日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

PowerShell是一種非常全面且易于使用的語(yǔ)言。但是管理員需要保護(hù)組織遠(yuǎn)離不法分子，以免他們利用PowerShell搞破壞活動(dòng)。

成都創(chuàng)新互聯(lián)-專業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設(shè)、高性價(jià)比陵水黎族網(wǎng)站開發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫(kù),直接使用。一站式陵水黎族網(wǎng)站制作公司更省心,省錢,快速模板網(wǎng)站建設(shè)找我們，業(yè)務(wù)覆蓋陵水黎族地區(qū)。費(fèi)用合理售后完善，十余年實(shí)體公司更值得信賴。

作為Windows中的一路原生工具，PowerShell的廣泛功能使得攻擊者很容易利用該語(yǔ)言做文章。越來(lái)越多的惡意軟件和不法分子使用PowerShell將不同的攻擊方法結(jié)合起來(lái)，或者完全通過(guò)PowerShell運(yùn)行漏洞利用代碼。這種攻擊常常逃避檢測(cè)，是由于攻擊者利用了操作系統(tǒng)的原生組件。

有許多方法和最佳實(shí)踐可用于保護(hù)PowerShell。其中最有價(jià)值的是PowerShell腳本塊日志記錄。腳本塊是作為一個(gè)整體使用的一組語(yǔ)句或表達(dá)式。腳本塊是使用花括號(hào){}定義一個(gè)代碼塊。

從Windows PowerShell版本4.0開始，腳本塊日志記錄會(huì)生成已執(zhí)行代碼的審計(jì)跟蹤，但在Windows PowerShell版本5.0中得到了顯著改進(jìn)。Windows PowerShell版本5.0引入了一個(gè)日志引擎，可以自動(dòng)解密使用XOR、Base64和ROT13等方法混淆處理的代碼。PowerShell包含原始的加密代碼，以供比較。

PowerShell腳本塊日志有助于在安全泄密后分析事件，以便提供額外的洞察力。它還可以幫助IT人員更主動(dòng)地監(jiān)視惡意事件。比如說(shuō)，如果您在Windows中設(shè)置了事件訂閱，可以將感興趣的事件發(fā)送到集中服務(wù)器，進(jìn)行更仔細(xì)的觀察。

一、設(shè)置Windows系統(tǒng)以實(shí)現(xiàn)日志功能

在Windows系統(tǒng)上配置腳本塊日志的兩種主要方法是直接設(shè)置注冊(cè)表值，或在組策略對(duì)象中指定適當(dāng)?shù)脑O(shè)置。

要通過(guò)注冊(cè)表配置腳本塊日志記錄，請(qǐng)?jiān)谝怨芾韱T的身份登錄時(shí)使用以下代碼。

New-Item -Path "HKLM:\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Force

Set-ItemProperty -Path "HKLM:\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Name "EnableScriptBlockLogging" -Value 1 -Force

您可以在組策略中設(shè)置PowerShell日志記錄設(shè)置，這可以在本地機(jī)器上設(shè)置，也可以通過(guò)面向全組織的策略來(lái)設(shè)置。

打開本地組策略編輯器，進(jìn)入到“計(jì)算機(jī)配置>管理模板> Windows組件> Windows PowerShell >打開PowerShell腳本塊日志記錄”。

圖1. 從Windows中的本地組策略編輯器設(shè)置PowerShell腳本塊日志記錄

當(dāng)您啟用腳本塊日志記錄時(shí)，編輯器會(huì)開啟一個(gè)額外的選項(xiàng)：當(dāng)命令、腳本塊、函數(shù)或腳本啟動(dòng)和停止時(shí)，通過(guò)“日志腳本塊調(diào)用啟動(dòng)/停止事件”來(lái)記錄事件。這有助于跟蹤事件發(fā)生的時(shí)間，尤其是針對(duì)長(zhǎng)時(shí)間運(yùn)行的后臺(tái)腳本。這個(gè)選項(xiàng)在日志中生成大量的額外數(shù)據(jù)。

