Manter a segurança em nossos dispositivos é essencial. Para isso, podemos levar em consideração algumas recomendações e boas práticas. Neste artigo, ecoamos o conselho dado pelo NSA proteger Windows com PowerShell . O objetivo é tornar esse sistema operacional popular mais seguro e dificultar o lançamento de ataques cibernéticos por hackers.
Dicas de segurança da NSA com o PowerShell
PowerShell é uma interface de console que vem integrado com o Windows . A partir daí podemos executar comandos e realizar determinadas ações. Por exemplo, podemos automatizar tarefas ou ver certas informações sobre a equipe. Agora a NSA, em seu desejo de tornar os sistemas mais protegidos, deu uma série de diretrizes para usá-lo e, assim, melhorar a segurança do Windows.
Nacional dos EUA Segurança Agency, juntamente com outras agências parceiras, indicou que o PowerShell é usado em muitos casos para lançar ataques cibernéticos . No entanto, também podemos usar os recursos de segurança integrados para aprimorar nossa proteção e tornar o sistema mais seguro.
Uma das dicas que eles dão é comunicação remota segura do PowerShell , para evitar que eles exponham credenciais em texto simples ao executar comandos remotamente em hosts Windows. Eles afirmam que, se os administradores habilitarem esse recurso em redes privadas, eles adicionarão automaticamente uma nova regra no Firewall do Windows que permite todas as conexões.
Portanto, Personalizando o Firewall do Windows permitir conexões apenas de terminais e redes confiáveis ajuda a reduzir a chance de um invasor fazer uma movimentação lateral bem-sucedida.
A NSA, para usar conexões remotas, recomenda usar o Secure Shell (SSH), compatível com PowerShell 7. Isso proporcionará maior segurança. Isso ocorre porque as conexões remotas não precisam de HTTPS com certificados SSL ou hosts confiáveis, como aconteceria ao fazer uma conexão remota por meio do WinRM.
Eles também recomendam reduzir as operações do PowerShell com a ajuda do AppLocker ou do Windows Defender Application Control para que você possa configurar a ferramenta no modo CLM para evitar operações fora das políticas definidas pelo administrador.
Detectar uso indevido com o PowerShell
Além disso, a NSA recomenda gravando a atividade do PowerShell em para detectar o uso indevido. Desta forma podemos monitorar os registros e encontrar possíveis sinais de que algo está errado. Eles propõem ativar diferentes funções, como DSBL e OTS, para melhorar a segurança.
Isso permitirá que você crie um banco de dados de logs que pode ser usado para pesquisar atividades no PowerShell que possam ser perigosas. Além disso, os administradores do OTS terão um log de cada entrada ou saída do PowerShell para determinar as intenções de um invasor.
Em suma, da NSA, eles indicam que é conveniente levar em consideração o PowerShell e seus diferentes usos. É uma ferramenta que pode ser usada por invasores para colocar a segurança em risco, mas também é interessante para proteger o sistema se o configurarmos corretamente e garantirmos que ele esteja protegido. O uso de recursos como a proteção em tempo real do Windows Defender também é útil.
