Blogger templates

Imágenes del tema: Storman. Con la tecnología de Blogger.

Social Icons

About Me

Mi foto
Consultor con más de 18 años de experiencia y fundador de Systrust de Costa Rica en el 2006; ha desarrollado un gran cantidad de proyectos de infraestructura utilizando especialmente tecnologías Microsoft, Quest, OneIdentity, Parallels y Dell.

Featured Posts

Vistas de página en total

Blogroll

About

31 ago 2016

Auditando PowerShell

 

Para efectuar la auditoría de los comandos ejecutados en PowerShell y así poder detectar un posible ataque utilizando PowerShell en sus servidores, se recomienda habilitar la bitácora de eventos para que registre la ejecución de comandos en PowerShell. Para habilitar este registro se requiere PowerShell v3, v4 o las versiones más nuevas.

Si bien, este registro puede habilitarse para módulos de PowerShell específicos, se recomienda habilitarlo para todos los módulos (*). Lo cual puede ser de mucha utilidad cuando un atacante ha importado módulos personalizados.

Para habilitar esta bitácora siga las siguientes instrucciones:

1. Edite el GPO en donde quiere habilitar el registro
2. Expanda:
 Computer Configuration\Policies\Administrative Template\Windows Components\Windows PowerShell

3. Habilite la politica Turn on ModuleLogging
4. Presione el botón Show en Module Names
5. Digite * y presione el botón OK
6. Presione el botón OK y cierre el GPO

PowerShellModuleLogging-All

El registro de los eventos los podemos ver en el Event Viewer

image

0 on: "Auditando PowerShell"