Mantener la seguridad en nuestros dispositivos es algo fundamental. Para ello podemos tener en cuenta ciertas recomendaciones y buenas prácticas. En este artículo nos hacemos eco de los consejos que ha dado la NSA para proteger Windows con PowerShell. El objetivo es hacer que este popular sistema operativo sea más seguro y hacer más complicado para los piratas informáticos poder lanzar ataques cibernéticos.
Consejos de la NSA de seguridad con PowerShell
PowerShell es una interfaz de consola que viene integrada con Windows. Desde allí podemos ejecutar comandos y llevar a cabo ciertas acciones. Por ejemplo podemos automatizar tareas o ver cierta información del equipo. Ahora desde la NSA, en su afán de lograr que los sistemas estén más protegidos, ha dado una serie de pautas para usarlo y mejorar así la seguridad de Windows. Conoce cómo escanear puertos usando Nmap, y también saber firewall está bloqueando un puerto.
La Agencia de Seguridad Nacional de EEUU, junto a otras agencias asociadas, ha indicado que PowerShell se utiliza en muchos casos para lanzar ataques informáticos. Sin embargo, también podemos utilizar las capacidades de seguridad integradas para mejorar nuestra protección y hacer que el sistema sea más seguro.
Uno de los consejos que dan es proteger la comunicación remota de PowerShell, para evitar que puedan exponer las credenciales en texto sin formato cuando se ejecutan comandos de forma remota en los hosts de Windows. Indican que si los administradores habilitan esta función en redes privadas, automáticamente agregan una nueva regla en el firewall de Windows que permite todas las conexiones.
Por tanto, la personalización del Firewall de Windows para permitir conexiones solo desde puntos finales y redes confiables ayuda a reducir la posibilidad de que un atacante realice un movimiento lateral con éxito.
La NSA, de cara a usar conexiones remotas, recomienda utilizar el protocolo Secure Shell (SSH), compatible con PowerShell 7. Esto aportará una mayor seguridad. Esto es así ya que las conexiones remotas no necesitan HTTPS con certificados SSL, ni hosts de confianza como sí ocurriría al realizar una conexión remota a través de WinRM.
También recomiendan reducir las operaciones de PowerShell con la ayuda de AppLocker o Windows Defender Application Control para poder configurar la herramienta en modo CLM y evitar así operaciones fuera de las políticas definidas por el administrador.
Detectar un mal uso con PowerShell
Además desde la NSA recomiendan registrar la actividad de PowerShell para poder detectar un mal uso. De esta forma podremos monitorizar los registros y encontrar posibles señales de que algo no va bien. Proponen activar diferentes funciones, como son DSBL y OTS, para mejorar así la seguridad.
Esto va a permitir crear una base de datos de los registros que se pueden usar y buscar actividades en PowerShell que puedan ser peligrosas. También, con OTS los administradores tendrán un registro de cada entrada o salida de PowerShell y así determinar las intenciones de un atacante.
En definitiva, desde la NSA indican que es conveniente tener muy en cuenta PowerShell y sus diferentes usos. Es una herramienta que puede ser utilizada por los atacantes para poner en riesgo la seguridad, pero también interesante de cara a proteger el sistema si lo configuramos correctamente y logramos que esté protegido. Usar funciones como la protección en tiempo real de Windows Defender también es útil.