Hyper-V - sistemul de virtualizare implicit în Windows componentele sistemului... Este prezent în toate versiunile celor douăzeci, cu excepția Home, iar scopul său este să lucreze cu mașini virtuale... Din cauza anumitor conflicte cu mecanismele de virtualizare terțe, este posibil ca Hyper-V să fie dezactivat. Acest lucru este foarte ușor de făcut.
Există mai multe opțiuni pentru dezactivarea tehnologiei simultan, iar utilizatorul, în orice caz, o poate reporni cu ușurință atunci când este nevoie. Și deși Hyper-V este de obicei dezactivat în mod implicit, ar fi putut fi activat de utilizator mai devreme, inclusiv accidental, sau la instalarea ansamblurilor de SO modificate, după Setări Windows alta persoana. Mai jos dam 2 mod convenabil dezactivați Hyper-V.
Metoda 1: Componente Windows
Deoarece elementul în cauză face parte din componentele sistemului, îl puteți dezactiva în fereastra corespunzătoare.
V ultimele versiuni Windows 10 nu necesită o repornire, dar puteți face acest lucru dacă este necesar.
Metoda 2: PowerShell / Linia de comandă
O acțiune similară poate fi efectuată folosind "Cmd" sau alternativa acesteia PowerShell... Cu toate acestea, comenzile vor fi diferite pentru ambele aplicații.
PowerShell
V Linie de comanda deconectarea are loc prin utilizarea depozitului de componente ale sistemului DISM.
Hyper-V nu se va închide
În unele cazuri, utilizatorii au o problemă cu dezactivarea unei componente: aceasta primește o notificare „Nu am putut finaliza componentele” sau Hyper-V devine din nou activ la data viitoare când este pornit. Puteți remedia această problemă verificând fișiere de sistemși depozitare în special. Scanând Linie de comanda prin rularea instrumentelor SFC și DISM. În celălalt articol al nostru, am analizat deja mai detaliat cum să verificăm sistemul de operare, așa că pentru a nu ne repeta, atașăm un link către versiunea completa a acestui articol. În ea, va trebui să executați alternativ Metoda 2, atunci Metoda 3.
De regulă, după aceasta, problema de închidere dispare, dacă nu, atunci motivele ar trebui căutate în stabilitatea sistemului de operare, dar deoarece gama de erori poate fi uriașă și acest lucru nu se încadrează în cadrul și subiectul sistemului. articol.
Am abordat cum să dezactivați hypervisorul Hyper-V, precum și motivul principal pentru care nu poate fi dezactivat. Dacă mai aveți probleme, scrieți despre asta în comentarii.
Pe acest moment curent Versiunea Windows PowerShell - 5 ... PowerShell vine preinstalat pe Windows 10 în mod implicit și înlocuiește promptul de comandă din meniul utilizatorului Câștigă X .
PowerShell 5 - versiune stabilă rulează pe sistemul dvs., totuși versiune veche PowerShell 2.0 este încă activat și prezintă un risc de securitate pentru sistemul dvs. care poate fi folosit pentru a rula scripturi rău intenționate. Chiar dacă primești Ultimele actualizări Securitatea pentru Windows 10 nu înseamnă că PowerShell 2.0 este eliminat pentru toți utilizatorii. Este posibil să fie încă activat pe sistemul dvs.
Acesta este modul în care puteți verifica ce versiune utilizați și cum să o dezactivați Windows PowerShell 2.0.
Verificați PowerShell 2.0
Ca administrator și rulați următoarea comandă.
Get-WindowsOptionalFeature -Online -FeatureName MicrosoftWindowsPowerShellV2
În rezultate, după executarea acestei comenzi, priviți linia Stat"Stat". Dacă ea spune că este un ambalaj 2.0 "Activat"(Activat), trebuie să-l dezactivați. Dacă comanda returnează o valoare "Dezactivat"(Dezactivat) nu trebuie să faci nimic.
Dezactivați Windows PowerShell 2.0
Deschideți PowerShell ca administrator și rulați următoarea comandă;
Dezactivați-WindowsOpționalFeature -Online -FeatureName MicrosoftWindowsPowerShellV2Root
Aceasta va dezactiva Shell Windows PowerShell 2.0. Puteți verifica acest lucru rulând din nou prima comandă. Linia Stat ar trebui să conteze "Dezactivat"(Dezactivat).
