Problemas de security con la habilitación de PowerShell en un server de producción

Trabajo en el lado del desarrollo de software de un ISV. Estamos pensando en usar PowerShell para algunas utilidades dentro y alnetworkingedor de la aplicación principal (que en sí misma es ASP.NET).

Uno de mis colegas me dijo que los clientes más serios consideran que PowerShell es un no-no completo en un entorno de producción, y rechazaría esto de improviso. ¿Tiene razón?

3 Solutions collect form web for “Problemas de security con la habilitación de PowerShell en un server de producción”

PowerShell está incluido y habilitado de forma pnetworkingeterminada en las últimas versiones de Windows Server.

Si los "clientes serios" están usando la tecnología de Microsoft, entonces ya están usando PowerShell, incluso si están ocultos detrás de otras GUIs de administración, o tienen PowerShell presente incluso si no lo están usando deliberadamente.

El software de server de Microsoft en 2015 es administrado por PowerShell.

  • Directorio Activo
  • Intercambiar
  • server SQL
  • Hyper-V
  • Azure Cloud
  • SCOM
  • IIS
  • SharePoint
  • Básicamente, todas y cada una de las funciones y características de Windows Server, p. Ej. DFS-R , o incluso funciones y características propias.

Y extendiéndose a terceros incluyendo VMware, NetApp, Equallogic

Es posible eliminar PowerShell, estaría interesado en saber de quién lo hace, o de lo que los límites de Windows Server 2012 R2 están con él eliminado.

Piense en las alternativas, puede utilizar commands por lotes, scripts vb o sus propios binarys comstackdos para administrar su producto. ¿Por qué un potencial cliente confía en estas tecnologías más que PowerShell?

Si bien PowerShell se considera muy powerful al final se puede hacer todo con cualquiera de estas tecnologías. Al final todos ellos llaman API de Windows.

Por lo tanto, PowerShell no es less seguro que las alternativas. En realidad, es bastante fácil exigir que todos los scripts se firmen antes de que se puedan ejecutar (puede hacer lo mismo con vb-scripts).

También como administrador, preferiría un script de PowerShell a través de un binary de C #, porque podría comprobar y revisar rápidamente lo que está haciendo el script.

Con cosas como el kit de herramientas Just Enough Administration se puede limitar qué y cuándo ciertos administradores pueden hacer ciertas cosas, bloqueando el sistema aún más.

Por lo tanto, no permitir que PowerShell en una tienda de Windows profesional es raro decir lo less.

Intente administrar un server Windows Nano sin PowerShell.

¿Por qué no hablar con algunos de sus clientes potenciales y preguntarles sobre esto. Estoy interesado en escuchar cualquier argumento en contra usando PowerShell.

Suena como su colega necesita hacer algo de lectura. PowerShell es el núcleo de todo en Windows 2012. Parte de la meta de PowerShell es eliminar la necesidad de que los equipos de MS creen sus propios asistentes e interfaces gráficas … simplemente cree los cmdlets de PowerShell para todo y luego coloque una GUI encima de eso. No todo está allí todavía, pero el asistente de promoción de AD es un ejemplo perfecto. Ir a través de los clics y se queda con un command de PowerShell que podría haber utilizado en el primer lugar.

PowerShell todo el path …. hacerlo a través de la connection HTTPS y usted está tan seguro, o tal vez incluso más, que cualquier connection basada en SSH que sus administradores Linux probablemente utilizan.

  • Nombre del sujeto de SSL y ataque de Man in the Middle
  • Conexión a Escritorio remoto Se deniega porque la count de usuario no está autorizada para acceso remoto
  • Evitar server de correo (sendmail) utilizado para retrodispersar
  • 3 preguntas sencillas sobre permissions de file
  • Activar / desactivar dispositivos USB en Windows con Active Directory en determinados usuarios
  • La authentication de múltiples factores de Microsoft no funciona con RDP
  • Guardar cualquier file directamente en el server de Windows en lugar de la PC del usuario?
  • Copias de security incrementales de MySQL y replicación de database
  • mejores maneras de permitir que un grupo edite algunos files / etc
  • Seguridad adicional de inicio de session - usuario de dominio de Windows
  • lo que chmod y propietario: los ajustes de grupo son los mejores para una aplicación web?
  • ¿Está permitiendo que los controles automáticos de subversión sean una mala idea?
  • ¿Afectará mi security si permito todas las conexiones de localhost a través de iptables?
  • El linux y los temas del servidor de Windows, como ubuntu, centos, apache, nginx, debian y consejos de red.