PowerShellの制御設定 のバックアップ(No.3)

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• PowerShellの制御設定 へ行く。
  • 1 (2019-11-21 (木) 17:29:03)
  • 2 (2019-11-21 (木) 18:18:56)
  • 3 (2019-11-23 (土) 15:39:06)
  • 4 (2019-11-28 (木) 14:06:44)
  • 5 (2019-11-28 (木) 15:02:00)

---

・PowerShellの悪用

PowerShellスクリプトの実行の無効化 †

• PowerShellを許可するセキュリティグループを作成し、許可のポリシーを適用するOUに所属させます。
• 許可されるOUに対して、以下のポリシーを設定します。
  [コンピュータの構成]>[ポリシー]>[管理用テンプレート]>[Windowsコンポーネント]>[Windows PowerShell]>[スクリプトの実行を有効にします] を [有効] に設定し、[オプション]>[実行ポリシー] を [署名済みスクリプトのみ許可する] と設定します。
  
• リスクの状況に応じて、[ローカル スクリプトおよびリモートの署名済みスクリプトを許可する] の設定を検討します。
  
• 重要な情報資産でPowerShellを許可する場合は、電子メールの閲覧の有無や、他の攻撃ベクトルからの動線を検討し、設定値を検討してください。
  なお、[すべてのスクリプトを許可する] は推奨できません。
  

PowerShellスクリプトのログ設定 †

• PowerShellのログを有効にします。
  [コンピュータの構成]>[ポリシー]>[管理用テンプレート]>[Windowsコンポーネント]>[Windows PowerShell]>[モジュールログを有効にする] を [有効] に設定し、[オプション]>[モジュール名]>[表示] をクリックします。
  [モジュール名] の入力画面で、[値] に [Microsoft.PowerShell.*] [Microsoft.WSMan.Management] の2行を入力し、[OK] をクリックします。

PowerShellスクリプトのログのサブスクリプション設定 †

• 各端末のPowerShellスクリプトのログをログ管理サーバーに送信させ、収集管理します。 Windows Server 2016およびWindows Server 2012 R2でEventLog転送を構成するためのベストプラクティス: https://support.microsoft.com/en-us/help/4494356/best-practice-eventlog-forwarding-performance

1. エンドポイントの設定

• [コンピュータの構成]>[ポリシー]>[Windowsの設定]>[セキュリティの設定]>[システム サービス]>[Windows Remote Mangement(WS-Management)] の [スタートアップ] を [自動] に設定する。

2. サブスクリプションマネージャの構成

• [コンピュータの構成]>[ポリシー]>[管理用テンプレート]>[Windows コンポーネント]>[イベント転送]>[ターゲット サブスクリプション マネージャを構成する] を [有効] に設定します。[オプション] の [サブスクリプションマネージャ] の [表示] をクリックし、以下の値を設定します。

  "Server=http://<FQDN of your upstream Windows Event Collector Server>:5985/wsman/SubscriptionManager/WEC"

3. イベントコレクターの構成

• イベントコレクターサーバーで以下のコマンドを管理者権限で実行します。

  Winrm Quickconfig

  これにより、ソースコンピュータからのWS-Management 要求を受け入れます。

(以下、作成中）