Auditando PowerShell

Para efectuar la auditoría de los comandos ejecutados en PowerShell y así poder detectar un posible ataque utilizando PowerShell en sus servidores, se recomienda habilitar la bitácora de eventos para que registre la ejecución de comandos en PowerShell. Para habilitar este registro se requiere PowerShell v3, v4 o las versiones más nuevas.

Si bien, este registro puede habilitarse para módulos de PowerShell específicos, se recomienda habilitarlo para todos los módulos (*). Lo cual puede ser de mucha utilidad cuando un atacante ha importado módulos personalizados.

Para habilitar esta bitácora siga las siguientes instrucciones:

1. Edite el GPO en donde quiere habilitar el registro

2. Expanda:

 Computer Configuration\Policies\Administrative Template\Windows Components\Windows PowerShell

3. Habilite la politica Turn on ModuleLogging

4. Presione el botón Show en Module Names

5. Digite * y presione el botón OK

6. Presione el botón OK y cierre el GPO

El registro de los eventos los podemos ver en el Event Viewer