Aunque la mayoría de los usuarios de Windows conoce, y probablemente haya utilizado alguna vez la consola MS-DOS, este sistema operativo cuenta con una herramienta de terminal mucho más completa y que permite realizar muchas más opciones, especialmente de cara a la administración del sistema operativo, conocida como PowerShell.
Windows PowerShell es la interfaz de consola (CLI) pensada para que los usuarios más avanzados tengan un mayor control sobre el sistema operativo y puedan tanto ejecutar comandos avanzados y scripts mucho más complejos que los ficheros .bat de MS-DOS como para tener un control administrativo sobre el sistema operativo.
Sin embargo, no todo lo que ofrece PowerShell son ventajas. Debido a la gran utilizad de esta herramienta, algunos piratas informáticos han empezado a utilizarla para llevar a cabo sus infecciones ya que pueden realizar configuraciones en el sistema de una forma mucho más sencilla y rápida que mediante binarios y pasando prácticamente desapercibido para la mayoría de las herramientas de seguridad.
Si no hacemos uso de PowerShell para ejecutar, por ejemplo, scripts ni instalar paquetes desde dicha consola, es recomendable restringir los permisos para estas tareas de manera que si algo intenta ejecutarse de forma oculta en ella, no pueda hacerlo. A continuación, os enseñamos cómo hacerlo.
Cómo restringir los permisos de ejecución a través de PowerShell
para llevar a cabo esta tarea, lo primero que debemos hacer es abrir una ventana de PowerShell con permisos de administrador. Una vez abierta, vamos a utilizar el comando “Set-ExecutionPolicy“, el cual cuenta, principalmente, con 4 parámetros:
- Restricted – Bloquea todos los scripts en PowerShell y hace que todas las tareas deban ejecutarse de forma interactiva, nada automático.
- AllSigned – Solo pueden ejecutarse paquetes y scripts firmados digitalmente.
- RemoteSigned – Los paquetes descargados deben firmarse de forma remota antes de poder instalarlos.
- Unrestricted – Puede ejecutarse cualquier script, sin restricciones.
Podemos ejecutar directamente Set-ExecutionPolicy seguido del nivel de seguridad que queremos configurar o ejecutar este comando y seguir el sencillo asistente que nos aparecerá e introducirle el nivel de seguridad manualmente. En todo caso, tendremos que confirmar que, realmente, queremos ejecutar este cambio con la tecla “S”.
Una vez ejecutado el comando deseado, los cambios se aplicarán al momento, evitando así que cualquier script malicioso pueda ejecutarse en nuestro sistema. En caso de tener que volver a cambiar la política, por ejemplo, para instalar nosotros un script de confianza, tan solo debemos volver a ejecutar el comando “Set-ExecutionPolicy” seguido del nivel de seguridad que queramos aplicar.
Tras ello, si queremos, podemos volver a restringir de nuevo estos paquetes.
Fuente: https://www.redeszone.net
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad