Det er vigtigt at opretholde sikkerheden på vores enheder. Til dette kan vi tage hensyn til visse anbefalinger og god praksis. I denne artikel gentager vi rådene givet af NSA at beskytte Windows med PowerShell . Målet er at gøre dette populære operativsystem mere sikkert og gøre det sværere for hackere at iværksætte cyberangreb.
NSA-sikkerhedstips med PowerShell
PowerShell er en konsolgrænseflade, der kommer indbygget med Windows . Derfra kan vi udføre kommandoer og udføre visse handlinger. For eksempel kan vi automatisere opgaver eller se visse oplysninger om teamet. Nu fra NSA, i sit ønske om at gøre systemer mere beskyttede, har det givet en række retningslinjer for at bruge det og dermed forbedre sikkerheden i Windows.
Den amerikanske statsborger Sikkerhed Agency har sammen med andre partnerbureauer indikeret, at PowerShell i mange tilfælde bruges til iværksætte cyberangreb . Vi kan dog også bruge de indbyggede sikkerhedsfunktioner til at forbedre vores beskyttelse og gøre systemet mere sikkert.
Et af de råd de giver er at sikker PowerShell fjernbetjening , for at forhindre dem i at afsløre legitimationsoplysninger i almindelig tekst, når de fjernudfører kommandoer på Windows-værter. De oplyser, at hvis administratorer aktiverer denne funktion på private netværk, tilføjer de automatisk en ny regel i Windows Firewall, der tillader alle forbindelser.
Derfor, tilpasning af Windows Firewall kun at tillade forbindelser fra betroede endepunkter og netværk hjælper med at reducere chancen for, at en angriber foretager et vellykket sideværts træk.
NSA, for at bruge fjernforbindelser, anbefaler at bruge Secure Shell (SSH) protokol, kompatibel med PowerShell 7. Dette vil give større sikkerhed. Dette er tilfældet, da fjernforbindelser ikke behøver HTTPS med SSL-certifikater eller betroede værter, som det ville ske, når der oprettes en fjernforbindelse gennem WinRM.
De anbefaler også at reducere PowerShell-operationer ved hjælp af AppLocker eller Windows Defender Application Control, så du kan konfigurere værktøjet i CLM-tilstand for at forhindre operationer uden for administratordefinerede politikker.
Opdag misbrug med PowerShell
Derudover anbefaler NSA optager PowerShell-aktivitet i for at opdage misbrug. På den måde kan vi overvåge journalerne og finde mulige tegn på, at der er noget galt. De foreslår at aktivere forskellige funktioner, såsom DSBL og OTS, for at forbedre sikkerheden.
Dette giver dig mulighed for at oprette en database med logfiler, der kan bruges til at søge efter aktiviteter i PowerShell, der kan være farlige. Med OTS vil administratorer også have en log over hver PowerShell-input eller -output for at bestemme en angribers hensigter.
Kort sagt, fra NSA angiver de, at det er praktisk at tage højde for PowerShell og dets forskellige anvendelser. Det er et værktøj, der kan bruges af angribere til at sætte sikkerheden på spil, men det er også interessant for at beskytte systemet, hvis vi konfigurerer det korrekt og sikrer, at det er beskyttet. Det er også nyttigt at bruge funktioner som Windows Defender i realtid.
