Szkolenie MS 40555 Microsoft Security Workshop: Implementing PowerShell Security Best Practices

Moduł 1: Podstawy PowerShell

Wprowadzony w 2006 roku, Windows PowerShell to język skryptowy, powłoka wiersza polecenia oraz platforma skryptowa zbudowana na platformie Microsoft .NET Framework. Pomimo określenia skryptowego, Windows PowerShell posiada szereg cech wspólnych dla języków programowania, w tym swoją obiektową naturę, możliwość rozszerzania, składnię podobną do C# oraz zdolność do bezpośredniej interakcji z klasami .NET, ich właściwościami i metodami. Głównym celem Windows PowerShell było pomoc specjalistom IT i zaawansowanym użytkownikom w kontroli i automatyzacji administracji systemu operacyjnego Windows oraz aplikacji działających na Windows. Wraz z wprowadzeniem .NET Core w 2016 roku, Microsoft rozszerzył zakres PowerShell również na inne platformy systemowe, co doprowadziło do projektu o otwartym kodzie źródłowym, hostowanego na GitHub, o nazwie PowerShell Core. Możesz używać PowerShell Core na macOS 10.12, różnych dystrybucjach systemów Linux 64-bitowych, oprócz systemu operacyjnego Windows 32-bitowego i 64-bitowego, w tym Windows 10 działającego na zaawansowanych urządzeniach ARM.

W tym module dowiesz się o podstawach PowerShell, w tym o jego architekturze, edycjach i wersjach oraz podstawach interakcji z PowerShell.

Lekcje:

• Przegląd Windows PowerShell
• Edycje i wersje PowerShell
• Uruchamianie PowerShell

Moduł 2: Operacyjne bezpieczeństwo PowerShell

Aby skorzystać z korzyści, jakie oferuje Windows PowerShell, jednocześnie minimalizując związane z bezpieczeństwem ryzyka, istotne jest zrozumienie podstawowych aspektów operacyjnego bezpieczeństwa Windows PowerShell. W tym module dowiesz się o wzmocnieniu bezpieczeństwa systemu operacyjnego poprzez wykorzystanie wbudowanych funkcji Windows PowerShell oraz technologii, które są częścią środowiska operacyjnego Windows PowerShell. Inny istotny aspekt do rozważenia w kontekście tego modułu to rola Windows PowerShell w eksploatacji bezpieczeństwa. Zgodnie z danymi empirycznymi, w większości przypadków Windows PowerShell jest używany jako narzędzie post-eksploatacyjne. Oznacza to, że w momencie uruchomienia sesji Windows PowerShell, atakujący już uzyskał dostęp do kontekstu bezpieczeństwa, w którym działa docelowy system lub użytkownik. To tego typu scenariusza ten moduł będzie się skupiał. W tym przypadku Windows PowerShell służy jako potężny i niezwykle elastyczny silnik do wykonywania arbitralnych zadań na lokalnych i zdalnych komputerach, co przypadkowo sprawiło, że Windows PowerShell stał się niezwykle popularny wśród administratorów systemów.

Oczywiście istnieją także inne typy ataków, które polegają na wykorzystaniu Windows PowerShell do uzyskania nieautoryzowanego dostępu do systemu docelowego. W takich scenariuszach Windows PowerShell pełni rolę narzędzia eksploatacyjnego. Będziemy eksplorować te rodzaje ataków w ostatnim module tego kursu.

Lekcje:

• Zarządzanie lokalnym wykonaniem skryptów PowerShell
• Zarządzanie zdolnościami zdalnego wykonania Windows PowerShell
• Zarządzanie zdolnościami zdalnego wykonania PowerShell Core
• Tryb językowy

Moduł 3: Wdrażanie bezpieczeństwa opartego na PowerShell

W poprzednim module dowiedziałeś się o wielu funkcjach związanych z bezpieczeństwem wbudowanych w Windows PowerShell oraz technologiach, które są częścią środowiska operacyjnego Windows PowerShell, pomagających w ich egzekwowaniu. Celem tego modułu jest przedstawienie najczęstszych i najefektywniejszych metod wykorzystania Windows PowerShell do wzmocnienia bezpieczeństwa systemu operacyjnego. Metody te obejmują: > Zabezpieczanie przed niezamierzonymi zmianami konfiguracji polegającymi na wykorzystaniu Konfiguracji Stanu Docelowego (DSC) PowerShell > Wdrażanie zasady najmniejszych uprawnień w scenariuszach zdalnej administracji przy użyciu Administracji Dokładnie Wystarczającej (JEA) > Śledzenie i audytowanie zdarzeń, które mogą wskazywać na próby eksploatacji, przy użyciu logowania Windows PowerShell

