Die Aufgabenautomatisierungsplattform von PowerShell wird oft von Hackern missbraucht, die Malware verbreiten (öffnet sich in einem neuen Tab), und kann auch zur Angriffserkennung und -prävention eingesetzt werden. Das ist der Rat, den die US-amerikanische National Security Agency (NSA) kürzlich Systemadministratoren auf der ganzen Welt gegeben hat.
Zusammen mit den Zentren für Cybersicherheit im Vereinigten Königreich und in Neuseeland hat die NSA eine Sicherheitswarnung herausgegeben, in der es heißt, dass das Blockieren von PowerShell, einer gängigen Sicherheitspraxis, tatsächlich die Verteidigungsfähigkeiten von Organisationen gegen Ransomware (öffnet sich in einem neuen Tab) und andere Formen von Cyberangriffen verringert .
Stattdessen sollten Systemadministratoren es nutzen, um ihre Forensik und Reaktion auf Vorfälle zu verbessern und so viele sich wiederholende Aufgaben wie möglich zu automatisieren.
viele Empfehlungen
„Das Blockieren von PowerShell beeinträchtigt die Abwehrfunktionen, die aktuelle Versionen von PowerShell bieten können, und verhindert, dass Windows-Betriebssystemkomponenten ordnungsgemäß funktionieren. Aktuelle Versionen von PowerShell mit erweiterten Funktionen und Optionen können Verteidigern helfen, PowerShell-Missbrauch zu bekämpfen“, sagte die NSA.
Das Advisory enthält eine Reihe von Empfehlungen, darunter den Einsatz von PowerShell-Remoting oder den Einsatz des Secure Shell (SSH)-Protokolls zur Verbesserung der Sicherheit der Public-Key-Authentifizierung.
„Die ordnungsgemäße Konfiguration von WDAC oder AppLocker in Windows 10+ trägt dazu bei, zu verhindern, dass ein böswilliger Akteur die volle Kontrolle über eine PowerShell-Sitzung und einen PowerShell-Host übernimmt“, erklärt das Dokument.
Systemadministratoren können ihre Endpunkte auch auf Anzeichen von Missbrauch überprüfen (öffnet sich in einem neuen Tab), indem sie PowerShell-Aktivitäten aufzeichnen und die Protokolle überwachen.
Das Advisory empfiehlt außerdem, dass Administratoren Funktionen wie Deep-Script-Block-Logging, Modul-Logging oder Over-the-Shoulder-Transkription aktivieren, da erstere eine Datenbank mit Protokollen erstellt, die für die Erkennung aggressiver PowerShell-Aktivitäten nützlich ist.
Letzteres ermöglicht es Administratoren, alle PowerShell-Ein- und -Ausgaben zu protokollieren und so ein besseres Verständnis für die Ziele der Angreifer zu gewinnen.
„PowerShell ist für den Schutz des Windows-Betriebssystems unerlässlich“, schlussfolgerte die NSA und fügte hinzu, dass es bei richtiger Konfiguration und Verwaltung ein hervorragendes Werkzeug für die Systemwartung und -sicherheit sein kann.
Über BleepingComputer (Wird in einem neuen Tab geöffnet)