Lompati ke konten utama Browser ini sudah tidak didukung. Show
Mutakhirkan ke Microsoft Edge untuk memanfaatkan fitur, pembaruan keamanan, dan dukungan teknis terkini. Ketentuan tombol Always Encrypted menggunakan PowerShell
Dalam artikel iniBerlaku untuk: SQL Server (semua versi yang didukung) Azure SQL Managed Instance Database Azure SQLArtikel ini menyediakan langkah-langkah untuk menyediakan kunci untuk Always Encrypted menggunakan modul SqlServer PowerShell. Anda dapat menggunakan PowerShell untuk menyediakan kunci Always Encrypted baik dengan dan tanpa pemisahan peran, memberikan kontrol atas siapa yang memiliki akses ke kunci enkripsi aktual di penyimpanan kunci, dan siapa yang memiliki akses ke database. Untuk gambaran umum manajemen kunci Always Encrypted, termasuk beberapa rekomendasi praktik terbaik tingkat tinggi, lihat Gambaran umum manajemen kunci untuk Always Encrypted. Untuk informasi tentang cara mulai menggunakan modul SqlServer PowerShell untuk Always Encrypted, lihat Mengonfigurasi Always Encrypted menggunakan PowerShell. Provisi Kunci tanpa Pemisahan PeranMetode provisi utama yang dijelaskan di bagian ini tidak mendukung pemisahan peran antara Administrator Keamanan dan DBA. Beberapa langkah di bawah ini menggabungkan operasi pada kunci fisik dengan operasi pada metadata kunci. Oleh karena itu, metode penyediaan kunci ini direkomendasikan untuk organisasi yang menggunakan model DevOps, atau jika database dihosting di cloud dan tujuan utamanya adalah membatasi administrator cloud (tetapi bukan DBA lokal) agar tidak mengakses data sensitif. Tidak disarankan jika calon penyelenggara menyertakan DBA, atau jika DBA seharusnya tidak memiliki akses ke data sensitif. Sebelum menjalankan langkah apa pun yang melibatkan akses ke kunci teks biasa atau penyimpanan kunci (diidentifikasi di kolom Kunci teks biasa Accesses/penyimpanan kunci dalam tabel di bawah), pastikan lingkungan PowerShell berjalan pada komputer aman yang berbeda dari komputer yang menghosting database Anda. Untuk informasi selengkapnya, lihat Pertimbangan Keamanan untuk Manajemen Kunci.
Penyimpanan Sertifikat Windows tanpa Pemisahan Peran (Contoh)Skrip ini adalah contoh end-to-end untuk membuat kunci master kolom yang merupakan sertifikat di Windows Certificate Store, menghasilkan dan mengenkripsi kunci enkripsi kolom, dan membuat metadata kunci dalam database SQL Server.
Azure Key Vault tanpa Pemisahan Peran (Contoh)Skrip ini adalah contoh end-to-end untuk menyediakan dan mengonfigurasi brankas kunci di Azure Key Vault, menghasilkan kunci master kolom di brankas, menghasilkan dan mengenkripsi kunci enkripsi kolom, dan membuat metadata kunci dalam database Azure SQL.
CNG/KSP tanpa Pemisahan Peran (Contoh)Skrip di bawah ini adalah contoh end-to-end untuk menghasilkan kunci master kolom di penyimpanan kunci yang mengimplementasikan Cryptography Next Generation API (CNG), menghasilkan dan mengenkripsi kunci enkripsi kolom, dan membuat metadata kunci dalam database SQL Server. Contoh memanfaatkan penyimpanan kunci yang menggunakan Penyedia Penyimpanan Kunci Perangkat Lunak Microsoft. Anda dapat memilih untuk mengubah contoh untuk menggunakan penyimpanan lain, seperti modul keamanan perangkat keras Anda. Untuk itu, Anda harus memastikan penyedia penyimpanan kunci (KSP) yang mengimplementasikan CNG
untuk perangkat Anda diinstal dan benar di komputer Anda. Anda harus mengganti
Provisi Kunci Dengan Pemisahan PeranBagian ini menyediakan langkah-langkah untuk mengonfigurasi enkripsi di mana administrator keamanan tidak memiliki akses ke database, dan administrator database tidak memiliki akses ke penyimpanan kunci atau kunci teks biasa. Administrator KeamananSebelum menjalankan langkah apa pun yang melibatkan akses ke kunci teks biasa atau penyimpanan kunci (diidentifikasi di kolom Kunci teks biasa/penyimpanan kunci Accesses di tabel di bawah), pastikan bahwa:
Untuk informasi selengkapnya, lihat Pertimbangan Keamanan untuk Manajemen Kunci.
DbaDBA menggunakan informasi yang mereka terima dari Admin Keamanan (langkah 6 di atas) untuk membuat dan mengelola metadata kunci Always Encrypted dalam database.
