Hyper-V je virtualizacijski sustav u sustavu Windows koji dolazi prema zadanim postavkama u setu komponente sustava. Prisutan je u svim verzijama desetaka osim u Homeu, a svrha mu je rad virtualnih strojeva. Zbog određenih sukoba s virtualizacijskim motorima trećih strana, Hyper-V će možda morati biti onemogućen. To je vrlo lako učiniti.
Postoji nekoliko opcija za onemogućavanje tehnologije odjednom, a u svakom slučaju korisnik ju može jednostavno ponovno uključiti kada je to potrebno. Iako je Hyper-V obično onemogućen prema zadanim postavkama, korisnik bi ga mogao aktivirati ranije, uključujući slučajno, ili prilikom instaliranja modificiranih verzija OS-a, nakon Windows postavke druga osoba. Dalje, predstavljamo 2 pogodne načine onemogućiti Hyper-V.
Metoda 1: Windows komponente
Budući da je predmetni element dio komponenti sustava, možete ga onemogućiti u odgovarajućem prozoru.
U najnovije verzije Windows 10 ne zahtijeva ponovno pokretanje, ali to možete učiniti ako je potrebno.
Metoda 2: PowerShell/naredbeni redak
Slična radnja može se izvesti pomoću cmd ili njegovu alternativu "PowerShell". U ovom slučaju, za obje aplikacije, naredbe će biti različite.
PowerShell
U "naredbena linija" do isključivanja dolazi omogućavanjem pohrane komponenti DISM sustava.
Hyper-V se neće isključiti
U nekim slučajevima korisnici imaju problema s deaktiviranjem komponente: ona prima obavijest "Nismo uspjeli dovršiti komponente" ili ponovno postaje aktivna kada se Hyper-V ponovno uključi. Ovaj problem možete riješiti provjerom sistemske datoteke a posebno skladištenje. Skeniranje kroz naredbeni redak pokretanje SFC i DISM alata. U našem drugom članku već smo detaljnije razmotrili kako provjeriti OS, pa kako se ne bismo ponavljali, prilažemo vezu na Puna verzija ovaj članak. U njemu ćete morati izvoditi uzastopno Metoda 2, onda Metoda 3.
U pravilu nakon toga problem s isključivanjem nestaje, ali ako ne, razloge treba tražiti već u stabilnosti OS-a, ali budući da raspon pogrešaka može biti ogroman i to se ne uklapa u opseg i temu članak.
Pokrili smo načine za onemogućavanje hipervizora Hyper-V, kao i glavni razlog zašto se ne može deaktivirati. Ako i dalje imate problema, napišite o tome u komentarima.
Na ovaj trenutak Trenutno Windows verzija PowerShell- 5 . PowerShell je unaprijed instaliran u sustavu Windows 10 prema zadanim postavkama i zamjenjuje naredbeni redak u korisničkom izborniku pobijediti x .
PowerShell 5- stabilna verzija to funkcionira na vašem sustavu, međutim stara verzija PowerShell 2.0 je još uvijek omogućen i predstavlja sigurnosni rizik za vaš sustav koji se može koristiti za pokretanje zlonamjernih skripti. Čak i ako primite Najnovija ažuriranja sigurnost za Windows 10, to ne znači da je PowerShell 2.0 uklonjen za sve korisnike. Možda je još uvijek omogućeno na vašem sustavu.
Evo kako možete provjeriti koju verziju koristite i kako je onemogućiti Windows PowerShell 2.0.
Provjerite PowerShell 2.0
Kao administrator i pokrenite sljedeću naredbu.
Get-WindowsOptionalFeature -Online -FeatureName MicrosoftWindowsPowerShellV2
U rezultatima, nakon izvršenja ove naredbe, pogledajte redak država"Država". Ako ona kaže da je to verzija 2.0 ljuske "Omogućeno"(Omogućeno), morate ga onemogućiti. Ako naredba vrati vrijednost "onemogućeno"(Onemogućeno), ne morate ništa raditi.
Onemogućite Windows PowerShell 2.0
Otvorite PowerShell kao administrator i pokrenite sljedeću naredbu;
Onemogući-WindowsOptionalFeature -Online -FeatureName MicrosoftWindowsPowerShellV2Root
Ovo će onemogućiti Windows ljuska PowerShell 2.0. To možete provjeriti ponovnim pokretanjem prve naredbe. Crta država trebao bi biti važan "onemogućeno"(Onemogućeno).
