ジェフリー・ヒックス氏とのサイバーセキュリティ講演:PowerShellは優れたハッキングツールですか?

サイバーセキュリティの話のこのエピソードでは、私はJeffrey Hicksを持っています。 彼はPowerShellの絶対的な専門家です。 彼はインフラ分野で25年以上の経験を持っています。 彼はPowerShellの専門分野でMVPも務めています。 あなたは[email protected]と彼のブログで彼を見つけることができます:jdhitsolutions.com

ポーラ:

私は自分で浸透テスターであり、PowerShellは管理者や他の専門分野の他の人々のように、誰にとっても人気のあるツールになっていることに気付きました。 私はハッキングのためにPowerShellを使用しています。 しかし、PowerShellは良いハッキングツールになると思いますか? それについてのあなたの感じは何であるか。

:

これはいつも出てくる PowerShellが最初に出てきたのは、VBScriptの時代から来たばかりで、Melissa、ILOVEYOU、そしてそれらすべての醜いものがあり、誰もが「ああ、いや、Microsoftは再び私たちにそれをするつもりで”まあ、はいといいえ。 PowerShellは素晴らしい管理ツールです。 それはITプロのためです。 彼らは非常に少ない作業で行われた作業の膨大な量を得ることができます。

当然のことながら、あなたがハッカーや悪い俳優であり、あなたが本当にすぐに悪いことの多くを取得したい場合は、必ずPowerShellは、あなたがすべてのビルトインコマンドリストを持っているだけでなく、あなたがデモ列車の仕事に直接アクセスできるだけでなく、主に使用するのに最適なツールです。 あなたが開発者の背景を持っているならば、あなたが最初にアクセスを得るならば、あなたがすることができることは膨大な量があります。

あなたがアクセス権を持っていれば、すでにボックスを所有している場合、PowerShellを使用しているという事実は本当に無関係です、あなたはすでにbad doo-dooに しかし、確かに、私が悪い人であり、私のトラックをクリーンアップするなど、すぐに多くのことをやりたいのであれば、PowerShellはそのための完璧なツールです。

ポーラ:

特に、我々はあなたがより多くのハッキング活動であなたを助けることができるダウンロードして自由であることを得ることができるので、多くの異

:

もちろん

ポーラ:

他にもいくつかのMimikatzがPowerShellで書かれています。 PowerShellを使用するだけで、資格情報を盗むことができます。 私は個人的にそれがクールだと思うもの,PowerShellのハッキングケースの中で,それはアンチウイルスによって認識されているものではありません,右?

:

PowerShell自体がアプリケーションでホストされている必要があるのは、管理エンジンだからです。 CmdプロンプトからPowerShellエンジンを起動することも、メモリ内で考えることもできるので、アンチウイルスのものは必ずしもそれを検出できません。 それは多分アンチウイルスが検出できるものであるため、人々がスクリプトを実行しようとしているようなものではありません。 しかし、いいえ、アンチウイルスはそれを行うことはできません。

PowerShellバージョン5.1では、Microsoftが実際にロギングをラチェットしているため、”Ops、私は侵害されました”とすぐに知ることはできないかもしれませんが、事実の後に戻ってすべてのログを掘り下げて識別することができます。 少なくとも、フォレンジック、リカバリの観点からは、以前のバージョンのPowerShellで行ったよりもはるかに多くの情報が得られました。

ポーラ:

そして、それは右、とてもアクセス可能ですか?

:

それは非常にアクセス可能です。

私たちはPowerShellを恐れる必要がありますか?

ポーラ:

PowerShellの観点からは、一般的に、それは人々が恐れているツールでもあるかもしれないので、私は疑問に思っています。 管理者は、PowerShellがハッキングを防ぐために企業で使用される可能性があることを恐れています。

そんな人にアドバイスはありますか?