圖2. PowerShell腳本塊日志記錄跟蹤已執(zhí)行的腳本和命令行上運(yùn)行的命令

二、如何在非Windows系統(tǒng)上配置腳本塊日志記錄？

PowerShell Core是PowerShell的跨平臺(tái)版本，適用于Windows、Linux和macOS。要在PowerShell Core上使用腳本塊日志，您就需要在$PSHome目錄下的PowerShell .config.json文件中定義配置，該文件對(duì)于安裝的每個(gè)PowerShell都是唯一的。

從PowerShell會(huì)話進(jìn)入到$PSHome，使用Get-ChildItem命令查看PowerShell.config.json文件是否存在。如果不存在，您需要?jiǎng)?chuàng)建該文件。這么做的方法因操作系統(tǒng)而異。雖然可以使用文本編輯器，但也可以從命令行創(chuàng)建所需的文件。比如在Linux機(jī)器上，您可以使用這個(gè)命令。

sudo touch powershell.config.json

使用Nano文本編輯器等工具修改文件，并粘貼以下配置。

{

"PowerShellPolicies": {

"ScriptBlockLogging": {

"EnableScriptBlockInvocationLogging": false,

"EnableScriptBlockLogging": true

}

},

"LogLevel": "verbose"

}

三、測(cè)試PowerShell腳本塊日志記錄

測(cè)試配置很容易。從命令行運(yùn)行以下命令。

PS /> { "log me!" }

"log me!"

四、查看Windows操作系統(tǒng)上的日志

您如何知道要留意哪些條目？需要留意的主要事件ID是4104。這是ScriptBlockLogging條目，對(duì)應(yīng)含有用戶和域、記錄的日期和時(shí)間、計(jì)算機(jī)主機(jī)以及腳本塊文本的信息。

打開事件查看器，進(jìn)入到以下日志位置：“Applications and Services Logs > Microsoft > Windows > PowerShell > Operational”。

點(diǎn)擊事件，直到從測(cè)試中找到標(biāo)為事件ID 4104的條目。針對(duì)該事件過(guò)濾日志，以加快搜索速度。

圖3. Windows事件查看器中的事件4104詳細(xì)說(shuō)明了Windows計(jì)算機(jī)上的PowerShell活動(dòng)

在Windows操作系統(tǒng)上的PowerShell Core中，日志位置是：Applications and Services Logs > PowerShellCore > Operational。

五、非Windows系統(tǒng)上的日志位置

在Linux上，PowerShell腳本塊日志將記錄到syslog。其位置將因發(fā)行版而異。在本教程中，我們使用Ubuntu，其syslog在/var/log/syslog目錄下。

運(yùn)行以下命令顯示日志條目。值得注意的是，該命令需要提升的權(quán)限，因此您將需要使用sudo命令。

sudo cat /var/log/syslog | grep "{ log me! }"

2019-08-20T19:40:08.070328-05:00 localhost powershell[9610]: (6.2.2:9:80) [ScriptBlock_Compile_Detail:ExecuteCommand.Create.Verbose] Creating Scriptblock text (1 of 1):#012{ "log me!" }#012#012ScriptBlock ID: 4d8d3cb4-a5ef-48aa-8339-38eea05c892b#012Path:

在Linux上設(shè)置集中式服務(wù)器不一樣，因?yàn)槟J(rèn)使用syslog。您可以使用許多不同的工具將日志發(fā)送到日志聚合服務(wù)，以便從中心位置跟蹤PowerShell活動(dòng)。Rsyslog是一種流行的選擇，但其他選項(xiàng)包括Dynatrace、New Relic和Datadog。

原文鏈接：https://www.techtarget.com/searchwindowsserver/tutorial/Set-up-PowerShell-script-block-logging-for-added-security

文章題目：設(shè)置PowerShell腳本塊日志以加強(qiáng)安全
網(wǎng)頁(yè)鏈接：http://www.5511xx.com/article/cogsheh.html