PowerShell ofrece a administradores y profesionales de ciberseguridad un conjunto de herramientas muy potente para obtener información del sistema, analizar configuraciones de red, revisar procesos en ejecución y examinar registros de eventos en busca de anomalías. Este artículo explica varios comandos clave de PowerShell y su aplicación práctica en diagnósticos y evaluaciones de seguridad.
1. Omitir la Política de Ejecución
Comando
powershell -ep bypass
Descripción
Este comando inicia una nueva sesión de PowerShell con la Execution Policy configurada como Bypass, permitiendo ejecutar scripts sin restricciones impuestas por la política local.
Es útil en situaciones como:
- Respuesta a incidentes
- Auditorías del sistema
- Ejecución de scripts en sistemas con políticas restrictivas
Nota: Debe usarse con precaución, ya que omitir la política reduce las protecciones de ejecución de scripts.
2. Enumeración de Información del Sistema Operativo
Comando
Get-WmiObject -Class Win32_OperatingSystem | Select-Object -Property *
Descripción
Este comando obtiene información detallada del sistema operativo utilizando la clase Win32_OperatingSystem de WMI.
Proporciona datos como:
- Nombre y versión del sistema operativo
- Número de compilación
- Directorio del sistema
- Tiempo desde el último arranque
- Usuario registrado
- Arquitectura del sistema (32 o 64 bits)
Es especialmente útil para:
- Inventarios de sistemas
- Evaluaciones de vulnerabilidades
- Documentación de líneas base
3. Extracción de la Configuración de Red
Comando
Get-NetIPConfiguration | Select-Object -Property InterfaceAlias, IPv4Address, IPv6Address, DNServer
Descripción
Este comando recopila información de la configuración IP de todos los adaptadores de red.
Incluye:
- InterfaceAlias – alias o nombre de la interfaz
- IPv4Address / IPv6Address – direcciones IP asignadas
- DNServer – servidores DNS configurados
Es fundamental para diagnosticar:
- Problemas de conectividad
- Configuraciones DNS incorrectas
- Conflictos de direcciones IP
4. Listado de Procesos en Ejecución con Uso de CPU
Comando
Get-Process | Select-Object -Property ProcessName, Id, CPU | Sort-Object -Property CPU -Descending
Descripción
Este comando muestra todos los procesos activos en el sistema, incluyendo:
- ProcessName – nombre del proceso
- Id (PID) – identificador del proceso
- CPU – tiempo de CPU consumido
Los resultados se ordenan de mayor a menor consumo de CPU, facilitando la detección de procesos con alta carga o comportamiento sospechoso.
Útil para:
- Solución de problemas de rendimiento
- Identificación de malware en ejecución
- Monitorización de aplicaciones demandantes
5. Acceso a Registros de Eventos para Detectar Anomalías
Comando
Get-EventLog -LogName Security | Where-Object {$_.EntryType -eq 'FailureAudit'}
Descripción
Este comando filtra el registro de eventos Security buscando entradas del tipo FailureAudit, que normalmente indican intentos fallidos de autenticación o accesos no autorizados.
Sirve para:
- Detectar ataques de fuerza bruta
- Investigar fallos inusuales de inicio de sesión
- Identificar configuraciones defectuosas de autenticación
Estos comandos de PowerShell ofrecen una base sólida para el diagnóstico del sistema, análisis de red, monitorización de procesos y auditoría de seguridad. Pueden integrarse en scripts automatizados o ejecutarse de forma manual durante evaluaciones para recopilar información esencial del sistema de forma rápida y eficaz.