Dacă nu doriți să executați o comandă în PowerShell, puteți dezactiva această funcție cu Panouri de control... Deschideți File Explorer și introduceți bara de adresa ca urmare a:
Panou de control \ Programe
Click pe Activați sau dezactivați funcțiile Windows... Aceasta va deschide o nouă fereastră " Componentele Windows". Poate dura ceva timp pentru a încărca lista de funcții pe care le puteți activa/dezactiva. Odată ce lista s-a încărcat, derulați în jos până la mijloc și găsiți Windows PowerShell 2.0. Debifați caseta și faceți clic pe OK.
Nu trebuie să reporniți sistemul pentru a aplica modificările.
Care este riscul.
Windows PowerShell 5 are o funcție antimalware care scanează și împiedică rularea scripturilor rău intenționate, dar PowerShell 2.0 poate fi folosit pentru a lansa un atac care poate ocoli scanarea malware. Acest lucru va rula în cele din urmă un script PowerShell rău intenționat pe sistemul dvs.
Dezactivarea vechiului shell nu ar trebui să aibă consecințe negative. Microsoft știe că unele aplicații folosesc încă PowerShell 2.0, dar lucrează pentru a le aduce la mai multe versiune noua... Deși componenta este depreciată, va rămâne în continuare parte din Windows 10 pentru viitorul previzibil, iar utilizatorii îl vor putea activa dacă doresc.
- Traducere
Se pare că nu a fost cu mult timp în urmă, în jurul anului 2015, am început să auzim de hackeri care nu foloseau malware în interiorul perimetrului țintei atacate. Și au folosit ceea ce era la îndemână - acestea erau diversele instrumente care se aflau pe site-ul țintă. S-a dovedit a fi modalitatea perfectă de a-ți face treburile murdare fără a face prea mult zgomot.
Această abordare a câștigat amploare în timpul nostru și a devenit mainstream, în primul rând datorită abundenței de seturi de instrumente pentru hackeri gata făcute, cum ar fi PowerShell Empire.
Am scris deja despre modul în care PowerShell, atunci când este completat de PowerView, devine un furnizor puternic de informații pentru hackeri (toată această înțelepciune este adunată în compilația noastră pe care ar trebui să o citiți cât mai curând posibil).
Desigur, orice instrument poate fi folosit atât pentru bine, cât și pentru rău, așa că nu vreau să insinuez că PowerShell a fost creat pentru a ușura viața hackerilor.
Dar, așa cum nu ați lăsa un tăietor de șuruburi de mare rezistență lângă un lacăt, probabil că nu doriți să permiteți sau cel puțin să faceți cât mai dificil posibil pentru hackeri să pună mâna pe PowerShell.
Aceasta, la rândul său, aduce în discuție un subiect mare în lumea securității cibernetice: restricționarea accesului la aplicații, cunoscute și sub numele de liste albe și negre. Ideea generală este ca sistemul de operare să cunoască și să controleze strict ce aplicații pot fi lansate de utilizator și care nu.
De exemplu, în calitate de homo blogus, tind să am nevoie de niște instrumente și aplicații de bază (precum și un loc cald unde să dorm noaptea) și mă pot înțelege bine fără Shell-uri PowerShell, netcat, psexec și toate celelalte comenzi despre care am vorbit în postările anterioare. Același lucru este valabil pentru majoritatea lucrătorilor din companii și, prin urmare, un profesionist IT calificat ar trebui să poată compila o listă de aplicații care sunt sigure de utilizat.
În lumea Windows, este posibil să impuneți reguli pentru execuția aplicațiilor folosind politici restrictive speciale pentru aplicații și în În ultima vremeși AppLocker.
Cu toate acestea, înainte de a ajunge la aceste idei de ultimă oră, să încercăm două foarte solutii simpleși apoi să vedem ce e în neregulă cu ei.
ACL și alte simplificări
Ne gândim adesea la ACL-urile Windows ca fiind folosite pentru a controla accesul la conținutul care poate fi citit de om. Dar ele pot fi aplicate și fișierelor executabile - adică .exe, .vbs, .ps1 și altele.Am revenit la Amazon Web Services cloud unde am domeniul Windows pentru compania mitică și cândva legendară Acme și acolo a lucrat cu ACL pentru a demonstra unele restricții de acces.
PowerShell .exe, oricare Administrator de sistem vă poate spune cu ușurință, se află în C: \ Windows \ System32 \ WindowsPowerShell \ v1.0. Am mers la acest folder, am numit proprietățile sale și am restricționat instantaneu drepturile Execuția PowerShellîn 2 grupuri principale: „Administratori de domeniu” și „Acme-SnowFlakes”, grupuri utilizatori experimentați Culme.