Lekcje:

• Konfiguracja Windows PowerShell DSC
• Administracja Dokładnie Wystarczająca (JEA)
• Audytowanie i logowanie Windows PowerShell

Moduł 4: Eksploatacje oparte na Windows PowerShell i ich łagodzenie

Organizacje nie mogą kompleksowo identyfikować luk w wykrywaniu i reagowaniu na bezpieczeństwo, skupiając się wyłą

cznie na strategiach zapobiegania naruszeniom. Zrozumienie, jak nie tylko chronić, ale również wykrywać i reagować na naruszenia, jest równie ważne "jeśli nie ważniejsze" niż podejmowanie działań w celu zapobieżenia naruszeniu w pierwszej kolejności. Planując najgorsze scenariusze poprzez Red Teaming (ataki i penetracje w świecie rzeczywistym), organizacje mogą rozwijać niezbędne zdolności do wykrywania prób eksploatacji i znacznie poprawić reakcje związane z naruszeniami bezpieczeństwa.

Red Teaming stało się jedną z najważniejszych części rozwoju i zabezpieczania platform i usług firmy Microsoft. Zespół Red Team przyjmuje rolę zaawansowanych przeciwników i pozwala Microsoftowi zweryfikować i poprawić bezpieczeństwo, wzmocnić obronę oraz zwiększyć efektywność całego programu bezpieczeństwa. Zespoły Red Team pozwalają firmie Microsoft przetestować wykrywanie naruszeń i reakcję, a także dokładnie zmierzyć gotowość i wpływy ataków w świecie rzeczywistym.

Celem Zespołu Niebieskiego jest poszukiwanie kreatywnych i niezawodnych obron, które mają na celu wykrywanie i udaremnianie ataków zorganizowanych przez Zespół Czerwony. Zespół Niebieski składa się z dedykowanych osób reagujących na bezpieczeństwo lub członków z różnych organizacji ds. reakcji na incydenty bezpieczeństwa, inżynierii i operacji. Bez względu na ich skład, działają niezależnie i operują oddzielnie od Zespołu Czerwonego. Zespół Niebieski stosuje ustanowione procesy bezpieczeństwa i używa najnowszych narzędzi i technologii do wykrywania i reagowania na ataki i penetracje.

W tym module najpierw podejdziemy do bezpieczeństwa opartego na Windows PowerShell z perspektywy Zespołu Czerwonego. Będziemy badać najczęstsze techniki oparte na Windows PowerShell stosowane przez hakerów w celu wykorzystania istniejącego dostępu do systemu operacyjnego Windows w celu ułatwienia instalacji złośliwego oprogramowania, przeprowadzenia zadań zwiadu, ustanowienia trwałości na docelowym komputerze i promowania ruchu bocznego. Przejrzymy również niektóre narzędzia bezpieczeństwa oparte na Windows PowerShell, które ułatwiają testowanie penetracyjne, śledztwo i odwracanie inżynierii eksploatacji Windows PowerShell. Na zakończenie modułu i kursu przedstawimy podsumowanie technologii rekomendowanych przez Zespół Niebieski, które są ukierunkowane na implementację kompleksowego, wielowarstwowego bezpieczeństwa przed atakami opartymi na Windows PowerShell.

Istnieje wiele udokumentowanych eksploatacji, które wykorzystują możliwości Windows PowerShell do przeprowadzenia ataków, które albo celują w luki w zabezpieczeniach obecnych w niezałatanych lub przestarzałych systemach, albo mają na celu rozszerzenie zasięgu takich ataków w przypadku skompromitowania jednego systemu. Należy zauważyć, że przegląd takich eksploatacji przedstawiony w tym module nie ma charakteru wyczerpującego. Naszym celem jest zilustrowanie powszechnych wzorców, jakie obserwuje się w takich eksploatacjach, oraz podkreślenie znaczenia kompleksowej strategii obrony w głębi.

Lekcje:

• Ataki oparte na Windows PowerShell
• Narzędzia bezpieczeństwa oparte na Windows PowerShell
• Podsumowanie technologii związanych z bezpieczeństwem opartym na Windows PowerShell

Przed uczestnictwem w tym kursie studenci muszą posiadać:

• Podstawową wiedzę na temat systemu Windows i Active Directory.
• Zrozumienie koncepcyjne obiektów Configuration Manager oraz ich interakcji.
• Podstawowe doświadczenie w wykonywaniu zadań konfiguracyjnych w SCCM za pomocą konsoli graficznej.
• Doświadczenie w pracy z wierszem polecenia.
• Podstawową wiedzę na temat podstaw Windows PowerShell.