https://esgeeks.com/?p=7604

PowerShell es una herramienta de administración avanzada para Windows. Algunos usuarios finales con conocimientos avanzados o aquellos que han trabajado con versiones anteriores de Windows pueden estar más familiarizados con el humilde símbolo del sistema a través del cual puedes ejecutar comandos y scripts. PowerShell es similar pero mucho más avanzado en términos de funcionalidad.

PowerShell te brinda funcionalidades avanzadas para la gestión de la configuración y la automatización de tareas. La herramienta incluye un lenguaje de scripting y un shell de línea de comando. Fue construido en .Net Framework. PowerShell te ofrece un entorno de secuencias de comandos integrado (ISE),y te proporciona una GUI donde puedes realizar todos tus scripts.

PowerShell ha sido la herramienta de administración líder para Windows durante más de una década. Pero, ¿estás aprovechando esta herramienta al máximo? Aquí hay algunos consejos de seguridad esenciales de PowerShell para administradores de Windows.

1. Limpiar grupo de administradores

Tener múltiples usuarios en un grupo de administración local crea una de las lagunas más grandes y más comunes para que un hacker intervenga. El siguiente script te brinda la capacidad de eliminar los nombres de múltiples usuarios de los grupos de administradores locales de múltiples computadoras de una sola vez. Se necesita un archivo de texto con los nombres de los usuarios que se eliminarán y otro archivo de texto con los nombres de las máquinas en las que se debe hacer esto.

Todo lo que necesita modificar en el script antes de ejecutarlo es:

  • a) reemplazar el nombre presente en la variable $Computernames con el nombre del archivo de texto que contiene los nombres de las máquinas, y
  • b) reemplazar el nombre presente en la variable $Admins con el nombre del archivo de texto que contiene los nombres de usuario.
Script Powershell de seguridad para cuentas locales

Script Powershell de seguridad para cuentas locales

Descargar Script PS

2. Fortalecer acceso a SAM

Una vez que los hackers son capaces de romper un sistema a través de un punto particular de vulnerabilidad, utilizan credenciales locales y de dominio comprometidas para moverse por su red víctima. Una forma de conseguir que todos los usuarios locales y de dominio, junto con las membresías de grupo, mapeen las posibles rutas en Windows 10 es preguntar al administrador de cuentas de seguridad de forma remota utilizando el protocolo SAMR.


Aunque antes, cualquier usuario conectado a la red podía acceder a SAM de forma remota, Windows 10 introdujo posteriormente una opción para controlar el acceso a SAM y también modificó los permisos predeterminados para permitir el acceso remoto sólo a los administradores. El script SAMRi10 te permite fortalecer el acceso remoto dando acceso a SAM sólo a los miembros de un grupo específico. No, esto no es discriminación, son protocolos de seguridad.

Descargar Script SAMRi10

3. Fortalecer Net Sessions Enumeration

Net Sessions Enumeration puede ser utilizado por los atacantes para obtener información sobre las sesiones establecidas en un servidor, incluyendo nombres de equipos, nombres de usuario, tiempos activos de sesión y direcciones IP. NetSessionEnum puede ser ejecutado por cualquier usuario autenticado de forma predeterminada. El script Net Cease altera esto dándole la posibilidad de eliminar los permisos de ejecución para todos los usuarios autenticados y, en su lugar, añadir permisos a determinadas sesiones.

Script Net Cease para PowerShell

Script Net Cease para PowerShell

Descargar Script Net Cease

4. Ejecutar script como un proceso

Una de las mejores prácticas recomendadas desde el punto de vista de la seguridad es utilizar una cuenta con los menores privilegios posibles, de modo que incluso si una sesión se viera comprometida, la pérdida se limitaría al mínimo. Esto es particularmente cierto cuando un administrador está ejecutando Active Directory. No, no es necesario que uses zapatillas Nike para correr en Active Directory. Si crees eso, estás en el campo equivocado.

Este script te permite ejecutar scripts PowerShell como una identidad separada. Para iniciar un script como una identidad diferente, este script haría que el programa de la consola esperara hasta que el script llamado se complete, y luego regresara al prompt.