:

あなたが知っている、PowerShellのデフォルトでは、内蔵の安全ガードを持っています。 彼らはアクセスセキュリティの境界ではありません。 彼らは核発射ボタンの蓋のようなものです。 あなたは蓋を持ち上げるようになったが、あなたは最初にそれを持ち上げるために蓋に到達するためのアクセス権を持っている必要があります。 スクリプトの実行のようなものがあります。 既定では、PowerShellスクリプトを実行することはできません。 また、誰かが電子メールで悪意のあるスクリプトを取得し、それをダブルクリックした場合、PowerShellスクリプトを実行するつもりはありません。

あなたは確かに管理者としてそれを変更することができます。 あなたが何をしているのかわからず、完全に無能で、解雇されて何か悪いことが実行されている場合、または誰かがそのスクリプトの内容をコピーし、PowerShellプロンプトを開き、それを貼り付けます。 彼らが権限と必要なツールを持っていれば、PowerShellは喜んでそれを行います。 それは簡単な修正です。 管理者を含むユーザーには、昇格された資格情報で実行されていません。 だから、彼らのPowerShellセッションはほとんど常に下の管理者として開いています。 何らかの形で意図しないコードが実行されたとしても、それらはそれを行うために必要な権限を持っていません。 それは制限するのに最適な方法です。常識を見てください。

ちょうど十分な管理を見てみましょう

ポーラ:

いいね また、十分な管理があります。 それについてどう思いますか?

:

ちょうど十分な管理は、より安全なリモート処理環境を提供するために管理者のために設計されているリモート処理ツール—実際にはツールセットです。 つまり、PowerShell、それが本当に企業で輝く方法は、私は一度に1,000台のサーバーを管理できるということです。 クエリイベントログを見つけたい、システムイベントログの検索を確認する必要がある、サーバーが再起動されたもの、または侵害された他の兆候があ PowerShell remotingを使用すると、非常に簡単になります。

ただし、デフォルトでは、管理者である必要があり、すべてにアクセスできます。 しかし、JEAでは、制約付きまたは委任されたエンドポイントと呼ばれるものを作成できます。 私はまだサーバーに接続することができますが、私は言うことができます、”これらの人々だけがそのエンドポイントに接続でき、接続すると、これらのコマン”

ポーラ:

これはかなりクールです。

:

さらに、私は言うことができます、”あなたは何を知っていますか? これらのコマンドは実行できますが、これらのパラメータのみを使用でき、これらのパラメータの場合はこれらの値のセットのみを使用できます。”あなたは本当に彼らが何ができるかを制限することができます。 私たちは、ちょうど十分な管理ツールキットでそれを結ぶには、さらにこれを取ることができます。 ここでは、本質的にエンドポイントを押し出して誰かに言わせることができます: “あなたはあなたのことを行うために半時間を持っている、その後、そのエンドポイントがなくなっている、とあなたはもはやアクセ

PowerShellとremoting

マイクロソフトは、確かに多くの脆弱性があることを認識しています。 人々は確かにPowerShellとリモート処理を利用することができ、私たちはそれをより困難にするために物事をやっています。 教育はそれの大きい部分である。 私たちが言及したので、リモート処理のもう一つのことは、多くのITプロがPowerShellリモート処理をオンにすると、完了したと考えていることです。

しかし、そうではありません。 PowerShell remoting、それをオンにすると、Windowsで物事を管理する方法がないため、今すぐそれをオンにする必要があります。 それは本当に唯一の最初のステップです。 人々は、”ああ、よく私はファイアウォールルールを設定したり、IPsecを使用することができます。 私達が持っている各種各様のネットワーキング用具がある。 彼らは完全に忘れて、”ああ、それはPowerShellです、私は終わりました。「いいえ。 それは本当に最初のステップです。

環境のすべてのIPアドレスからすべてのサーバーにアクセスできるようにする必要はありません。 だろ?

ポーラ:

それは良い点です。

:

私はちょうど私のドメイン管理者が欲しい、私は自分のデスクトップが何であるかを知っています。 彼らだけがアクセス権を持っているので、私は賢明なネットワーク物事を行うことができます。

ポーラ:

あなたはそれをトリミングすることができます。

:

私はそれをトリミングすることはできませんので、それは私が多くのITプロが忘れていると思うものです。 彼らはちょうどPowerShellを参照してください。 彼らは興奮する。 彼らは行く:”ああ、リモート処理がオンになっている、私はすべてのこれらのボックスにアクセスすることができます、私は行ってもいいです。 あなたが本当に安全になりたいのであれば、あなたはあなたがしたいより多くの仕事を持っています。

PowerShellはインフラストラクチャのセキュリティをどのように向上させることができますか?

ポーラ:

うん、うん、絶対に。 我々はまた、我々の側から見て、例えば、コード実行防止ソリューションを実装したい企業があり、デフォルトでは、OutlookやWindowsでも、彼らはそれらを呼び出すように、デフォルトのルールをオンにする可能性を持っている、ということを確認してください。 デフォルトのルールは、Windowsフォルダにあるすべてのものとprogram filesフォルダにあるすべてのものを実行することができました。

彼らは、それがユーザーの手の中にあり、ユーザーが何をすべきか分からない場合、それも危険なツールである可能性があることを忘れていました。 それはまだユーザーですが、たとえば、PowerShellでデータを暗号化して身代金を要求することもできます。 私たちも考えていただけのアイデア。

さて、あなたはどう思いますか、PowerShellはどのようにインフラストラクチャのセキュリティを向上させることができ、ハッカーとの戦いに勝つために成功するために私たちのサーバーのための良いセキュリティツールにする方法ですか?

:

わかった、だから私の心に入ってくることのカップル。 まず、PowerShellバージョン5。1は現在、2008R2までのダウンレベルを含む利用可能であり、これはうまくいけば、それは人々が彼らのサーバー上で実行されている最小レベルです。 それは私が人々に展開することを奨励するものです。

READMEをチェックして、サーバー上で実行していないので、特別な制限があるかもしれませんが、5.1ではロギングなどの最新のセキュリティ機能がすべて まず、PowerShellの最新バージョンを実行していることを確認してください。 私が本当にセキュリティカテゴリに入る可能性があると思うもう一つの機能はDSCです: 所望の状態構成。

ポーラ:

それは素晴らしい機能です。

:

DSCを使用すると、「このサーバーをこのようにしたい」と言う構成を作成できるためです。”私はこれらのサーバー、これらのレジストリキー、これらの機能、何でも持っていたい。 中央サーバーからプルするか、サーバーにプッシュするようにサーバーを構成することができます。 でも、何かのキーはこちらかを設定できるサーバーから言うと、”こんにちは、チェックごとに15分間とな場合は、コンプライアンスの設定をリセットできます。”

ポーラ:

それは素晴らしいことです。

:

DSCは本当にフレームワークです。 私は、米国には国防総省の一部があり、DSCを使用していると言われています。 彼らは独自のツールのいくつかを構築しました、そして彼らは15分ごとよりも速くチェックしたいので、彼らはサーバーが準拠していないことを検出した場

彼らは新しいサーバーを起動するための自動化された手順を持っています。 それはすべて自動化されている、それはそのようなものです。 彼らはサーバーを殺すか、オフラインにするかもしれませんので、後でそれを分析して、”大丈夫、何が起こったのですか? これは本当の問題でしたか、または何人かのインターンは彼らがすることになっていなかった何かをしましたか?”しかし、DSCを使用することは、サーバーが常に私が望むように構成されていることを確認するための素晴らしい方法です。

ポーラ:

これは、実際にDSCは、例えば、インシデント対応計画の一部である可能性があるという興味深い結論に私をもたらします。 たとえば、問題が発生したとき、あなたが言ったように、サーバーのいずれかが影響を受けているハッキングされています。 私たちはそれを拭くだけです。 我々は、我々はそれが再び物事を構成するためにかなり良い働いている解決策を持っていることを完全な快適さを持っており、我々は操作に戻っています。

:

あなたがMicrosoftから聞くことになる全体のポイントは、これはJeffrey Snoverからのもので、IT担当者はペットのようではなく、牛のようにサーバーを扱い始める必要があ

ポーラ:

ああ、それは良い比較です。

サーバーをゼロから構築していた時代…

ジェフリー:

長い間、そして私は25年以上それにしてきました、私たちはサーバーを構築します。 サーバーを構築するには1週間かかります。 ハードウェアを注文する必要があります、あなたはすべてを入れて、手動ですべてを得るためにフロッピーディスクをロードする必要があります。 それは長い時間がかかるだろう。 あなたは愛情を込めてそのサーバーを手作りしたいと思います。 何かが間違っていたら、”ああ、私はあなたを修正します、赤ちゃん。 あなたは大丈夫です。”

もうそんなことはできません。 今のところ、一つには、サーバーがクラウドにアップしています。 彼らは廊下とそのすべての下ではありません。 今私達はちょうど決定し、私達はそれに豪華で、美しい名前を与えない。 それはただの数字です。 サーバーが危険にさらされたり、何らかの方法で障害が発生した場合、私はそれを修正しようとする時間がかかりません。 私はちょうどハンバーガーを作り、新しいマシンを起動し、構成を送信し、私は行ってもいいことを知っています。 絶対!.

ITプロになりたい人のためのJeffrey Hicksからのアドバイス

Paula:

それは非常にクールです。 ここに挑戦的な質問が来る。 質問は: 私たちが彼らのキャリアの冒頭にいる人を持っていて、彼らがあなたを見て、”ああ、私は彼のようになりたい、私はPowerShellのすべてのものを知り、真のオタクになりたい”と思っているなら、あなたはそのような人に何を助言しますか?

:

確かに、本やものがたくさんあります。 私は実際に私のブログに本質的なPowerShellリソースのページを持っています。 “私は何の本を見ることになっているのですか? 何のビデオ?”そして、すべてのこと。 明らかに、私はそれをたくさん書いて作成しました。 PowerShellを学ぶことの大きなことは、それが言語であるということです。 それは私がポーランド語を学ぼうとした場合、私はそれに流暢になるために毎日それを使用する必要があるようなものです。

あなたは毎日それを使用する方法を見つける必要があります。 それはそこにナンバーワンのテイクアウトです。

ポーラ:

だから、誰かがちょうど自分の時間を過ごすと、毎日そこにある、研究、本を読むことを学ぶ、らcetera必要がありますか?

:

あなたは一日一回、いくつかのコマンドのヘルプトピックを読むよりも何もしない場合でも。

ポーラ:

わかった そうすることができます。

ジェフリーのように、外国語で一つの単語を学ぶように:

その通り 何か新しいことを学ぶ。 しかし、あなたはそれを使用する必要があります。

より高度なもののためのアドバイス…

ポーラ:

確かに、そして高度な人はどうですか。 あなたは管理者とインフラストラクチャを持っていて、彼はもちろん、彼が管理するすべてのものを知っているようなものです、または彼女が管理し、基本的にこの男はPowerShellでもっと知りたい、より良くなり、流暢になりたいと思っています。 あなたはそのような人にどのようなアドバイスをしますか?

:

私は彼らに実際にアドバイスの二つの小さな作品のようなものを与えるつもりです。 一つは、それが正しいことだからだけでなく、自分の考えを定式化しようとしているという事実においても、あなたの知識を振り向かせて若い人と共 “わかりました、私はいかに私が知っているものを伝達し合うか、または共有する行っているか。”あなたは、”ああ、多分私はそれを知らないだけでなく、私がすべきであることを実現することができます。 私は戻ってブラッシュアップする必要があります。”あなたは誰かを教えるためにしようとすると、もう少し学ぶ、あなたは本当にそれを自分で学ぶしかありません。

それはナンバーワンになります。 第二は、あなただけの次のレベルに毎日それを使用して、このアイデアを取る必要がありますです。 Dsc構成を作成する人と、侵害された場合にフォレンジック分析を提供するためにサーバーを監視するために使用するPowerShellツールである必要があります。

.NET frameworkのような新しいことを学ぶ必要があります。 あなたは、高度なのいくつかを学ぶ必要があります。 あなたは考え始める必要があります。 秘密のハッカーの会議のいくつかに行き、悪い方法を学び、方法を見つけなさい、”わかりました、私はPowerShellでそれをいかにしてもいいですか。”より積極的にしようとする。

ポーラ:

