PowerShellの制御設定 のバックアップの現在との差分(No.3)

• バックアップ一覧
• 差分 を表示
• ソース を表示
• バックアップ を表示
• PowerShellの制御設定 へ行く。
  • 1 (2019-11-21 (木) 17:29:03)
  • 2 (2019-11-21 (木) 18:18:56)
  • 3 (2019-11-23 (土) 15:39:06)
  • 4 (2019-11-28 (木) 14:06:44)
  • 5 (2019-11-28 (木) 15:02:00)

• 追加された行はこの色です。
• 削除された行はこの色です。

#author("2019-11-23T15:39:06+09:00","","")
#freeze
#author("2020-10-28T11:19:31+09:00","","")
[[・PowerShellの悪用]]

*PowerShellスクリプトの実行の無効化 [#x345b152]
*PowerShellスクリプトの実行を有効化する [#x345b152]
-PowerShellを許可するセキュリティグループを作成し、許可のポリシーを適用するOUに所属させます。
-許可されるOUに対して、以下のポリシーを設定します。~
[コンピュータの構成]>[ポリシー]>[管理用テンプレート]>[Windowsコンポーネント]>[Windows PowerShell]>[スクリプトの実行を有効にします] を [有効] に設定し、[オプション]>[実行ポリシー] を [署名済みスクリプトのみ許可する] と設定します。~
-リスクの状況に応じて、[ローカル スクリプトおよびリモートの署名済みスクリプトを許可する] の設定を検討します。~
-重要な情報資産でPowerShellを許可する場合は、電子メールの閲覧の有無や、他の攻撃ベクトルからの動線を検討し、設定値を検討してください。~
なお、[すべてのスクリプトを許可する] は推奨できません。~

*PowerShell 2.0の無効化 [#g8203828]
PowerShell 2.0 を無効化することで、PowerShell 5.0 スクリプトブロックのログ機能を回避するダウングレード攻撃を緩和します。
**コントロールパネルから削除する [#wb5625fe]
-[コントロールパネル]>[プログラム]>[プログラムと機能]>[Windows の機能の有効化または無効化]>[Windows PowerShell 2.0] のチェックボックスを外します。
**PowerShellで削除する [#y00c695b]
-管理者として PowerShell を実行します。
 Disable-WindowsOptionalFeature -Online -FeatureName MicrosoftWindowsPowerShellV2Root
 Disable-WindowsOptionalFeature -Online -FeatureName MicrosoftWindowsPowerShellV2

*PowerShellスクリプトのログ設定 [#hbabec18]
-PowerShellのログを有効にします。~
[コンピュータの構成]>[ポリシー]>[管理用テンプレート]>[Windowsコンポーネント]>[Windows PowerShell]>[モジュールログを有効にする] を ''[有効]'' に設定し、[オプション]>[モジュール名]>[表示] をクリックします。~
[モジュール名] の入力画面で、[値] に [Microsoft.PowerShell.*] [Microsoft.WSMan.Management] の2行を入力し、[OK] をクリックします。

*PowerShellスクリプトのログのサブスクリプション設定 [#u06140f7]
-各端末のPowerShellスクリプトのログをログ管理サーバーに送信させ、収集管理します。
Windows Server 2016およびWindows Server 2012 R2でEventLog転送を構成するためのベストプラクティス: https://support.microsoft.com/en-us/help/4494356/best-practice-eventlog-forwarding-performance

1. エンドポイントの設定
-[コンピュータの構成]>[ポリシー]>[Windowsの設定]>[セキュリティの設定]>[システム サービス]>[Windows Remote Mangement(WS-Management)] の [スタートアップ] を [自動] に設定する。

2. サブスクリプションマネージャの構成
-[コンピュータの構成]>[ポリシー]>[管理用テンプレート]>[Windows コンポーネント]>[イベント転送]>[ターゲット サブスクリプション マネージャを構成する] を [有効] に設定します。[オプション] の [サブスクリプションマネージャ] の [表示] をクリックし、以下の値を設定します。
 "Server=http://<FQDN of your upstream Windows Event Collector Server>:5985/wsman/SubscriptionManager/WEC"

3. イベントコレクターの構成
-イベントコレクターサーバーで以下のコマンドを管理者権限で実行します。
 Winrm Quickconfig
これにより、ソースコンピュータからのWS-Management 要求を受け入れます。


(以下、作成中）