Penyimpanan Sertifikat Windows dengan Pemisahan Peran (Contoh)Administrator Keamanan
Dba
Langkah berikutnya
Lihat juga
2 Rekomendasi PowerShell Microsoft tetap menjadi raksasa dalam sejarah komputasi. Perusahaan telah berhasil membuatte Lingkungan komputasi yang lebih baik di seluruh dunia sejak awal. Di antara yang diperhitungkan Kontribusi Microsoft adalah PowerShell. PowerShell dikembangkan sebagai scripting shell yang kuatloped as a strong shell scripting bahasa yang akan digunakan dalam administrasi sistem otomatis. Tujuannya adalah untuk menyediakans to provide an Antarmuka terintegrasi untuk sistem terkomputerisasi, dan dengan demikian menjadi sistem yang kritis Toolkit Administrasi. Namun, PowerShell tetap rentan terhadap serangan oleh aktor ancaman cyber (CTA). Setelah penyerang mendapatkan akses ke sistem, mereka mengakses baris perintah, setelah ituommand line, after which Mereka mendapatkan akses ke sistem jarak jauh atau lokal di seluruh jaringan atau data yang disimpan. Oleh karena itu, ini Makalah membahas rekomendasi lingkungan yang dikembangkan oleh Microsoft. Pertama dan terpenting, administrator sistem harus memeriksa versi PowerShell di organisasi mereka. Microsoft merekomendasikan agar administrator PowerShell paling banyak menggunakan Versi PowerShell terbaru, seperti versi 5 atau lebih besar. Ini terutama karena setiap PowerShell Versi hadir dengan peningkatan keamanan yang berbeda. Akibatnya, menggunakan versi yang sudah ketinggalan zamannhancements. As a result, using an outdated version membuat sistem rentan terhadap serangan oleh CTA begitu mereka melihat kerentanan dalam otomatis sistem. PowerShell Versi 5 memberikan keamanan yang lebih baik kepada administrator menggunakan skrip block logging. Magnusson (2019) menunjukkan bahwa skrip blok logging mencatat kode yang dieksekusi setelah de-mengamati) denotes that script block logging logs the executed code once it de-obfuscates Ini untuk memastikan bahwa semua jenis operasi terlihat. Ini melarikan diri dari administrator dari sebagian besar serangan to ensure that all types of operations are visible. This flees administrators from most attacks terkait dengan kebingungan. Kedua, kontrol akses PowerShell harus dicapai dengan pembatasan. Hak istimewa Akun dengan fungsi administratif harus ditahan untuk host PowerShell atau pengguna sistem dengan keinginan yang ditentukan. Operasi ini juga dikenal sebagai Kontrol Akses Berbasis Peran (RBAC). RBAC bekerja dengan menyangkal pengguna kemampuan untuk melakukan tugas -tugas tertentu saat melakukan peran lain RingkasanMS-ISAC mengamati varian malware spesifik secara konsisten mencapai 10 daftar malware teratas. Varian malware khusus ini memiliki sifat -sifat yang memungkinkan mereka menjadi sangat efektif terhadap jaringan pemerintah negara bagian, lokal, suku, dan teritorial (SLTT), secara konsisten menginfeksi lebih banyak sistem daripada jenis malware lainnya. Pemeriksaan karakteristik varian malware ini mengungkapkan bahwa varian sering menyalahgunakan alat yang sah atau bagian aplikasi pada sistem atau jaringan. Salah satu alat yang sah adalah PowerShell. Memahami Permukaan AncamanPowerShell adalah shell baris perintah berbasis tugas atau antarmuka pengguna yang berfungsi sebagai kerangka kerja manajemen konfigurasi Microsoft. Antarmuka ini memungkinkan otomatisasi tugas yang mengelola sistem dan proses operasi. Aktor Ancaman Cyber (CTA) sering memanfaatkan PowerShell begitu mereka mendapatkan akses ke suatu sistem. CTA menggunakan PowerShell karena ini adalah alat administrasi yang sah yang memungkinkan mereka akses ke baris perintah, mendapatkan akses ke data yang disimpan serta akses ke sistem lokal dan jarak jauh di seluruh jaringan. Akses ini memungkinkan mereka untuk menyembunyikan perintah berbahaya dan menjalankannya di seluruh jaringan atau secara lokal, seolah -olah mereka diberlakukan oleh administrator sistem, membantunya menghindari pemindaian keamanan. Misalnya, Kovter, malware penipuan klik tanpa fileless, menyembunyikan modul berbahaya sepenuhnya di registri. Modul -modul ini kemudian disuntikkan ke dalam proses PowerShell ketika sistem yang terinfeksi memulai kembali, mendorong proses penipuan klik untuk memulai. RekomendasiDalam kebanyakan kasus, pengguna standar tidak mengharuskan PowerShell untuk melakukan fungsi sehari -hari mereka. Hanya administrator jaringan dan profesional TI yang membutuhkan PowerShell untuk