Netzwerk Sicherheit - PsExec blockieren?

[fard dwalling]

Guten Morgen,

Ich glaube, im Threads ist die Frage etwas Untergängen, daher würde ich das gerne hier nochmal separat fragen.

Wie ist eure Meinung zu PsExec? Wer hat es blockiert oder wer lässt es im Firmennetz aktiv?
Gerade die Möglichkeit aus der Ferne auf den Clients mit Adminrechten was zu installieren oder auszuführen ist ja schon nett.

Vielen Dank für ihr eure Meinungen und Infos.

Viele Grüße

 

[VirtuGuy]

Seit gut 10 Jahren sehe ich psexec nur noch wenig Bedarf, Powershell ist weitaus mächtiger.

 

[fard dwalling]

Oh, darf es doch bestehen bleiben? Vielen Dank.

Mh, OK. Aber kann ich per Powershell remote ein Programm installieren ohne PsExec??

 

[VirtuGuy]

Ob es "bestehen darf" musst du selber bestimmen, wir blockieren es gänzlich - es gibt dafür keinen Bedarf mehr.

Mit psexec und Powershell kannst du auf einem entfernten Host entsprechende Kommandos ausführen. Gerade wenn man viele Hosts hat, ist Powershell dazu aber weitaus praktischer als sich mit diversen "for in bla" jobs zu quälen.

 

[fard dwalling]

Mit bestehen bleiben, meinte ich den Thread hier.

Also an unserem Standort ist PsExec geblockt. Am anderen nicht. Wie diskutieren gerade die Gründe des für und wider.
Aber eine remote Admin Powershell habe ich nicht hinbekommen. Hatte es auf das geblockte PsExec geschoben. Aber dann werde ich da nochmal tiefer schauen.
Da ich teilweise schon Programme mit chocolatey einrichte, wäre das remote per PS natürlich noch einfacher.

 

[CommodoreX64]

@VirtuGuy: Wie und wieso blockiert ihr psexec?

 

[fard dwalling]

Bei uns ist es per Registry geblockt, wobei ich glaube, dass das auch nicht mehr ganz reicht.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\psexec.exe]
"Debugger"="null"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\psexec64.exe]
"Debugger"="null"

Grund ist, das für die meisten Verbreitungswellen von Trojaner ala Petya oder Samsa eben auch PsExec eingesetzt wird...

 

[CommodoreX64]

Uhm... aber wenn jemand die psexec.exe jetzt in psexec1.exe unbenennt?

 

[VirtuGuy]

Eine simple Möglichkeit ist es den PSEXESVC Service zu blockieren oder per Applocker den Hash/Publisher blockieren - dagegen hilft auch kein Umbenennen. Grundsätzlich ist dies mMn aber ein unvollständiger Ansatz, es gibt ja diverse Vergleichbare Tools wie winexe die einen vergleichbaren Umfang bieten. Von daher würde ich für die normalen Clients schlicht und einfach entsprechende API´s komplett per Firewall blockieren. Im Grunde gibt es zumeist keinen Grund das Clients untereinander großartig Daten austauschen. Natürlich ist es für Branchcache o.ä. Technologien etwas hinderlich, aber dafür gibt es durchaus andere Optionen.

- - - Updated - - -

@VirtuGuy: Wie und wieso blockiert ihr psexec?

Weil es kein Aufwand ist. Natürlich gibt es immer Mittel und Wege, aber Grundsätzlich versucht wohl jeder es etwaigen Angreifern so schwer wie möglich zu machen.

 

[CommodoreX64]

@Virtuguy: Keine Frage. Mich hat es eben interessiert.

 

[VirtuGuy]

Grundsätzlich ist psexec nur ein Tool wie viele andere, man sollte da schon ein wenig mehr auf der Liste haben. Sofern man kein Geld für eine "fertige" ATP Lösung hat, gibt es genug Möglichkeiten die abgesehen von Zeit nichts kosten. Wir haben hier immer noch ein Sysmon/Elk Setup am laufen, simpel weil der Kram relativ zuverlässig funktioniert. Mit den Daten kann man nach und nach auch die Daumenschrauben mit Applocker und co noch weiter anziehen.