Windows PowerShell est utilisé par de nombreux administrateurs informatiques à travers le monde. Il s'agit d'un cadre d'automatisation des tâches et de gestion de la configuration de Microsoft. Avec son aide, les administrateurs peuvent effectuer des tâches administratives sur les systèmes Windows locaux et distants. Cependant, récemment, quelques organisations ont évité de l'utiliser. en particulier pour l'accès à distance; soupçonner des vulnérabilités de sécurité. Pour dissiper cette confusion autour de l'outil, Ashley McGlone, ingénieur de terrain chez Microsoft Premier, a publié un blog dans lequel il explique pourquoi il s'agit d'un outil sûr et non d'une vulnérabilité.
Les organisations considèrent PowerShell comme une vulnérabilité
McGlone mentionne certaines des tendances récentes dans les organisations concernant cet outil. Certaines organisations interdisent l'utilisation de la communication à distance PowerShell; ailleurs, InfoSec a bloqué l’administration du serveur distant. Il mentionne également qu'il reçoit constamment des questions sur la sécurité de PowerShell Remoting. Plusieurs entreprises limitent les capacités de l'outil dans leur environnement. La plupart de ces entreprises s’inquiètent pour le remoting d’outil, qui est toujours chiffré, port unique 5985 ou 5986.
Sécurité PowerShell
McGlone explique pourquoi cet outil n'est pas une vulnérabilité - mais est en revanche très sûr. Il mentionne des points importants tels que cet outil est un outil d’administration neutre, pas une vulnérabilité. L’outil à distance de l’outil respecte tous les protocoles d’authentification et d’autorisation Windows. Il nécessite l'appartenance au groupe d'administrateurs locaux par défaut.
Il ajoute que l'outil est plus sûr que les entreprises:
“The improvements in WMF 5.0 (or WMF 4.0 with KB3000850) make PowerShell the worst tool of choice for a hacker when you enable script block logging and system-wide transcription. Hackers will leave fingerprints everywhere, unlike popular CMD utilities”.
En raison de ses puissantes fonctions de suivi, McGlone recommande PowerShell comme meilleur outil pour l’administration à distance. L'outil est livré avec des fonctionnalités qui permettent aux organisations de trouver la réponse aux questions telles que qui, quoi, quand, où et comment pour les activités sur vos serveurs.
Il a également donné des liens vers des ressources pour en savoir plus sur la sécurisation de cet outil et son utilisation au niveau de l'entreprise. Si le service de sécurité de l'information de votre entreprise souhaite en savoir plus sur cet outil, McGlone fournit un lien vers les considérations de sécurité de PowerShell Remoting. Il s'agit d'une nouvelle documentation de sécurité de l'équipe PowerShell. Le document comprend diverses sections informatives telles que ce qui est Powershell Remoting, ses paramètres par défaut, l’isolation des processus, le cryptage et les protocoles de transport.
L'article de blog mentionne plusieurs sources et liens pour en savoir plus sur PowerShell. Vous pouvez obtenir ces sources, y compris des liens vers le site Web WinRMSecurity et un livre blanc de Lee Holmes ici sur les blogs TechNet.
Lire la suite: Définition et application de la sécurité PowerShell au niveau de l'entreprise.
