20 stycznia 2020

Autor: Stanisław Rogasik

Kategorie: Aktualności, Artykuł

Wiele narzędzi, które są używane przez administratorów, by wspomóc ich pracę, może zostać wykorzystanych na niekorzyść organizacji. Powershell jest świetnym przykładem takiego oprogramowania. Jak zabezpieczyć środowisko przed niebezpiecznymi działaniami z pomocą narzędzi ManageEngine?

Powershell jest potężniejszym interfejsem konsolowym, niż jego poprzednik Wiersz polecenia (CMD).
Jest on instalowany domyślnie, w każdym systemie, od Windows 7 do Windows Server 2019. Jest to świetne narzędzie dla administratorów, którzy chcą zautomatyzować pewne zadania. Pozwala na stworzenie wielu skryptów, które ułatwią pracę każdemu administratorowi.

 

Drugą stroną medalu jest fakt, że mogą go również wykorzystać hackerzy, którzy będą chcieli wykraść dane z naszego środowiska. Ponieważ jest zainstalowany na każdym systemie z Windowsem, w rękach nieodpowiedniej osoby może stać się niebezpiecznym narzędziem.
PowerShell posiada wiele funkcji, które mogą pozwolić np. na:

  • zdobycie dostępu do innych maszyn,
  • wykradanie danych z firmy,
  • wykonywanie niebezpiecznego (lub/i nieautoryzowanego) kodu na maszynach.

Przez zaawansowany poziom PowerShell’a, stał się on problematyczny w środowisku IT, gdyż pozwala na wykonanie wielu akcji, bez doinstalowania niezatwierdzonego oprogramowania.

Wyłączenie Powershell’a w środowisku nie jest również rozwiązaniem problemu, gdyż można go uruchomić na inne sposoby, m.in.:

  • Powershell jest procesem, który hostuje bibliotekę Management.Automation.dll
    Stąd możemy posłużyć się apletem .NET’a powerpick, który uruchomi nam Powershell’a.
  • Można pobrać przenośną wersję Powershell’a z GitHub’a, która pozwoli nam na dokładnie taki sam atak, jak przy użyciu zwykłego Powershell’a.

Z pomocą może przyjść nam ADAudit Plus, który pozwala na monitorowanie wykonywanych skryptów Powershell’owych.

ADAudit Plus pozwala prezentować takie kluczowe dane jak:

  • Użytkownik
  • Czas uruchomienia skryptu
  • Ścieżkę wykonania skryptu
  • Zawartość skryptu
  • Lokalizacje skryptu
  • Nazwę skryptu

Dzięki czemu możemy zweryfikować nasze środowisko, ustawić alerty oraz posiadać archiwalne dane, kto, kiedy, gdzie i jaki skrypt uruchomił.
Są to przydatne informacje, gdyż możemy rozpocząć weryfikację poczynań użytkownika w naszym środowisku.

ADAudit Plus prezentuje zawartość skryptu, po kliknięciu w przycisk „Details”.
Pozwala to na szybki podgląd użytych komend. Dzięki tej funkcjonalności, możemy od razu, z poziomu ADAudit Plus zweryfikować, co robi dany skrypt.
Jest to spore ułatwienie, gdyż skrypt mógł zostać w międzyczasie zmodyfikowany.
Nie musimy również łączyć się do odpowiedniego serwera i weryfikować skryptu.

ADAudit Plus pozwala audytować działania Twojego przedsiębiorstwa oraz uruchamianych skryptów w Twoim środowisku. Dzięki jego licznym funkcjom możesz w wygodny, kompleksowy i bezpieczny sposób kontrolować Powershell oraz jego zastosowanie w organizacji.

Chcesz dowiedzieć się więcej o narzędziu i możliwościach ManageEngine ADAudit Plus? Sprawdź naszą stronę!

 

20 stycznia 2020

Autor: Stanisław Rogasik

Kategorie: Aktualności Artykuł

Stanisław Rogasik

Stanisław Rogasik

ISAM Team Leader

Posiada obszerną wiedzę związaną z zarządzaniem Active Directory oraz zabezpieczaniem organizacji przed atakami z zewnątrz. Pasjonat bezpieczeństwa IT oraz konfiguracji całego środowiska, aż do najmniejszego elementu. Na co dzień zajmuje się zarządzaniem środowiskiem, bazami danych oraz dostosowywaniem rozwiązań pod nowe wymagania. W MWT Solutions odpowiedzialny za koordynację działu ISAM, wdrażanie i obsługę systemów technicznych marki ManageEngine z zakresu IT Operations Management, IT Security oraz Active Directory.

Newsletter. Bądź na bieżąco.

Kontakt

MWT SOLUTIONS S.A.
ul. Szyperska 14, 61-754 Poznań

+48 61 622 23 94

Napisz do nas