Det är viktigt att upprätthålla säkerheten på våra enheter. För detta kan vi ta hänsyn till vissa rekommendationer och god praxis. I den här artikeln upprepar vi råden som ges av NSA för att skydda Windows med Power . Målet är att göra detta populära operativsystem säkrare och göra det svårare för hackare att starta cyberattacker.
NSA-säkerhetstips med PowerShell
PowerShell är ett konsolgränssnitt som kommer inbyggd med Windows . Därifrån kan vi utföra kommandon och utföra vissa åtgärder. Vi kan till exempel automatisera uppgifter eller se viss information om teamet. Nu från NSA, i sin önskan att göra system mer skyddade, har den gett en rad riktlinjer för att använda det och därmed förbättra säkerheten för Windows.
US National Säkerhet Agency, tillsammans med andra partnerbyråer, har indikerat att PowerShell används i många fall för att starta cyberattacker . Men vi kan också använda de inbyggda säkerhetsfunktionerna för att förbättra vårt skydd och göra systemet säkrare.
Ett av tipsen de ger är att säker PowerShell-fjärrkontroll , för att hindra dem från att exponera autentiseringsuppgifter i vanlig text när kommandon fjärrkörs på Windows-värdar. De anger att om administratörer aktiverar den här funktionen på privata nätverk lägger de automatiskt till en ny regel i Windows-brandväggen som tillåter alla anslutningar.
Därför, anpassa Windows-brandväggen att endast tillåta anslutningar från betrodda slutpunkter och nätverk hjälper till att minska risken för att en angripare gör en framgångsrik sidoförflyttning.
NSA, för att använda fjärranslutningar, rekommenderar att du använder Secure Shell (SSH)-protokoll, kompatibelt med PowerShell 7. Detta ger större säkerhet. Detta är så eftersom fjärranslutningar inte behöver HTTPS med SSL-certifikat, eller betrodda värdar som skulle hända när man gör en fjärranslutning via WinRM.
De rekommenderar också att minska PowerShell-operationer med hjälp av AppLocker eller Windows Defender Application Control så att du kan konfigurera verktyget i CLM-läge för att förhindra operationer utanför administratörsdefinierade policyer.
Upptäck missbruk med PowerShell
Dessutom rekommenderar NSA registrerar PowerShell-aktivitet i för att upptäcka missbruk. På så sätt kan vi övervaka journalerna och hitta möjliga tecken på att något är fel. De föreslår att man ska aktivera olika funktioner, som DSBL och OTS, för att förbättra säkerheten.
Detta gör att du kan skapa en databas med loggar som kan användas för att söka efter aktiviteter i PowerShell som kan vara farliga. Med OTS kommer administratörer också att ha en logg över varje PowerShell-ingång eller -utgång för att fastställa en angripares avsikter.
Kort sagt, från NSA indikerar de att det är bekvämt att ta hänsyn till PowerShell och dess olika användningsområden. Det är ett verktyg som kan användas av angripare för att sätta säkerheten på spel, men det är också intressant för att skydda systemet om vi konfigurerar det korrekt och ser till att det är skyddat. Att använda funktioner som Windows Defender realtidsskydd är också användbart.