Ako ne želite pokrenuti naredbu u PowerShell-u, možete onemogućiti ovu značajku pomoću Upravljačke ploče. Otvorite File Explorer i upišite adresna traka sljedeće:
Upravljačka ploča\Programi
Klik "Uključite ili isključite značajke sustava Windows". Ovo će otvoriti novi prozor " Windows komponente". Učitavanje popisa značajki koje možete omogućiti/onemogućiti može potrajati neko vrijeme. Nakon što se popis učita, pomaknite se do sredine popisa i pronađite Windows PowerShell 2.0. Poništite okvir i kliknite U redu.
Ne morate ponovno pokrenuti sustav da biste primijenili promjene.
Koji je rizik.
Windows PowerShell 5 ima značajku protiv zlonamjernog softvera koja skenira i sprječava pokretanje zlonamjernih skripti, ali mehanizam PowerShell 2.0 može se koristiti za pokretanje napada koji može zaobići provjeru zlonamjernog softvera. To će na kraju uzrokovati pokretanje zlonamjerne PowerShell skripte na vašem sustavu.
Onemogućavanje stare ljuske ne bi trebalo imati negativne posljedice. Microsoft zna da neke aplikacije još uvijek koriste PowerShell 2.0, ali rade na njihovom prijenosu na više nova verzija. Iako je komponenta zastarjela, i dalje će ostati dio sustava Windows 10 u doglednoj budućnosti, a korisnici će to moći omogućiti ako žele.
- Prijevod
Čini se da nije bilo tako davno, oko 2015., počeli smo slušati o hakerima koji ne koriste zlonamjerni softver unutar perimetra mete. I koristili su ono što im je bilo pri ruci – to su bili razni alati koji su bili na ciljanom mjestu. Pokazalo se da je to savršen način da obavite svoj prljavi posao bez previše buke.
Ovaj pristup je dobio zamah i postao mainstream u naše vrijeme, prvenstveno zbog obilja gotovih hakerskih alata kao što je PowerShell Empire.
Već smo pisali o tome kako PowerShell, kada je proširen s PowerViewom, postaje moćan pružatelj informacija za hakere (sva ta mudrost prikupljena je u našoj kompilaciji koju biste trebali pročitati što je prije moguće).
Naravno, bilo koji alat se može koristiti u dobru i zlu, tako da ne želim implicirati da je PowerShell stvoren kako bi olakšao život hakerima.
No, baš kao što ne biste ostavili snažan rezač vijaka pored lokota, vjerojatno ne želite dopustiti ili barem otežati hakerima da se dočepaju PowerShell-a što je više moguće.
Ovo zauzvrat otvara veliku temu u svijetu kibernetičke sigurnosti: ograničavanje pristupa aplikacijama, također poznato kao bijele i crne liste. Opća ideja je da operativni sustav zna i strogo kontrolira koje aplikacije korisnik može pokrenuti, a koje ne.
Na primjer, kao homo blogus, obično mi trebaju neki osnovni alati i aplikacije (kao i toplo mjesto za noćno spavanje) i mogu se dobro snaći bez PowerShell školjke, netcat, psexec i sve ostale naredbe o kojima sam govorio u prethodnim postovima. Isto vrijedi i za većinu zaposlenika u tvrtkama, pa bi kvalificirani IT stručnjak trebao moći sastaviti popis aplikacija koje su sigurne za korištenje.
U svijetu Windowsa moguće je nametnuti pravila o izvršavanju aplikacije putem posebnih restriktivnih pravila korištenja softvera, te u U posljednje vrijeme i AppLocker.
Međutim, prije nego što uđemo u ove napredne ideje, pokušajmo s dvije vrlo jednostavna rješenja a onda vidjeti što nije u redu s njima.
ACL i druga pojednostavljenja
Često mislimo da se Windows ACL-ovi koriste za kontrolu pristupa čitljivom sadržaju. Ali mogu se primijeniti i na izvršne datoteke - npr. .exe, .vbs, .ps1 i ostalo.Vratio sam se u oblak Amazon Web Services gdje jesam Windows domena za mitsku i nekoć legendarnu tvrtku Acme, i tamo je radio s ACL-ovima kako bi pokazao neka ograničenja pristupa.
PowerShell .exe, bilo koji Administrator sustava može vam lako reći nalazi li se u C:\Windows\System32\WindowsPowerShell\v1.0. Otišao sam do ove mape, nazvao njezina svojstva i odmah ograničio prava runtime PowerShell u 2 glavne grupe: "Administratori domene" i "Acme-SnowFlakes", grupe iskusni korisnici Vrhunac.
