pl 
Wiele narzędzi, które są używane przez administratorów, by wspomóc ich pracę, może zostać wykorzystanych na niekorzyść organizacji. Powershell jest świetnym przykładem takiego oprogramowania. Jak zabezpieczyć środowisko przed niebezpiecznymi działaniami z pomocą narzędzi ManageEngine?
Powershell jest potężniejszym interfejsem konsolowym, niż jego poprzednik Wiersz polecenia (CMD). Jest on instalowany domyślnie, w każdym systemie, od Windows 7 do Windows Server 2019. Jest to świetne narzędzie dla administratorów, którzy chcą zautomatyzować pewne zadania. Pozwala na stworzenie wielu skryptów, które ułatwią pracę każdemu administratorowi
Drugą stroną medalu jest fakt, że mogą go również wykorzystać hackerzy, którzy będą chcieli wykraść dane z naszego środowiska. Ponieważ jest zainstalowany na każdym systemie z Windowsem, w rękach nieodpowiedniej osoby może stać się niebezpiecznym narzędziem.
PowerShell posiada wiele funkcji, które mogą pozwolić np. na:
- zdobycie dostępu do innych maszyn,
- wykradanie danych z firmy,
- wykonywanie niebezpiecznego (lub/i nieautoryzowanego) kodu na maszynach.
Przez zaawansowany poziom PowerShell’a, stał się on problematyczny w środowisku IT, gdyż pozwala na wykonanie wielu akcji, bez doinstalowania niezatwierdzonego oprogramowania.
Wyłączenie Powershell’a w środowisku nie jest również rozwiązaniem problemu, gdyż można go uruchomić na inne sposoby, m.in.:
- Powershell jest procesem, który hostuje bibliotekę Management.Automation.dll
Stąd możemy posłużyć się apletem .NET’a powerpick, który uruchomi nam Powershell’a. - Można pobrać przenośną wersję Powershell’a z GitHub’a, która pozwoli nam na dokładnie taki sam atak, jak przy użyciu zwykłego Powershell’a.
Z pomocą może przyjść nam ADAudit Plus, który pozwala na monitorowanie wykonywanych skryptów Powershell’owych.
ADAudit Plus pozwala prezentować takie kluczowe dane jak:
- Użytkownik
- Czas uruchomienia skryptu
- Ścieżkę wykonania skryptu
- Zawartość skryptu
- Lokalizacje skryptu
- Nazwę skryptu
Dzięki czemu możemy zweryfikować nasze środowisko, ustawić alerty oraz posiadać archiwalne dane, kto, kiedy, gdzie i jaki skrypt uruchomił.
Są to przydatne informacje, gdyż możemy rozpocząć weryfikację poczynań użytkownika w naszym środowisku.
ADAudit Plus prezentuje zawartość skryptu, po kliknięciu w przycisk „Details”.
Pozwala to na szybki podgląd użytych komend. Dzięki tej funkcjonalności, możemy od razu, z poziomu ADAudit Plus zweryfikować, co robi dany skrypt.
Jest to spore ułatwienie, gdyż skrypt mógł zostać w międzyczasie zmodyfikowany.
Nie musimy również łączyć się do odpowiedniego serwera i weryfikować skryptu.
ADAudit Plus pozwala audytować działania Twojego przedsiębiorstwa oraz uruchamianych skryptów w Twoim środowisku. Dzięki jego licznym funkcjom możesz w wygodny, kompleksowy i bezpieczny sposób kontrolować Powershell oraz jego zastosowanie w organizacji.
