Laitteidemme turvallisuuden ylläpitäminen on välttämätöntä. Tätä varten voimme ottaa huomioon tietyt suositukset ja hyvät käytännöt. Tässä artikkelissa toistamme neuvoja NSA suojella Windows with PowerShell . Tavoitteena on tehdä tästä suositusta käyttöjärjestelmästä turvallisempi ja vaikeuttaa hakkereiden kyberhyökkäyksiä.
NSA:n tietoturvavinkkejä PowerShellin avulla
PowerShell on mukana tuleva konsoliliittymä sisäänrakennettu Windowsilla . Sieltä voimme suorittaa komentoja ja suorittaa tiettyjä toimintoja. Voimme esimerkiksi automatisoida tehtäviä tai nähdä tiettyjä tietoja tiimistä. Nyt NSA on antanut joukon ohjeita sen käyttämiseen ja siten Windowsin turvallisuuden parantamiseen pyrkiessään parantamaan järjestelmien suojausta.
Yhdysvaltain kansallinen Turvallisuus Toimisto yhdessä muiden kumppanitoimistojen kanssa on osoittanut, että PowerShellia käytetään monissa tapauksissa käynnistää kyberhyökkäyksiä . Voimme kuitenkin myös käyttää sisäänrakennettuja suojausominaisuuksia parantaaksemme suojaamme ja tehdäksemme järjestelmästä turvallisemman.
Yksi heidän antamistaan vinkeistä on suojattu PowerShell-etäkäyttö , jotta he eivät paljasta valtuustietoja pelkkänä tekstinä suorittaessaan komentoja etänä Windows-isännissä. He toteavat, että jos järjestelmänvalvojat ottavat tämän ominaisuuden käyttöön yksityisissä verkoissa, he lisäävät automaattisesti Windowsin palomuuriin uuden säännön, joka sallii kaikki yhteydet.
Näin ollen, Windowsin palomuurin mukauttaminen yhteyksien salliminen vain luotetuista päätepisteistä ja verkoista auttaa vähentämään hyökkääjän onnistuneen sivuttaisliikkeen mahdollisuutta.
NSA suosittelee etäyhteyksien käyttöä varten Secure Shell (SSH) -protokollaa, joka on yhteensopiva PowerShell 7:n kanssa. Tämä parantaa tietoturvaa. Tämä johtuu siitä, että etäyhteydet eivät tarvitse HTTPS:ää SSL-varmenteilla tai luotettavia isäntiä, kuten tapahtuisi luotaessa etäyhteyttä WinRM:n kautta.
He suosittelevat myös PowerShell-toimintojen vähentämistä AppLockerin tai Windows Defenderin sovellustenhallinnan avulla, jotta voit määrittää työkalun CLM-tilassa estämään järjestelmänvalvojan määrittämien käytäntöjen ulkopuoliset toiminnot.
Tunnista väärinkäyttö PowerShellillä
Lisäksi NSA suosittelee PowerShell-toiminnan tallennus sisään väärinkäytön havaitsemiseksi. Näin voimme seurata tallenteita ja löytää mahdollisia merkkejä siitä, että jotain on vialla. He ehdottavat eri toimintojen, kuten DSBL:n ja OTS:n, aktivoimista turvallisuuden parantamiseksi.
Tämän avulla voit luoda lokitietokannan, jota voidaan käyttää sellaisten toimien etsimiseen PowerShellissä, jotka voivat olla vaarallisia. Lisäksi OTS-järjestelmänvalvojat pitävät lokin jokaisesta PowerShell-syötteestä tai -lähdöstä hyökkääjän aikomusten määrittämiseksi.
Lyhyesti sanottuna NSA:n mukaan on kätevää ottaa huomioon PowerShell ja sen erilaiset käyttötarkoitukset. Se on työkalu, jota hyökkääjät voivat käyttää turvallisuuden vaarantamiseen, mutta se on myös mielenkiintoinen järjestelmän suojelemiseksi, jos määritämme sen oikein ja varmistamme, että se on suojattu. Windows Defenderin reaaliaikaisen suojauksen kaltaisten ominaisuuksien käyttäminen on myös hyödyllistä.