Descargar Script StartScriptAsProcess

5. Módulo de seguridad del sistema de archivos

Este módulo hace que la administración de permisos de archivos y carpetas en Powershell sea muy fácil. NTFSSecurity te ofrece cmdlets para una variedad de tareas que incluyen las tareas diarias, como la extracción de informes de permisos, la adición de permisos a un elemento y la eliminación de ACEs (Access Control Entries). Incluso puedes utilizar un cmdlet para obtener los permisos específicos de un usuario en particular.

Módulo NTFSSecurity en PowerShell

Módulo NTFSSecurity en PowerShell

Descargar Script NTFSSecurity

6. Informe sobre VirusTotal

Los hackers están constantemente en busca de cuentas de alto privilegio para intentar acceder a los sistemas de la red. Este módulo busca todos los registros de eventos especificados (siendo el registro de seguridad el predeterminado) en las máquinas especificadas (todos los controladores de dominio son el predeterminado) para los eventos de inicio de sesión de usuarios particulares (la configuración predeterminada es para todas las cuentas que pertenecen a grupos de nivel 0).


Este módulo puede ayudarte a evaluar qué equipos han sido expuestos en cualquier ataque sospechoso utilizando cuentas privilegiadas específicas. Funciona con todas las versiones de Windows 7 y superiores.

Descargar Módulo Get-VirusTotalReport

7. Comprobar firma del certificado SHA-1

Microsoft tiene planes para dejar de reconocer certificados con firmas SHA-1. Los planes actualmente disponibles son aplicables a los certificados de autenticación de servidor y a los utilizados para firmar ejecutables en un entorno Windows (firma de código y sellos de tiempo).

Debido a la complejidad asociada con el manejo de certificados y PKI, puede ser difícil determinar si la depreciación SHA-1 realmente se aplica a un determinado certificado o aplicación. Este módulo hace precisamente eso. Puedes comprobar si hay certificados y aplicaciones TLS (EXE).

Descargar Módulo SHA1 Certificate Signature Check

8. Detectar administradores locales

Los grupos de administración local son uno de los mayores puntos vulnerables de un sistema en el que los hackers pueden crear cuentas de administración local en sistemas específicos sin que se den cuenta. Este script pregunta rutinariamente a múltiples máquinas para cambios en los grupos de administración locales y envía informes por correo electrónico cada vez que se añaden nuevos miembros.

Descargar Get-Remote-LocalAdmin

9. Comprobar Kerberos Golden Ticket

Kerberos es un protocolo y mecanismo que permite a los nodos que se comunican a través de redes no seguras probar su identidad entre sí de forma segura. Es posible que un hacker que ha conseguido entrar en un ordenador cree lo que se llama un Kerberos ticket que concede el acceso. No, tú podrás ver jugar a tu equipo local de fútbol, béisbol o baloncesto  con este tipo de tickets! Eso no va a funcionar!

Estos tickets son una forma de que los hackers puedan mantener los accesos al sistema durante un largo periodo de tiempo y mantener a raya pequeñas cantidades de datos de forma continua.

Esto es lo que se llama un golden ticket attack, un ataque en el que el hacker es capaz de crear un ticket que es válido por 10 años (que es más de una temporada; que es un montón de juegos sin pagar!) o incluso más tiempo mediante la manipulación de los controladores de dominio y Active Directory. Estos tickets pueden ser generados una vez que el hacker tenga en sus manos un ID con privilegios de administrador de dominio. Este script es un módulo que puede ayudar a examinar las cachés de tickets Kerberos de un ordenador para la concesión de tickets de este tipo.

Descargar script Kerberos Golden Ticket Check

10. Más Recursos

Prueba y mantente seguro. Los anteriores scripts son los más esenciales en el campo de seguridad que todo administrador debería conocer. A continuación, te presento otros artículos relacionados para complementar las herramientas:

Si te gusta el contenido y deseas apoyar a la mejora del sitio web, considera hacer una contribución ¡haciendo clic aquí por favor!. ¡NO ES OBLIGATORIO, GRACIAS! 🙂

¿Te ha gustado este artículo? Sigue este blog en su fanpage de  FacebookTwitterInstagram y/o YouTube para que no te pierdas del mejor contenido informático y hacking!


¡Mantente actualizado!

Suscríbete a nuestro boletín semanal...

Suscríbete a nuestro boletín electrónico para recibir artículos útiles y ofertas especiales. No te perderás absolutamente de nada!

Enviaremos solamente boletines al email y no compartiremos tu email.