En aquest tema, explorarem les millors pràctiques de seguretat en PowerShell per assegurar que els teus scripts i entorns siguin segurs. La seguretat és un aspecte crític en qualsevol entorn de programació, especialment quan es treballa amb eines potents com PowerShell que poden tenir accés a recursos sensibles del sistema.

1. Execució de Polítiques
2. Signatura de Scripts
3. Gestió de Credencials
4. Ús de SecureString
5. Auditoria i Registre
6. Consells Addicionals

PowerShell té diverses polítiques d'execució que determinen quins scripts es poden executar en el sistema. Les polítiques d'execució són:

• Restricted: No es permet l'execució de cap script.
• AllSigned: Només es poden executar scripts signats per un editor de confiança.
• RemoteSigned: Es poden executar scripts locals sense signar, però els scripts descarregats d'Internet han d'estar signats.
• Unrestricted: Es poden executar tots els scripts, però es mostra un avís per als scripts descarregats d'Internet.

• Get-ExecutionPolicy: Mostra la política d'execució actual.
• Set-ExecutionPolicy RemoteSigned -Scope CurrentUser: Estableix la política d'execució a RemoteSigned per a l'usuari actual.

Signar scripts és una manera de garantir que el codi no ha estat alterat des que va ser signat per l'autor. Això ajuda a prevenir l'execució de scripts maliciosos.

• Set-AuthenticodeSignature: Afegeix una signatura digital a un script.
• -FilePath .\myscript.ps1: Especifica el camí del script a signar.
• -Certificate (Get-ChildItem -Path Cert:\CurrentUser\My -CodeSigningCert): Utilitza un certificat de signatura de codi del magatzem de certificats de l'usuari actual.

És important gestionar les credencials de manera segura per evitar exposar informació sensible.

• Get-Credential: Mostra una finestra de diàleg per introduir les credencials de manera segura.
• Invoke-Command -ComputerName Server01 -Credential $cred -ScriptBlock { Get-Process }: Executa un bloc de codi en un equip remot utilitzant les credencials emmagatzemades.

SecureString és una classe que proporciona una manera segura d'emmagatzemar dades sensibles com contrasenyes.

• ConvertTo-SecureString "P@ssw0rd" -AsPlainText -Force: Converteix una contrasenya en text pla a un objecte SecureString.
• New-Object System.Management.Automation.PSCredential ("username", $securePassword): Crea un objecte PSCredential utilitzant un nom d'usuari i una contrasenya segura.

L'auditoria i el registre són essencials per monitoritzar l'activitat dels scripts i detectar possibles problemes de seguretat.

• Start-Transcript -Path "C:\Logs\PowerShell_transcript.txt": Inicia el registre de totes les comandes i la seva sortida en un fitxer de transcripció.
• Stop-Transcript: Atura el registre de transcripcions.

• Evita l'ús de contrasenyes en text pla: Utilitza SecureString i PSCredential per emmagatzemar contrasenyes de manera segura.
• Revisa els scripts abans d'executar-los: Especialment si provenen de fonts desconegudes.
• Utilitza polítiques d'execució restrictives: Configura la política d'execució a AllSigned o RemoteSigned per augmentar la seguretat.
• Mantén PowerShell actualitzat: Assegura't d'utilitzar la versió més recent de PowerShell per beneficiar-te de les últimes millores de seguretat.

En aquesta secció, hem explorat diverses pràctiques de seguretat que pots implementar en els teus scripts de PowerShell per protegir el teu entorn i les teves dades. Des de la configuració de polítiques d'execució fins a la gestió segura de credencials i l'auditoria, aquestes pràctiques t'ajudaran a mantenir un entorn segur i fiable.