Maintenir la sécurité sur nos appareils est essentiel. Pour cela nous pouvons prendre en compte certaines recommandations et bonnes pratiques. Dans cet article, nous faisons écho aux conseils donnés par le NSA protéger Windows avec PowerShell . L'objectif est de rendre ce système d'exploitation populaire plus sûr et de rendre plus difficile pour les pirates de lancer des cyberattaques.
Conseils de sécurité NSA avec PowerShell
PowerShell est une interface de console qui vient intégré à Windows . De là, nous pouvons exécuter des commandes et effectuer certaines actions. Par exemple, nous pouvons automatiser des tâches ou voir certaines informations sur l'équipe. Maintenant de la NSA, dans sa volonté de rendre les systèmes plus protégés, il a donné une série de directives pour l'utiliser et ainsi améliorer la sécurité de Windows.
La nationale américaine Sécurité Agency, ainsi que d'autres agences partenaires, ont indiqué que PowerShell est utilisé dans de nombreux cas pour lancer des cyberattaques . Cependant, nous pouvons également utiliser les capacités de sécurité intégrées pour améliorer notre protection et rendre le système plus sécurisé.
L'un des conseils qu'ils donnent est de communication à distance PowerShell sécurisée , pour les empêcher d'exposer les informations d'identification en texte brut lors de l'exécution à distance de commandes sur des hôtes Windows. Ils déclarent que si les administrateurs activent cette fonctionnalité sur les réseaux privés, ils ajoutent automatiquement une nouvelle règle dans le pare-feu Windows qui autorise toutes les connexions.
Par conséquent, personnalisation du pare-feu Windows autoriser les connexions uniquement à partir de points de terminaison et de réseaux de confiance permet de réduire le risque qu'un attaquant réussisse un mouvement latéral.
La NSA, pour utiliser les connexions à distance, recommande d'utiliser le Secure Shell (SSH), compatible avec PowerShell 7. Cela apportera une plus grande sécurité. En effet, les connexions à distance n'ont pas besoin de HTTPS avec des certificats SSL ou d'hôtes de confiance, comme cela se produirait lors d'une connexion à distance via WinRM.
Ils recommandent également de réduire les opérations PowerShell à l'aide d'AppLocker ou de Windows Defender Application Control afin que vous puissiez configurer l'outil en mode CLM pour empêcher les opérations en dehors des politiques définies par l'administrateur.
Détecter les abus avec PowerShell
De plus, la NSA recommande enregistrement de l'activité PowerShell dans afin de détecter les abus. De cette façon, nous pouvons surveiller les enregistrements et trouver des signes possibles que quelque chose ne va pas. Ils proposent d'activer différentes fonctions, telles que DSBL et OTS, pour améliorer la sécurité.
Cela vous permettra de créer une base de données de journaux pouvant être utilisée pour rechercher des activités dans PowerShell qui pourraient être dangereuses. De plus, avec OTS, les administrateurs auront un journal de chaque entrée ou sortie PowerShell pour déterminer les intentions d'un attaquant.
Bref, de la NSA ils indiquent qu'il est commode de prendre en compte PowerShell et ses différents usages. C'est un outil qui peut être utilisé par des attaquants pour mettre en danger la sécurité, mais il est également intéressant pour protéger le système si nous le configurons correctement et veillons à ce qu'il soit protégé. L'utilisation de fonctionnalités telles que la protection en temps réel de Windows Defender est également utile.
