoria da atividade do PowerShell/WinRM/WinRS e envie/inclua esses logs de eventos nos eventos que a equipe de segurança envia de volta ao coletor central de logs de eventos (supondo que eles façam isso). Os logs de eventos internos para PowerShell e WinRM são realmente muito fracos a esse respeito, mas você pode usar o SysInternals SysMon para isso. Aqui está uma amostra:

    Linha de comando de evento de exemplo Remoting do PowerShell:

    Auditoria SysMon PSRemote

    Linha de comando de evento de exemplo do WinRS:

    Auditoria SysMon WinRS

    • 5

relate perguntas