Det er viktig å opprettholde sikkerheten på enhetene våre. For dette kan vi ta hensyn til visse anbefalinger og god praksis. I denne artikkelen gjentar vi rådene gitt av NSA å beskytte Windows med PowerShell . Målet er å gjøre dette populære operativsystemet sikrere og gjøre det vanskeligere for hackere å starte cyberangrep.
NSA-sikkerhetstips med PowerShell
PowerShell er et konsollgrensesnitt som kommer innebygd med Windows . Derfra kan vi utføre kommandoer og utføre visse handlinger. For eksempel kan vi automatisere oppgaver eller se viss informasjon om teamet. Nå fra NSA, i sitt ønske om å gjøre systemene mer beskyttet, har den gitt en rekke retningslinjer for å bruke det og dermed forbedre sikkerheten til Windows.
US National Sikkerhet Agency, sammen med andre partnerbyråer, har indikert at PowerShell brukes i mange tilfeller til starte cyberangrep . Vi kan imidlertid også bruke de innebygde sikkerhetsfunksjonene for å forbedre beskyttelsen vår og gjøre systemet sikrere.
Et av tipsene de gir er å sikker PowerShell-fjernkontroll , for å forhindre at de avslører legitimasjon i ren tekst når de eksternt utfører kommandoer på Windows-verter. De oppgir at hvis administratorer aktiverer denne funksjonen på private nettverk, legger de automatisk til en ny regel i Windows-brannmuren som tillater alle tilkoblinger.
Derfor, tilpasse Windows-brannmuren å tillate tilkoblinger kun fra klarerte endepunkter og nettverk bidrar til å redusere sjansen for at en angriper gjør et vellykket sidetrekk.
NSA, for å bruke eksterne tilkoblinger, anbefaler å bruke Secure Shell (SSH)-protokoll, kompatibel med PowerShell 7. Dette vil gi større sikkerhet. Dette er slik siden eksterne tilkoblinger ikke trenger HTTPS med SSL-sertifikater, eller klarerte verter, slik det ville skje når du oppretter en ekstern tilkobling gjennom WinRM.
De anbefaler også å redusere PowerShell-operasjoner ved hjelp av AppLocker eller Windows Defender Application Control slik at du kan konfigurere verktøyet i CLM-modus for å forhindre operasjoner utenfor administratordefinerte policyer.
Oppdag misbruk med PowerShell
I tillegg anbefaler NSA registrerer PowerShell-aktivitet i for å oppdage misbruk. På denne måten kan vi overvåke journalene og finne mulige tegn på at noe er galt. De foreslår å aktivere ulike funksjoner, som DSBL og OTS, for å forbedre sikkerheten.
Dette lar deg lage en database med logger som kan brukes til å søke etter aktiviteter i PowerShell som kan være farlige. Med OTS vil også administratorer ha en logg over hver PowerShell-inngang eller -utgang for å bestemme en angripers intensjoner.
Kort sagt, fra NSA indikerer de at det er praktisk å ta hensyn til PowerShell og dens forskjellige bruksområder. Det er et verktøy som kan brukes av angripere for å sette sikkerheten i fare, men det er også interessant for å beskytte systemet hvis vi konfigurerer det riktig og sørger for at det er beskyttet. Å bruke funksjoner som Windows Defender sanntidsbeskyttelse er også nyttig.