M-am conectat la server ca Bob, rolul meu la Acme, și am încercat să invoc PowerShell. Rezultatele sunt mai jos.
În practică, probabil că ați putea veni cu un script - de ce să nu folosiți PowerShell pentru a automatiza acest proces de configurare ACL pentru toate laptopurile și serverele din companiile mici și mijlocii.
Aceasta nu este o decizie rea.
Dacă nu vă place ideea de a schimba ACL în fișiere executabile PowerShell oferă propriile constrângeri. În calitate de utilizator cu drepturi de administrator, puteți folosi orice doriți, dar cel mai simplu este cmdletul încorporat Set-ExecutionPolicy.
Aceasta nu mai este o decizie la fel de „stângăcioasă” precum setarea unui ACL. De exemplu, puteți restricționa PowerShell să funcționeze numai în modul interactiv- folosind parametrul Restricted - astfel încât să nu execute scripturi PS care ar putea conține malware hackeri.
Totuși, acest lucru va bloca și Scripturi PowerShell lansat de profesioniștii dvs. IT. Pentru a permite scripturi aprobate, dar pentru a dezactiva scripturile hackerilor diabolic, utilizați parametrul RemoteSigned. Acum PowerShell va rula doar scripturi semnate. Desigur, administratorii vor trebui să-și creeze propriile scripturi și apoi să le semneze folosind acreditări verificate.
Nu voi intra în detalii despre cum să fac asta, în principal pentru că este atât de ușor de deplasat. Cineva aici pe un blog a descris până la 15 moduri de a ocoli restricțiile de securitate în PowerShell.
Cel mai simplu este cu parametrul Bypass din PowerShell însuși. Da! (Vezi mai jos).
Sună ca o gaură de securitate, nu?
Deci, există mai multe vulnerabilități majore în PowerShell. Acest lucru este apropo și de înțeles, deoarece este, până la urmă, doar un shell software.
Dar chiar și abordarea constrângerii ACL are problemele sale fundamentale.
Dacă hackerii își slăbesc filosofia, atunci pot descărca cu ușurință, să zicem, folosind un troian acces de la distanță(RAT) este propria lor copie a PowerShell.exe. Și apoi rulați-l direct, evitând cu ușurință restricțiile de permisiuni cu PowerShell local.
Politici de restricție software
Aceste găuri de securitate de bază (ca multe altele) însoțesc întotdeauna sistemele de operare de calitate pentru consumatori. Acest lucru i-a determinat pe cercetătorii OS să vină cu o soluție sigură sistem de operare care ar fi suficient de puternic pentru a controla ceea ce ar putea fi lansat.În lumea Windows, aceste forțe sunt cunoscute sub numele de Politici de restricție software (SRP) - vedeți aceasta pentru o prezentare generală - sunt configurabile prin Editorul de politici de grup.
Cu ajutorul lor, puteți controla ce aplicații pot fi lansate în funcție de extensia fișierului, numele căilor și dacă aplicația a fost semnată digital.
Cea mai eficientă, deși cea mai dureroasă, abordare este să dezactivați totul și apoi să adăugați acolo aplicațiile de care aveți cu adevărat nevoie. Acest lucru este cunoscut sub numele de lista albă.
Ne vom uita la asta mai detaliat în partea următoare.
În orice caz, trebuie să lansați Editorul de politici, gpEdit și să navigați la Politica computerului local> Setări Windows> Setări de securitate> Politici de restricție software> Niveluri de securitate. Dacă faceți clic pe „Disallowed”, atunci o puteți transforma în politica de securitate implicită - nu rulați niciun executabil!
Lista albă: Respingeți în mod implicit și apoi adăugați aplicațiile permise la „Reguli suplimentare”.
Este mai mult ca o tactică de pământ ars. În practică, va trebui să introduceți „ reguli suplimentare”Pentru a adăuga înapoi aplicațiile permise (indicând numele și calea acestora). Dacă ieșiți din PowerShell, atunci dezactivați instrumentul.
Din păcate, nu puteți ajusta regulile de restricționare a utilizării aplicațiilor bazate pe grupuri individuale sau utilizatori. Rahat!
Și acum ne conduce logic la realizarea finală securitate Microsoft cunoscut sub numele de AppLocker, care are propriul său caracteristici unice pentru a permite deschiderea aplicației. Să vorbim despre asta data viitoare.
