Hyper-V je sistem virtuelizacije u Windows-u koji podrazumevano dolazi u kompletu komponente sistema. Prisutan je u svim verzijama desetina sa izuzetkom Home, a svrha mu je rad virtuelne mašine. Zbog određenih sukoba s virtualizacijskim mašinama trećih strana, Hyper-V će možda morati biti onemogućen. To je vrlo lako uraditi.
Postoji nekoliko opcija za onemogućavanje tehnologije odjednom, a u svakom slučaju korisnik je lako može ponovo uključiti kada je to potrebno. Iako je Hyper-V obično onemogućen prema zadanim postavkama, korisnik bi ga mogao aktivirati ranije, uključujući slučajno, ili prilikom instaliranja modificiranih verzija OS-a, nakon Windows postavke drugu osobu. Dalje, predstavljamo 2 pogodne načine onemogući Hyper-V.
Metoda 1: Windows komponente
Pošto je predmetni element dio komponenti sistema, možete ga onemogućiti u odgovarajućem prozoru.
IN najnovije verzije Windows 10 ne zahtijeva ponovno pokretanje, ali to možete učiniti ako je potrebno.
Metoda 2: PowerShell/Command Prompt
Slična radnja se može izvesti pomoću cmd ili njegovu alternativu "PowerShell". U ovom slučaju, za obje aplikacije, naredbe će biti različite.
PowerShell
IN "komandna linija" do isključivanja dolazi omogućavanjem skladišta komponenti sistema DISM.
Hyper-V se neće isključiti
U nekim slučajevima, korisnici imaju problem s deaktiviranjem komponente: ona prima obavijest „Nismo mogli dovršiti komponente“ ili postaje ponovo aktivna kada se Hyper-V ponovo uključi. Ovaj problem možete riješiti provjerom sistemske datoteke a posebno skladištenje. Skeniranje kroz komandna linija pokretanje SFC i DISM alata. U našem drugom članku već smo detaljnije razmotrili kako provjeriti OS, pa kako se ne bismo ponavljali, prilažemo vezu na puna verzija Ovaj članak. U njemu ćete morati da izvodite uzastopno Metoda 2, onda Metoda 3.
U pravilu, nakon toga problem s gašenjem nestaje, ali ako ne, onda razloge treba tražiti već u stabilnosti OS-a, ali budući da raspon grešaka može biti ogroman i to se ne uklapa u opseg i temu clanak.
Pokrili smo načine za onemogućavanje hipervizora Hyper-V, kao i glavni razlog zašto se ne deaktivira. Ako i dalje imate problema, pišite o tome u komentarima.
Na ovog trenutka struja Windows verzija PowerShell- 5 . PowerShell je unaprijed instaliran u Windows 10 po defaultu i zamjenjuje komandnu liniju u korisničkom meniju pobjeda x .
PowerShell 5- stabilna verzija to ipak radi na vašem sistemu stara verzija PowerShell 2.0 je i dalje omogućen i predstavlja sigurnosni rizik za vaš sistem koji se može koristiti za pokretanje zlonamjernih skripti. Čak i ako primite Najnovija ažuriranja sigurnost za Windows 10, to ne znači da je PowerShell 2.0 uklonjen za sve korisnike. Možda je još uvijek omogućeno na vašem sistemu.
Evo kako možete provjeriti koju verziju koristite i kako je onemogućiti Windows PowerShell 2.0.
Provjerite PowerShell 2.0
Kao administrator i pokrenite sljedeću naredbu.
Get-WindowsOptionalFeature -Online -FeatureName MicrosoftWindowsPowerShellV2
U rezultatima, nakon izvršenja ove naredbe, pogledajte red Država"Država". Ako ona kaže da je to verzija 2.0 shell "Omogućeno"(Omogućeno), morate ga onemogućiti. Ako naredba vrati vrijednost "invalid"(Onemogućeno), ne morate ništa da radite.
Onemogućite Windows PowerShell 2.0
Otvorite PowerShell kao administrator i pokrenite sljedeću naredbu;
Disable-WindowsOptionalFeature -Online -FeatureName MicrosoftWindowsPowerShellV2Root
Ovo će onemogućiti Windows shell PowerShell 2.0. Ovo možete provjeriti ponovnim pokretanjem prve naredbe. Linija Država trebalo bi da bude važno "invalid"(Onemogućeno).
