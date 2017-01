De Windows toolbox heeft er een waardevol instrument bij die Windows admins de mogelijkheid geeft allerlei taken te automatiseren. Het uitwisselen van logs, uitrollen van patches en het beheren van gebruikers. Of het nou Windows-specifieke beheertaken zijn of beveiligingsgerelateerde taken zoals het managen van certificaten en het detecteren van aanvallen, het is mogelijk te automatiseren in PowerShell.

En nu we het toch over beveiliging hebben, er is een grote kans dat er al iemand een PowerShell-script of -module heeft gemaakt om je een handje te helpen. Microsoft heeft een flinke verzameling scripts gemaakt door de community die een aantal handige beveiligingstaken automatiseren. Van pentests tot certificaatmanagement en netwerk forensics.

Wij lopen enkele van deze scripts met je door.

Timmer het systeem dicht

Als aanvallers eenmaal je netwerk zijn binnengedrongen, nemen ze de tijd om het netwerk te leren kennen en te kijken of zij meer gegevens kunnen vinden waarmee zij je systemen nog verder kunnen besmetten. Het doel is uiteraard om uiteindelijk gevoelige data buit te maken.

De volgende PowerShell-scripts maken het moeilijker om systemen te verkennen.

Meerdere gebruikers uit de local administrator group van meerdere computers verwijderen. Gebruikers kunnen aan de local administrator group worden toegevoegd. Een account kan bijvoorbeeld worden gebruikt door de IT-afdeling om te troubleshooten. Dit kan overigens wel beveiligingsrisico's met zich meebrengen. Aanvallers kunnen met deze gebruikersaccounts meer schade aanrichten dan normaal. Dit script kijkt naar alle computers die zijn gespecificeerd in het tekstbestand en alle gebruikers worden verwijderd.