tugas kerja yang sah yang harus memiliki akses. Memberikan akses pengguna standar ke PowerShell menciptakan risiko yang tidak perlu untuk organisasi Anda. Jika PowerShell tidak diperlukan, cegah eksekusi pada sistem setelah melakukan pengujian yang tepat untuk menilai dampak terhadap lingkungan. Ini mungkin tidak selalu mungkin karena ini adalah alat yang sah dan memiliki fungsi administrasi. Batasi PowerShell dalam kasus -kasus ini melalui kebijakan eksekusi kepada administrator dan melaksanakan skrip yang ditandatangani saja. Bergantung pada konfigurasi lingkungan mungkin ada cara untuk mem -bypass kebijakan eksekusi. Terakhir, untuk mencegah penggunaan PowerShell untuk eksekusi jarak jauh menonaktifkan, atau paling tidak membatasi, Windows Remote Management Service. MS-ISAC merekomendasikan organisasi menggunakan tolok ukur CIS dan kit pembuatan CIS, yang merupakan bagian dari CIS Securuite. Silakan lihat di bawah untuk langkah -langkah terperinci tentang menonaktifkan PowerShell. Untuk mengamankan PowerShellAnda dapat menggunakan pengaturan Kebijakan Grup Eksekusi Naskah untuk mengelola kebijakan eksekusi komputer di organisasi Anda. Pengaturan kebijakan kelompok mengesampingkan kebijakan eksekusi yang ditetapkan dalam PowerShell di semua lingkup. Kebijakan yang disetel dalam node konfigurasi komputer diutamakan daripada kebijakan yang disetel dalam node konfigurasi pengguna. Untuk informasi lebih lanjut, silakan kunjungi Microsoft.Turn on Script Execution Group Policy setting to manage the execution policy of computers in your organization. The Group Policy setting overrides the execution policies set in PowerShell in all scopes. Policies set in the Computer Configuration node take precedence over policies set in the User Configuration node. For more information please visit Microsoft. Untuk mengaktifkan eksekusi skrip dalam pengaturan kebijakan grupTurn on Script Execution in Group Policy settings
Pengaturan Kebijakan Eksekusi Skrip Eksekusi adalah sebagai berikut:Turn on Script Execution policy settings are as follows:
PowerShellexecutionPolicy.ADM dan PowerShellexecutionPolicy.ADMX File Tambahkan Nyalakan Kebijakan Eksekusi Skrip ke Konfigurasi Komputer dan Node Konfigurasi Pengguna di Editor Kebijakan Grup di jalur berikut:PowerShellExecutionPolicy.adm and PowerShellExecutionPolicy.admx files add the Turn on Script Execution policy to the Computer Configuration and User Configuration nodes in Group Policy Editor in the following paths:
MS-ISAC adalah titik fokus untuk pencegahan ancaman cyber, perlindungan, respons, dan pemulihan untuk pemerintah negara, lokal, suku, dan teritorial (SLTT). Informasi lebih lanjut tentang topik ini, serta bantuan cybersecurity 24 × 7 tersedia di 866-787-4722, [email & nbsp; dilindungi]. MS-ISAC tertarik pada komentar Anda-survei umpan balik anonim tersedia.[email protected]. The MS-ISAC is interested in your comments – an anonymous feedback survey is available. Apa praktik terbaik PowerShell?Top 10 praktik terbaik dari skrip PowerShell pada tahun 2022.. Tulis nama cmdlet lengkap dalam skrip, bukan alias. .... Hindari nama parameter parsial dan posisi dalam skrip. .... Hindari menggunakan Notepad atau Notepad ++ sebagai editor skrip. .... Gunakan write-output alih-alih host menulis. .... Jangan sertakan terlalu banyak komentar. .... Gunakan kata kerja yang disetujui secara tertulis cmdlet .. Apa 3 manfaat PowerShell?12 Keuntungan Top PowerShell.. Sistem format yang dapat diperluas.Menggunakan PowerShell, sangat mudah bagi pengguna untuk memformat inputnya dan mendapatkan output sesuka dia..... Format data bawaan..... Sistem tipe yang diperluas..... Mesin skrip yang aman..... Pengembangan swalayan..... API yang konsisten..... Otomatisasi mudah..... Komposabilitas produk silang .. Kebijakan mana di PowerShell yang memberi Anda akses penuh ke lingkungan?Tidak dibatasi.Dimulai di PowerShell 6.0, ini adalah kebijakan eksekusi default untuk komputer non-windows dan tidak dapat diubah.Memuat semua file konfigurasi dan menjalankan semua skrip.. Beginning in PowerShell 6.0, this is the default execution policy for non-Windows computers and can't be changed. Loads all configuration files and runs all scripts.
Apa perintah PowerShell yang paling penting?10 PowerShell teratas memerintahkan yang harus Anda ketahui.. Get-Process.. Stop-Process.. Get-Service.. Get-History.. Start-Job.. ConvertTo-HTML.. Out-File.. Export-CSV.. |