4-Powershell Security Best Practices

Microsoft를 기반으로 하는 스크립트 언어, 명령줄 셸 및 스크립트 플랫폼입니다.NET Framework. 스크립팅 지정에도 불구하고 Windows PowerShell은 객체 지향 특성, 확장성, C# 유사 구문, 직접 상호 작용하는 기능 등 프로그래밍 언어에 공통적인 다양한 특성을 갖추고 있다.

4.2.1.2
호스팅 애플리케이션이 윈도우즈 PowerShell 런타임과 통신하려면 먼저 런타임 공간을 생성해야 하며, 가장 간단한 용어로 런타임의 인스턴스

파워셸 모듈
모듈은 스크립트, 스크립팅 리소스 및 함께 그룹화되고 일반적으로 동일한 파일 시스템 위치에 상주하는 어셈블리를 포함하여 관련된 윈도우즈 PowerShell 코드의 모음입니다'

4.2.1.4
파워셸 장점 -> 확장성
공급자는 데이터 저장소에 액세스, 탐색 및 편집에 사용되는 로직을 정의하고, 드라이브는 공급자에 의해 정의된 유형의 데이터 저장소(또는 데이터 저장소의 일부)에 대한 특정 진입점을 지정

4.2.1.5
Windows PowerShell workflow
비동기 실행, 병렬 처리 및 체크포인트 지원과 같은 기능을 제공하는 복잡한 처리 작업의 개발 및 관리를 위한 프레임워크

파워셸 워크플로우는 파워셸 스크립트와 유사하지만 구현방식은 크게 다름-> 워크플로우 실행이 파워셸런타임이 아니라 워크플로우파운데이션에서 처리되기 때문, cmdlet을 워크플로우 작업으로 동적으로 변환

워크플로웨서 인라인 스크립트 블록을 비롯한 모든 작업에는 고유한 실행공간 있음 -> 워크플로우 한 부분에서 생성된 변수는 다른 부분에서 액세스 할 수 없음


4.2.2 파워셸 버전 이야기

4.2.3 파워셸 실행 방법


4.3.1.2 파워셸 실행 정책
파워셸 기반 공격의 초기단계는 보통 로컬 시스템에서 임의 스크립트를 실행하는것
-> 이런 공격 보호 위해 실행 정책 집합 : 의도하지 않은 스크립트 기반 공격을 차단

4.3.1.3 실행 정책 범위
process scope : 현재 세션에 영향을 줌
currentUser scope : 현재 사용자에게 영항을 줌
localMachine scope : 로컬 컴퓨터의 모든 사용자에게 영항을 줌
등등

4.3.1.4 그룹 정책을 통해 실행 정책 구성

4.3.1.5 스크립트 디지털 서명

4.3.2
파워셸 원격 실행 기능 관리

WMI 및 CIM 기반 원격 기능, 두 기술 모두 공통 정보 모델 저장소(CIM 또는 WMI 저장소라고도 함)에 연결하는 방법을 제공
아 뭔 개소리야 진짜 모르겠음 진짜 뭐라는거야 생략

4.3.3
제한된 엔드포인트
런타임은 호스트 응용 프로그램에 의해 호출되는 명령의 작동 환경
데이터 뿐만 아니라 언어 제한도 포함

4.3.4 Language mode
PowerShell 세션의 언어 모드는 세션에서 사용할 수 있는 PowerShell 언어의 요소를 결정합니다.

4.3.4.2 AppLocker를 사용하여 제한된 언어 모드 적용

4.3.4.3 Windows Defender DeviceGuard를 사용하여 제한된 언어 모드 적용
Device Guard는 커널 모드 및 사용자 모드에서 실행 중인 소프트웨어를 보호할 수 있음

4.3.5 멀웨어 방지 검색 인터페이스(AMSI)
AMSI(Antimalware Scan Interface)는 애플리케이션과 서비스를 기기에 있는 모든 안티멀웨어 제품과 통합할 수 있는 범용 인터페이스이다.
공급업체 상관 없음, 세션 개념 지원, 시스템과 상호작용 함.


4.4 Implementing powershell-based security

4.4.1.2 Windows PowerShell DSC architecture
DSC는 세 가지 기본 구성 요소로 구성된다.
Resources
Configurations
The Local Configuration Manager (LCM) : 리소스와 configuration 간의 상호작용을 용이하게 하는 DSC 엔진

4.4.1.3 DSC configurations
DSC configurations 스크립트는 하나 이사으이 노드 요소를 포함하는 기본 구성 요소로 구성됨
각 노드 요소는 노드라고도 하는 하나 이상의 시스템에 대한 구성을 지정한다.
-> 파워셸이 각 노드에 대한 MOF 생성?

4.4.1.4 The LCM configuration
LCM은 모든 DSC 관리 시스템에서 실행되며 해당 시스템에 적용되는 구성을 구문 분석하고 제정함
기타 기능 및 속성 설명

4.4.1.5 The DSC push refresh mode (DSC 푸시 새로 고침 모드)







출처: Microsoft Learning Platform