Ako ne želite da pokrenete naredbu u PowerShell-u, možete onemogućiti ovu funkciju pomoću Kontrolni paneli. Otvorite File Explorer i ukucajte adresna traka sljedeće:
Kontrolna tabla\Programi
Kliknite "Uključite ili isključite Windows funkcije". Ovo će otvoriti novi prozor " Windows komponente". Može potrajati neko vrijeme da se učita lista funkcija koje možete omogućiti/onemogućiti. Kada se lista učita, skrolujte do sredine liste i pronađite Windows PowerShell 2.0. Poništite izbor u polju za potvrdu i kliknite na OK.
Ne morate ponovo pokrenuti sistem da biste primijenili promjene.
Koji je rizik.
Windows PowerShell 5 ima funkciju protiv zlonamjernog softvera koja skenira i sprječava pokretanje zlonamjernih skripti, ali PowerShell 2.0 mehanizam se može koristiti za pokretanje napada koji može zaobići provjeru zlonamjernog softvera. Ovo će na kraju uzrokovati pokretanje zlonamjerne PowerShell skripte na vašem sistemu.
Onemogućavanje stare ljuske ne bi trebalo imati negativne posljedice. Microsoft zna da neke aplikacije i dalje koriste PowerShell 2.0, ali rade na tome da ih prenesu na više nova verzija. Iako je komponenta zastarjela, i dalje će ostati dio Windowsa 10 u doglednoj budućnosti, a korisnici će to moći omogućiti ako žele.
- Prevod
Čini se ne tako davno, oko 2015. godine, počeli smo da čujemo o hakerima koji nisu koristili zlonamjerni softver unutar perimetra napadnutog cilja. I koristili su ono što im je bilo pri ruci - to su bili razni alati koji su bili na ciljanom mjestu. Ispostavilo se da je to savršen način da obavite svoj prljavi posao bez previše buke.
Ovaj pristup je dobio zamah i postao mainstream u naše vrijeme, prvenstveno zbog obilja gotovih hakerskih alata kao što je PowerShell Empire.
Pisali smo o tome kako PowerShell, uparen sa PowerView-om, postaje moćan izvor informacija za hakere (sva ta mudrost je sakupljena u našoj kompilaciji, koju biste trebali pročitati što je prije moguće).
Naravno, bilo koji alat se može koristiti u dobrom ili lošem smislu, tako da ne mislim da je PowerShell stvoren da olakša život hakerima.
Ali baš kao što ne biste ostavili snažan rezač vijaka pored katanca, vjerovatno ne želite da dozvolite ili barem otežate hakerima da se dokopaju PowerShell-a.
Ovo zauzvrat otvara veliku temu u svijetu sajber sigurnosti: ograničavanje pristupa aplikacijama, također poznato kao bijele i crne liste. Opća ideja je da operativni sistem zna i striktno kontrolira koje aplikacije korisnik može pokrenuti, a koje ne.
Na primjer, kao homo blogus, obično su mi potrebni neki osnovni alati i aplikacije (kao i toplo mjesto za noćno spavanje), i mogu dobro proći bez PowerShell školjke, netcat, psexec i sve ostale komande o kojima sam govorio u prethodnim postovima. Isto se odnosi na većinu zaposlenih u kompanijama i stoga kvalifikovani IT stručnjak treba da bude u stanju da sastavi listu aplikacija koje su bezbedne za korišćenje.
U svijetu Windowsa moguće je nametnuti pravila o izvršavanju aplikacija kroz posebne restriktivne politike korištenja softvera, i U poslednje vreme i AppLocker.
Međutim, prije nego što uđemo u ove napredne ideje, pokušajmo s dvije vrlo jednostavna rješenja i onda vidi šta nije u redu sa njima.
ACL i druga pojednostavljenja
Često mislimo da se Windows ACL-ovi koriste za kontrolu pristupa čitljivom sadržaju. Ali mogu se primijeniti i na izvršne datoteke - npr. .exe, .vbs, .ps1 i ostale.Vratio sam se u oblak Amazon Web Services gdje jesam Windows domena za mitsku i nekada legendarnu kompaniju Acme i tamo je radio sa ACL-om kako bi pokazao neka ograničenja pristupa.
PowerShell .exe, bilo koji Administrator sistema može vam lako reći da li se nalazi u C:\Windows\System32\WindowsPowerShell\v1.0. Otišao sam do ovog foldera, pozvao njegova svojstva i odmah ograničio prava runtime PowerShell u 2 glavne grupe: "Domain Admins" i "Acme-SnowFlakes", grupe iskusni korisnici Acme.
