デバイスのセキュリティを維持することは不可欠です。 このために、特定の推奨事項とグッドプラクティスを考慮に入れることができます。 この記事では、 NSA 守ること Windows PowerShellの 。 目標は、この人気のあるオペレーティングシステムをより安全にし、ハッカーがサイバー攻撃を仕掛けるのをより困難にすることです。
PowerShellを使用したNSAセキュリティのヒント
PowerShellは、付属のコンソールインターフェイスです Windowsに組み込まれています 。 そこから、コマンドを実行して特定のアクションを実行できます。 たとえば、タスクを自動化したり、チームに関する特定の情報を表示したりできます。 現在、NSAは、システムをより保護したいという願望から、それを使用してWindowsのセキュリティを向上させるための一連のガイドラインを提供しています。
アメリカ国民 セキュリティ エージェンシーは、他のパートナーエージェンシーとともに、PowerShellが多くの場合に使用されていることを示しています サイバー攻撃を開始する 。 ただし、組み込みのセキュリティ機能を使用して、保護を強化し、システムをより安全にすることもできます。
彼らが与えるヒントのXNUMXつは 安全なPowerShellリモーティング 、Windowsホストでコマンドをリモートで実行するときに、クレデンシャルがプレーンテキストで公開されないようにします。 管理者がプライベートネットワークでこの機能を有効にすると、すべての接続を許可する新しいルールがWindowsファイアウォールに自動的に追加されると彼らは述べています。
したがって、 Windowsファイアウォールのカスタマイズ 信頼できるエンドポイントとネットワークからの接続のみを許可することで、攻撃者が横方向の移動を成功させる可能性を減らすことができます。
NSAは、リモート接続を使用するために、 セキュアシェル (SSH)プロトコル。PowerShell7と互換性があります。これにより、セキュリティが強化されます。 これは、リモート接続がSSL証明書を使用したHTTPSや、WinRMを介してリモート接続を行う場合のように信頼できるホストを必要としないためです。
また、AppLockerまたはWindows Defender Application Controlを使用してPowerShellの操作を減らし、管理者が定義したポリシー外の操作を防ぐためにツールをCLMモードで構成できるようにすることをお勧めします。
PowerShellで誤用を検出する
さらに、NSAは推奨しています PowerShellアクティビティの記録 誤用を検出するため。 このようにして、レコードを監視し、何かが間違っている可能性のある兆候を見つけることができます。 彼らは、セキュリティを向上させるために、DSBLやOTSなどのさまざまな機能をアクティブ化することを提案しています。
これにより、危険な可能性のあるPowerShellのアクティビティを検索するために使用できるログのデータベースを作成できます。 また、OTSを使用すると、管理者はすべてのPowerShell入力または出力のログを取得して、攻撃者の意図を判断できます。
つまり、NSAから、PowerShellとそのさまざまな用途を考慮すると便利であることが示されています。 これは、攻撃者がセキュリティを危険にさらすために使用できるツールですが、システムを正しく構成して確実に保護すれば、システムを保護するためにも興味深いものです。 WindowsDefenderのリアルタイム保護などの機能を使用することも役立ちます。