2019年7月15日月曜日

Kansa(Powershell incident response framework)をWORKGROUPで動かす方法。

はじめに 
フォレンジックの証跡収集で使うツールの話です。  
前提として収集するマシン・されるマシンはWindows 10 Proを想定しています。  
Win 10 Homeは手元に環境がないため動作未確認です。

 何をするの?
Kansa(読み:カンザ)というフレームワークを使って、証跡の収集を行います。
Kansaのコマンド例(.\kansa.ps1 -Target $env:COMPUTERNAME -ModulePath .\Modules -Verbose)では、AD環境前提なので、ADの無い一般のご家庭やADをもそも使ってない企業ではそのまま使うことはできません。 

じゃあ、どうすればいいの?
このフレームワークはWinRM(リモート管理サービス)を利用しています。
 なので、まず普通の家庭のマシンはWinRMは無効になっているはずです。
また、接続されているネットワークを信頼していないとWinRMが使え無いのでネットワークの信頼設定も行う必要があります。
さらに、接続先が信頼されていないとWinRMで接続できないので、「接続先のマシン」についても信頼しなければなりません。  

まとめると、 
1.ネットワークを信頼するようにWindowsに設定する(接続する側・接続される側)  
2.WinRMを有効化する(接続する側・接続される側)  
 3.接続先マシンも信頼するようにWindowsに設定する(接続する側) カッコ内は、設定するマシンを示しています。 (3は接続する側だけ設定するよう示していますが、できなかったら両方設定してみてください)そのための設定を以下に記載します。  (引用元:How to setup WinRM in a WorkGroup Non Domain Environment  

1.ネットワークを信頼するようにWindowsに設定する
 →WinRMサービスを動作させるNICを「プライベートネットワーク」にします。
Get-NetConnectionProfile | Set-NetConnectionProfile -NetworkCategory Private   

2.WinRMを有効化する
 →WinRMを有効化します。
 Enable-PSRemoting -force  

3.接続先マシンも信頼するようにWindowsに設定する  
→10.10.10.12は接続先(信頼するべきホスト)です。ここは実際の環境に合わせて設定を行います。
winrm set winrm/config/client '@{TrustedHosts="11.10.10.12"}'  

ここまでがWinRMの設定です。 
これが済んだら、Kansaを実行し証跡を取得していきます。  
以下のようなコマンドで実行可能です。  

4. Kansaの実行  
Kansa公式のコマンドに”-Authentication Default”オプションを付与することで、設定のめんどくさいケルベロス認証をせずにログインさせることができます。(わざわざSSLを使うとかの設定にしなくても良くなる)   

コマンドテンプレート
.\kansa.ps1 -Target <コンピュータ名> -Credential <アカウント名> -ModulePath .\Modules -Verbose -Authentication Default  
コンピュータ名:接続するIPアドレスやホスト名、ただし、「localhost」は使えない。  
アカウント名:収集したいコンピュータ上にある管理権限を持つアカウントを設定します。
 パスワードはプロぷとが立ち上がるので、そこで入力します。  

自分自身に接続して収集する例(アカウント名が user1 の場合)
 .\kansa.ps1 -Target $Env:COMPUTERNAME -Credential user1 -ModulePath .\Modules -Verbose -Authentication Default  

192.168.1.2に接続して収集する例(アカウント名が user1 の場合)
 .\kansa.ps1 -Target 192.168.1.2 -Credential user1 -ModulePath .\Modules -Verbose -Authentication Default 


 TARGET_HOST(NetBIOS名)に接続して収集する例(アカウント名が user1 の場合)
 .\kansa.ps1 -Target TARGET_HOST -Credential user1 -ModulePath .\Modules -Verbose -Authentication Default