あなたが何かを知っているように感じるなら、あなたの祖父にこれを説明することによってそれを完全にテストすることができるという少し言 そして、最新の技術は、私の祖父はのようになるだろう、”あなたは何を話していますか?「しかし、PowerShellではこのように同じかもしれませんか? あなたは若い人にそれを説明することができなければなりません。

:

誰かに説明したり、誰かに教えることができないなら、あなたはそれを十分に知らない。

ポーラ:

正確に、正確に。Powershellで夢を見るとき…

Jeffrey:

私はPowerShellをベータ版から使用しています。 私は最初の本の一つを共同執筆しました。 私は寝ると、「PowerShellで何ができるのか」と夢を見ます。”

ポーラ:

あなたはPowerShellで夢を見ますか?

:

私は実際にPowerShellで夢を見ています。

ポーラ:

マジで? これはとても面白いです。 聞いてもいいですか、どんな感じですか?

:

私は何か、私が取り組んでいるいくつかのスクリプトについて夢を見ます。 または私は次の日に仕事をしたいいくつかのプロジェクト。 私は、”ああ、ああ、それは私がその問題を回避するつもりだ方法です。”はい、そう、はい、私はそうです。 あなたが外国語を学んでいるとき、あなたがその言語で夢を見始めるなら、あなたはそれを学びました。

ポーラ:

私は英語ですべての時間を働いているので、まあ、私は、例えば、英語で夢を見ています。 私が寝るとき、私は”大丈夫”のように思う私は英語で始めている、そして私は実現する、”まあ、ねえ、待って、私はポーランド語だので、多分私は私の母国語で考えこんこんこんにちは、私は、私は、私は、私は、私は、私は、私の母国語で考える必要があります。”しかし、それはそのように動作しません、ええ?

:

それはあなたが本当に持っていることを示しています。

ポーラ:

あなたはその奥深くにいます。

:

あなたはそれを吸収し、それが何であるかを知っています。 はい、私はPowerShellで夢を見ていることを皆に告白しています。

ジェフリー-ヒックス

ランチの月にPowerShellを学ぶ

ポーラ:

それは良いことです。 さて、素敵な洞察をジェフに感謝します。 私たちのインタビューを少し要約することができると思います。 私たちはそれを話していた:

  • PowerShellはハッキングツールかもしれませんが、それは管理者のためのものです。
  • 特定のハッキング段階で使用する可能性があれば、悪者にも使用することができます。
  • ちょうど十分な管理はまた、誰かの手でPowerShellの機能を制限するための非常に素晴らしい解決策です。
  • 非常に多くの異なる可動部分があり、それは単なるフレームワークであるため、目的の状態構成を構成するのは少し挑戦です。

ジェフリー:

それは単なるターンキーではなく、私は設定を行うことができます、私は完了です。 そこに動く部分がたくさんあり、あなたはそれがあなたの環境に収まるように起こっているかを決定する必要があります。 うん、DSCはここで重要な部分です。

ポーラ:

これは重要な部分であり、PowerShellに堪能できるようにするためには、このように要約したり、さまざまな種類のPowerShell関数などに焦点を当てたり、少なくとも一日あたりのCMDの長さを知ることができれば、少なくとも一日あたりの時間を費やさなければならない。

:

PowerShellで最も人気のある書籍の1つは、Don Jonesと共同執筆したものです。

彼はあなたが昼休みの間に章を読むことを約束しています。 章を読み、練習をし、月の間に、少なくとも堪能であるために十分なPowerShellを知るべきである。 あなたはそれを100%知らないだろうが、あなたはそれが始まる十分に知っているでしょう。

ポーラ:

そんなにありがとう,うまくいけば,あなたたちはそれを好きで、あなたがジェフに、またはこのインタビューについて、または自分自身にいくつかの質問

このインタビューは好きでしたか? あなたが本当にサイバーセキュリティについて知っているどのくらい参照してください! ポーラJanuszkiewiczに対して自分自身をテストします。

>>>彼女のハードコアのWindowsセキュリティクイズを取る<<<

コメントを残す

メールアドレスが公開されることはありません。