Auditando PowerShell

Para efectuar la auditoría de los comandos ejecutados en PowerShell y así poder detectar un posible ataque utilizando PowerShell en sus servidores, se recomienda habilitar la bitácora de eventos para que registre la ejecución de comandos en PowerShell. Para habilitar este registro se requiere PowerShell v3, v4 o las versiones más nuevas.

Si bien, este registro puede habilitarse para módulos de PowerShell específicos, se recomienda habilitarlo para todos los módulos (*). Lo cual puede ser de mucha utilidad cuando un atacante ha importado módulos personalizados.

Para habilitar esta bitácora siga las siguientes instrucciones:

1. Edite el GPO en donde quiere habilitar el registro

2. Expanda:

 Computer Configuration\Policies\Administrative Template\Windows Components\Windows PowerShell

3. Habilite la politica Turn on ModuleLogging

4. Presione el botón Show en Module Names

5. Digite * y presione el botón OK

6. Presione el botón OK y cierre el GPO

El registro de los eventos los podemos ver en el Event Viewer

Cómo Listar los Controladores de Dominio con PowerShell

En ocasiones necesitamos listar los controladores de dominio que existen en nuestra infraestructura, para esta tarea podemos utilizar el siguiente comando de  PowerShell:

Get-ADDomainController -Filter * | Select Name, ipv4Address, OperatingSystem, site | Sort-Object -Property Name

El comando anterior muestra el resultado en pantalla, sin embargo podemos adicionar la siguiente sintaxis al final del comando para que la salida sea a un archivo de texto.

>C:\DC_Overview.txt

Ejemplo: Get-ADDomainController -Filter * | Select Name, ipv4Address, OperatingSystem, site | Sort-Object -Property Name >C:\DC_Overview.txt

Cómo hacer backup de los GPOs

Efectuar respaldo de los Group Policies (GPOs) es una práctica que debemos adoptar, principalmente en estructuras de dominio complejas donde hay definidas una gran cantidad de GPOs. A las cuales les hemos invertido mucho tiempo no solo investigando cuales parámetros cumplen con nuestros requerimientos tanto de seguridad como de automatización; por tal razón debemos mantener un respaldo actualizado de nuestros GPOs.

El primer método para hacer el backup es desde la consola Group Policy Management.

1. Abrimos la consola Group Policy Management que se encuentra en Administrative Tools

2. Expandimos la estructura y nos posicionamos en Group Policy Objects

3. Seleccionamos la o las políticas que deseamos respaldar y presionamos click derecho

4. Seleccionamos Backup Up

5. En Location definimos la ubicación en donde queremos que se guarde el backup

6. Presionamos el botón Back Up

Si bien este método es efectivo tiene la desventaja de que no podemos definir una tarea para que el respaldo se realice periódicamente.

Les recomiendo crear un script en powershell con el siguiente código: (Ejemplo: GPOBackup.PS1)

$date = get-date -format M.d.yyyy

$location = “C:\Backup\GroupPolicies”

New-Item -Path $location\$date -ItemType directory

Backup-Gpo -All -Path $location\$date

Una vez creado el script ir al Task Scheduler y crear un tarea para que este se ejecute con la frecuencia que es requerida.