Prijavio sam se na server kao Bob, moja uloga u Acme-u, i pokušao da pozovem PowerShell. Rezultati su u nastavku.
U praksi, verovatno biste mogli da smislite skriptu - zašto ne koristite PowerShell da automatizujete ovaj proces podešavanja ACL-a za sve laptopove i servere u malim i srednjim preduzećima.
Nije loša odluka.
Ako vam se ne sviđa ideja da promijenite ACL u izvršne datoteke, PowerShell nudi svoja ograničenja. Kao korisnik sa administrativnim pravima, možete koristiti bilo šta, ali ugrađeni Set-ExecutionPolicy cmdlet je najlakši.
Ovo više nije tako "nespretno" rješenje kao postavljanje ACL-a. Na primjer, možete ograničiti PowerShell da radi samo u njemu interaktivni način rada- korištenjem opcije Ograničeno - tako da neće izvršavati PS skripte koje mogu sadržavati malware hakeri.
Međutim, ovo će također blokirati PowerShell skripte vodi vaše IT osoblje. Da biste dozvolili odobrene skripte, ali onemogućili zlonamjerne hakerske skripte, koristite parametar RemoteSigned. Sada će PowerShell pokretati samo potpisane skripte. Administratori će naravno morati kreirati vlastite skripte, a zatim ih potpisati koristeći provjerene vjerodajnice.
Neću ulaziti u detalje kako to učiniti, uglavnom zato što je tako lako zaobići. Neko je ovdje na blogu opisao čak 15 načina da se zaobiđu sigurnosna ograničenja u PowerShell-u.
Najjednostavniji je korištenje opcije Bypass u samom PowerShell-u. Da! (vidi dolje).
Zvuči kao sigurnosna rupa, ha?
Dakle, postoji nekoliko velikih ranjivosti u PowerShell-u. Ovo je inače i razumljivo, jer je ipak samo softverska školjka.
Ali čak i pristup ograničenja na nivou ACL-a ima svoje fundamentalne probleme.
Ako hakeri olabave svoju filozofiju, lako mogu preuzeti, recimo, uz pomoć trojanca daljinski pristup(RAT) - njihova vlastita kopija PowerShell.exe. A zatim ga pokrenite direktno, lako izbjegavajući ograničenja dozvola uz lokalni PowerShell.
Politika ograničenja softvera
Ove velike sigurnosne rupe (i mnoge druge) uvijek prate potrošačku klasu operativnih sistema. Ovo je istraživačima OS-a dalo ideju da smisle siguran operativni sistem, koji bi imao dovoljno snage da kontroliše šta se može pokrenuti.U svijetu Windowsa, ove sile su poznate kao Politike ograničenja softvera (SRP) – pogledajte ovo za referencu – mogu se konfigurirati putem uređivača grupnih politika.
Pomoću njih možete kontrolirati koje se aplikacije mogu pokrenuti na osnovu ekstenzije datoteke, imena putanje i da li je aplikacija digitalno potpisana.
Najefikasniji, iako najbolniji pristup je zabraniti sve, a zatim dodati aplikacije koje su vam zaista potrebne. Ovo je poznato kao stavljanje na bijelu listu.
Ovo ćemo detaljnije istražiti u sljedećem odjeljku.
U oba slučaja, morat ćete pokrenuti uređivač politika, gpEdit, i ići na Pravila lokalnog računala>Postavke Windowsa>Sigurnosne postavke>Smjernice softverskih ograničenja>Smjernice za nivoe sigurnosti. Ako kliknete na “Disallowed”, onda to možete postaviti kao zadanu sigurnosnu politiku - nemojte pokretati nikakve izvršne datoteke!
Bijela lista: Odbij prema zadanim postavkama, a zatim dodaj dozvoljene aplikacije u „Dodatna pravila“.
To je više kao taktika spaljene zemlje. U praksi, moraćete da unesete „ dodatna pravila” da biste vratili dozvoljene aplikacije (sa njihovim imenom i putanjom). Ako izađete iz PowerShell ljuske, tada efektivno onemogućavate ovaj alat na mjestu.
Nažalost, ne možete prilagoditi pravila politike ograničenja softvera na osnovu pojedinačne grupe ili korisnika. Sranje!
I sada nas ovo logično dovodi do posljednjeg postignuća Microsoft Security, poznat kao AppLocker, koji ima svoje jedinstvene karakteristike da dozvolite da se aplikacija otvori. Razgovarat ćemo o tome sljedeći put.
