PowerShell nicht blockieren, aber richtig konfigurieren

PowerShell wird oft von Angreifern missbraucht, aber Verteidiger sollten das Windows-Befehlszeilentool nicht abschalten, warnen angelsächsische Cybersecurity-Agenturen.

Cybersicherheitsbehörden aus den USA, Großbritannien und Neuseeland haben Unternehmen und Behörden geraten, das in Microsoft integrierte Windows-Befehlszeilentool PowerShell richtig zu konfigurieren – aber nicht zu entfernen.

Verteidiger sollten PowerShell, eine Skriptsprache, nicht deaktivieren, da es sich um eine nützliche Befehlszeilenschnittstelle für Windows handelt, die bei der Forensik, der Reaktion auf Zwischenfälle und der Automatisierung von Desktop-Aufgaben helfen kann. Dies geht aus einer gemeinsamen Empfehlung des US-Spionagedienstes National Security Agency (NSA), der US-Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) sowie der nationalen Cybersicherheitszentren von Neuseeland und Großbritannien hervor.

Außerdem können Administratoren Sicherheitsaufgaben auf Microsofts Cloud-Plattform Azure automatisieren. Benutzer können zum Beispiel PowerShell-Befehle schreiben, um das Antivirenprogramm Defender von Microsoft unter Windows 10 und Windows 11 zu verwalten.

Die Flexibilität der PowerShell hat sie jedoch auch für Angreifer interessant gemacht, die sie genutzt haben, um Windows-Geräte und sogar Linux-Systeme aus der Ferne zu kompromittieren.

„Cybersecurity-Behörden aus den Vereinigten Staaten, Neuseeland und dem Vereinigten Königreich empfehlen eine ordnungsgemäße Konfiguration und Überwachung von PowerShell, anstatt PowerShell vollständig zu entfernen oder zu deaktivieren“, so die Behörden.

„Dadurch werden die Vorteile der Sicherheitsfunktionen, die PowerShell bieten kann, genutzt, während gleichzeitig die Wahrscheinlichkeit verringert wird, dass böswillige Akteure sie unentdeckt nutzen, nachdem sie sich Zugang zu den Netzwerken der Opfer verschafft haben.

Die Erweiterbarkeit von PowerShell und die Tatsache, dass es mit Windows 10 und 11 ausgeliefert wird, gibt Angreifern die Möglichkeit, das Tool zu missbrauchen. Dies geschieht in der Regel, nachdem sich ein Angreifer über Windows- oder andere Software-Schwachstellen Zugang zum Netzwerk eines Opfers verschafft hat.

PowerShell-Angriffe haben jedoch einige Administratoren dazu veranlasst, das Tool von ihren Geräten zu entfernen, was laut der NSA eine schlechte Idee ist. „Dies hat einige Netzverteidiger dazu veranlasst, das Windows-Tool zu deaktivieren oder zu entfernen. Die NSA und ihre Partner raten davon ab, dies zu tun“, so die NSA.

Wie das US-Verteidigungsministerium anmerkt, behindert das Blockieren von PowerShell die Verteidigungsfunktionen, die aktuelle Versionen von PowerShell bieten können, und verhindert, dass Komponenten von Windows ordnungsgemäß ausgeführt werden.

Der Ratschlag deckt sich mit den Richtlinien von Microsoft zur Verwendung von PowerShell und den Tipps, die Microsoft Administratoren zum Schutz vor PowerShell-Angriffen gibt. Microsoft räumte im Jahr 2020 ein, dass PowerShell sowohl von handelsüblicher Malware als auch von Angreifern verwendet wird“.

„PowerShell ist bei weitem die sicherste und sicherheitstransparenteste Shell, Skriptsprache oder Programmiersprache, die es gibt“, so Microsoft in einem Blogpost von 2020.

Das New Zealand National Cyber Security Centre fasst die Vorteile der Verwendung von PowerShell zusammen:

Schutz der Anmeldeinformationen beim PowerShell-Remoting

Netzwerkschutz bei PowerShell-Remoting

Integration der Anti-Malware-Scan-Schnittstelle (AMSI)

Eingeschränkte PowerShell mit Anwendungssteuerung

PowerShell ermöglicht auch Remoteverwaltungsfunktionen, die Kerberos- oder New Technology LAN Manager (NTLM)-Protokolle verwenden. Kerberos ist das Hauptgerüst für Active Directory (AD), den Identitätsdienst von Microsoft, und ist der Nachfolger von NTLM, das in Windows 2000 implementiert wurde.

 

Microsoft hat PowerShell 7 im Jahr 2020 veröffentlicht, aber Version 5.1 wird mit Windows 10 und höher ausgeliefert. Die neueste Version ist 7.2, die neue Sicherheitsmaßnahmen wie Prävention, Erkennung und Authentifizierung enthält.

 

Die Behörden empfehlen, PowerShell 5.1 „explizit zu deaktivieren und zu deinstallieren“, aber sie geben keine Empfehlungen für die Verwendung von PowerShell-Versionen mit Linux und macOS.

 

 

Sie geben auch Ratschläge für den Netzwerkschutz, AMSI und die Konfiguration von AppLocker/Windows Defender Application Control (WDAC) zur Konfiguration von PowerShell, um zu verhindern, dass Angreifer die volle Kontrolle über PowerShell-Sitzungen erlangen.

 

 

Die Agenturen heben Funktionen hervor, die in den neuesten Versionen von PowerShell verfügbar sind, wie z. B. tiefe Skriptblockprotokollierung, Over-the-Shoulder-Transkription, Authentifizierungsverfahren und Fernzugriff über Secure Shell (SSH)

 

„PowerShell ist für die Sicherheit des Windows-Betriebssystems unverzichtbar, zumal neuere Versionen frühere Einschränkungen und Bedenken durch Updates und Verbesserungen beseitigt haben“, so die NSA.

 

„Die Entfernung oder unsachgemäße Einschränkung der PowerShell würde Administratoren und Verteidiger daran hindern, die PowerShell zur Unterstützung von Systemwartung, Forensik, Automatisierung und Sicherheit zu nutzen. Die PowerShell sollte zusammen mit ihren administrativen Fähigkeiten und Sicherheitsmaßnahmen ordnungsgemäß verwaltet und angenommen werden.“

Themenseiten: Microsoft, NSA

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu PowerShell nicht blockieren, aber richtig konfigurieren

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *