Auditer la sĂ©curitĂ© PowerShell avec des scripts d'analyse (Windows)
IntroductionCe tutoriel explique comment auditer le renforcement des sessions PowerShell avec des scripts d'analyse de sécurité sous Windows. PowerShell étant un outil puissant, il est crucial de surveiller son utilisation pour détecter toute activité malveillante ou non autorisée.
Prérequis⹠Un ordinateur sous Windows 10 ou 11 avec les droits d'administrateur.
⹠PowerShell v5.1 ou ultérieur.
âą Connaissance de base en scripting PowerShell.
Méthode 1 : Analyser les journaux d'événements WindowsWindows enregistre les événements PowerShell dans le journal des événements. Vous pouvez utiliser des scripts pour analyser ces journaux et extraire des informations pertinentes.
Ătapes Ă suivre pour la mĂ©thode 1âą Ouvrez PowerShell en tant qu'administrateur.
âą Utilisez la commande
Code:
Get-WinEvent⹠Filtrez les événements en fonction de l'ID d'événement, de la date, de l'utilisateur, etc.
⹠Exemple de script pour récupérer tous les événements PowerShell des derniÚres 24 heures :
Code:
Get-WinEvent -FilterHashtable @{LogName="Microsoft-Windows-PowerShell/Operational"; StartTime=(Get-Date).AddDays(-1)}
Méthode 2 : Utiliser le module PowerShell "ScriptBlockLogging"Le module "ScriptBlockLogging" permet de journaliser les scripts PowerShell exécutés sur un systÚme.
Ătapes Ă suivre pour la mĂ©thode 2âą Activez la journalisation des blocs de script via la stratĂ©gie de groupe ou en utilisant la commande
Code:
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned⹠Configurez le module "ScriptBlockLogging" pour enregistrer les informations souhaitées (commande exécutée, utilisateur, date, etc.).
⹠Analysez les journaux générés par le module "ScriptBlockLogging".
Avantages des 2 mĂ©thodes Avantage de la mĂ©thode 1Simple Ă mettre en Ćuvre, ne nĂ©cessite pas de modules supplĂ©mentaires.
Avantage de la méthode 2Offre une journalisation plus détaillée des scripts exécutés.
InconvĂ©nients des 2 mĂ©thodes
InconvĂ©nient de la mĂ©thode 1Les informations disponibles dans les journaux d'Ă©vĂ©nements peuvent ĂȘtre limitĂ©es.
Inconvénient de la méthode 2Nécessite la configuration du module "ScriptBlockLogging".
AstuceUtilisez des outils d'analyse de sécurité et de SIEM pour centraliser et analyser les journaux PowerShell.
Mise en gardeAssurez-vous de respecter les politiques de sécurité et de confidentialité lors de la collecte et de l'analyse des journaux.
ConseilAutomatisez l'analyse des journaux PowerShell pour détecter les anomalies en temps réel.
Solution alternativeUtilisez des solutions de sécurité tierces, telles que Microsoft Defender for Endpoint, pour surveiller et analyser l'activité PowerShell.
âą https://www.microsoft.com/fr-fr/security/business/endpoint-security/microsoft-defender-endpoint
ConclusionL'audit du renforcement des sessions PowerShell est essentiel pour garantir la sécurité de votre environnement Windows. En utilisant des scripts d'analyse et en analysant les journaux d'événements, vous pouvez détecter et prévenir les activités malveillantes.