Prijavio sam se na poslužitelj kao Bob, moja uloga u Acmeu, i pokušao pozvati PowerShell. Rezultati su u nastavku.
U praksi biste vjerojatno mogli smisliti skriptu - zašto ne upotrijebite PowerShell za automatizaciju ovog procesa postavljanja ACL-a za sva prijenosna računala i poslužitelje u malim i srednjim tvrtkama.
Nije loša odluka.
Ako vam se ne sviđa ideja da promijenite ACL u izvršne datoteke, PowerShell nudi vlastita ograničenja. Kao korisnik s administrativnim pravima, možete koristiti bilo što, ali ugrađeni cmdlet Set-ExecutionPolicy je najlakši.
Ovo više nije tako "nespretno" rješenje kao postavljanje ACL-a. Na primjer, možete ograničiti PowerShell samo na rad interaktivni način rada- korištenjem opcije Ograničeno - tako da neće izvršavati PS skripte koje mogu sadržavati zlonamjernog softvera hakeri.
Međutim, to će također blokirati PowerShell skripte vodi vaše IT osoblje. Da biste dopustili odobrene skripte, ali onemogućili zlonamjerne hakerske skripte, upotrijebite parametar RemoteSigned. Sada će PowerShell pokretati samo potpisane skripte. Administratori će naravno morati kreirati vlastite skripte, a zatim ih potpisati pomoću provjerenih vjerodajnica.
Neću ulaziti u detalje o tome kako to učiniti, uglavnom zato što je tako lako zaobići. Netko je ovdje na blogu opisao čak 15 načina za zaobilaženje sigurnosnih ograničenja u PowerShell-u.
Najjednostavniji je korištenje opcije Bypass u samom PowerShellu. Da! (Pogledaj ispod).
Zvuči kao sigurnosna rupa, ha?
Dakle, postoji nekoliko velikih ranjivosti u PowerShellu. To je inače i razumljivo, budući da je ipak samo softverska ljuska.
Ali čak i pristup ograničenja na razini ACL-a ima svoje temeljne probleme.
Ako hakeri olabave svoju filozofiju, lako mogu preuzeti, recimo, uz pomoć trojanca daljinski pristup(RAT) - njihova vlastita kopija PowerShell.exe. A zatim ga pokrenite izravno, lako izbjegavajući ograničenja dopuštenja uz lokalni PowerShell.
Pravila ograničenja softvera
Ove velike sigurnosne rupe (i mnoge druge) uvijek prate potrošačku klasu operativnih sustava. To je istraživačima OS-a dalo ideju da smisle siguran operacijski sustav, koji bi imao dovoljno snage da kontrolira ono što se može pokrenuti.U svijetu Windowsa, ove sile su poznate kao Politike ograničenja softvera (SRP) - pogledajte ovo za referencu - mogu se konfigurirati putem uređivača pravila grupe.
Pomoću njih možete kontrolirati koje se aplikacije mogu pokrenuti na temelju ekstenzije datoteke, naziva staza i je li aplikacija digitalno potpisana.
Najučinkovitiji, iako najbolniji pristup je zabraniti sve, a zatim tamo dodati aplikacije koje su vam stvarno potrebne. To je poznato kao stavljanje na popis dopuštenih.
To ćemo detaljnije istražiti u sljedećem odjeljku.
U oba slučaja, morat ćete pokrenuti uređivač pravila, gpEdit, i ići na Pravila lokalnog računala>Postavke sustava Windows>Sigurnosne postavke>Policije softverskih ograničenja>Sigurnosne razine. Ako kliknete na “Disallowed”, tada ga možete postaviti kao zadanu sigurnosnu politiku - nemojte pokretati nikakve izvršne datoteke!
Bijela lista: Odbij prema zadanim postavkama, a zatim dodaj dopuštene aplikacije u "Dodatna pravila".
To je više kao taktika spaljene zemlje. U praksi, morat ćete unijeti " dodatna pravila” da biste vratili dopuštene aplikacije (s njihovim imenom i stazom). Ako izađete iz PowerShell ljuske, tada učinkovito onemogućujete ovaj alat na mjestu.
Nažalost, ne možete prilagoditi pravila pravila ograničenja softvera na temelju pojedine grupe odnosno korisnika. Sranje!
I sada nas ovo logično dovodi do posljednjeg postignuća Microsoft sigurnost, poznat kao AppLocker, koji ima svoje jedinstvene značajke kako biste omogućili otvaranje aplikacije. O tome ćemo sljedeći put.
