PowerShell nicht blockieren, aber richtig konfigurieren

Cybersicherheitsbehörden aus den USA, Großbritannien und Neuseeland haben Unternehmen und Behörden geraten, das in Microsoft integrierte Windows-Befehlszeilentool PowerShell richtig zu konfigurieren – aber nicht zu entfernen.

Verteidiger sollten PowerShell, eine Skriptsprache, nicht deaktivieren, da es sich um eine nützliche Befehlszeilenschnittstelle für Windows handelt, die bei der Forensik, der Reaktion auf Zwischenfälle und der Automatisierung von Desktop-Aufgaben helfen kann. Dies geht aus einer gemeinsamen Empfehlung des US-Spionagedienstes National Security Agency (NSA), der US-Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) sowie der nationalen Cybersicherheitszentren von Neuseeland und Großbritannien hervor.

Außerdem können Administratoren Sicherheitsaufgaben auf Microsofts Cloud-Plattform Azure automatisieren. Benutzer können zum Beispiel PowerShell-Befehle schreiben, um das Antivirenprogramm Defender von Microsoft unter Windows 10 und Windows 11 zu verwalten.

Die Flexibilität der PowerShell hat sie jedoch auch für Angreifer interessant gemacht, die sie genutzt haben, um Windows-Geräte und sogar Linux-Systeme aus der Ferne zu kompromittieren.

„Cybersecurity-Behörden aus den Vereinigten Staaten, Neuseeland und dem Vereinigten Königreich empfehlen eine ordnungsgemäße Konfiguration und Überwachung von PowerShell, anstatt PowerShell vollständig zu entfernen oder zu deaktivieren“, so die Behörden.

„Dadurch werden die Vorteile der Sicherheitsfunktionen, die PowerShell bieten kann, genutzt, während gleichzeitig die Wahrscheinlichkeit verringert wird, dass böswillige Akteure sie unentdeckt nutzen, nachdem sie sich Zugang zu den Netzwerken der Opfer verschafft haben.

Die Erweiterbarkeit von PowerShell und die Tatsache, dass es mit Windows 10 und 11 ausgeliefert wird, gibt Angreifern die Möglichkeit, das Tool zu missbrauchen. Dies geschieht in der Regel, nachdem sich ein Angreifer über Windows- oder andere Software-Schwachstellen Zugang zum Netzwerk eines Opfers verschafft hat.

PowerShell-Angriffe haben jedoch einige Administratoren dazu veranlasst, das Tool von ihren Geräten zu entfernen, was laut der NSA eine schlechte Idee ist. „Dies hat einige Netzverteidiger dazu veranlasst, das Windows-Tool zu deaktivieren oder zu entfernen. Die NSA und ihre Partner raten davon ab, dies zu tun“, so die NSA.

Wie das US-Verteidigungsministerium anmerkt, behindert das Blockieren von PowerShell die Verteidigungsfunktionen, die aktuelle Versionen von PowerShell bieten können, und verhindert, dass Komponenten von Windows ordnungsgemäß ausgeführt werden.

Der Ratschlag deckt sich mit den Richtlinien von Microsoft zur Verwendung von PowerShell und den Tipps, die Microsoft Administratoren zum Schutz vor PowerShell-Angriffen gibt. Microsoft räumte im Jahr 2020 ein, dass PowerShell sowohl von handelsüblicher Malware als auch von Angreifern verwendet wird“.

„PowerShell ist bei weitem die sicherste und sicherheitstransparenteste Shell, Skriptsprache oder Programmiersprache, die es gibt“, so Microsoft in einem Blogpost von 2020.

Das New Zealand National Cyber Security Centre fasst die Vorteile der Verwendung von PowerShell zusammen:

Schutz der Anmeldeinformationen beim PowerShell-Remoting

Netzwerkschutz bei PowerShell-Remoting

Integration der Anti-Malware-Scan-Schnittstelle (AMSI)

Eingeschränkte PowerShell mit Anwendungssteuerung

PowerShell ermöglicht auch Remoteverwaltungsfunktionen, die Kerberos- oder New Technology LAN Manager (NTLM)-Protokolle verwenden. Kerberos ist das Hauptgerüst für Active Directory (AD), den Identitätsdienst von Microsoft, und ist der Nachfolger von NTLM, das in Windows 2000 implementiert wurde.

Microsoft hat PowerShell 7 im Jahr 2020 veröffentlicht, aber Version 5.1 wird mit Windows 10 und höher ausgeliefert. Die neueste Version ist 7.2, die neue Sicherheitsmaßnahmen wie Prävention, Erkennung und Authentifizierung enthält.

Die Behörden empfehlen, PowerShell 5.1 „explizit zu deaktivieren und zu deinstallieren“, aber sie geben keine Empfehlungen für die Verwendung von PowerShell-Versionen mit Linux und macOS.

Sie geben auch Ratschläge für den Netzwerkschutz, AMSI und die Konfiguration von AppLocker/Windows Defender Application Control (WDAC) zur Konfiguration von PowerShell, um zu verhindern, dass Angreifer die volle Kontrolle über PowerShell-Sitzungen erlangen.

Die Agenturen heben Funktionen hervor, die in den neuesten Versionen von PowerShell verfügbar sind, wie z. B. tiefe Skriptblockprotokollierung, Over-the-Shoulder-Transkription, Authentifizierungsverfahren und Fernzugriff über Secure Shell (SSH)

„PowerShell ist für die Sicherheit des Windows-Betriebssystems unverzichtbar, zumal neuere Versionen frühere Einschränkungen und Bedenken durch Updates und Verbesserungen beseitigt haben“, so die NSA.

„Die Entfernung oder unsachgemäße Einschränkung der PowerShell würde Administratoren und Verteidiger daran hindern, die PowerShell zur Unterstützung von Systemwartung, Forensik, Automatisierung und Sicherheit zu nutzen. Die PowerShell sollte zusammen mit ihren administrativen Fähigkeiten und Sicherheitsmaßnahmen ordnungsgemäß verwaltet und angenommen werden.“

ZDNet.de Redaktion

Recent Posts

Konsolidierte und strukturierte Daten für medizinische Versorgung

Telekom und vitagroup stellen Kliniken offene Plattform zur Verfügung, die Gesundheitsdaten unabhängig von einzelnen Herstellern…

11 Stunden ago

Zahl der Webauftritte sinkt wieder

Auch 2023 war kein gutes Jahr für die Hoster von KMU-Webseiten. Erneut schlossen viele Mittelständler…

11 Stunden ago

Pwn2Own: Google verteilt Sicherheitsupdate für Chrome

Es schließt zwei schwerwiegende Lücken, die eine Remotecodeausführung erlauben. Darüber hinaus stopft Google ein kritisches…

1 Tag ago

IT-Verzicht fürs Klima – wie viele sind dazu bereit?

Der Digitalverband Bitkom hat 1.000 Deutsche danach befragt, auf welche Angebote sie aus Gründen des…

1 Tag ago

BSI warnt Microsoft-Exchange-Nutzer

Laut Bundesamt sind mindestens 17.000 Instanzen in Deutschland durch eine oder mehrere kritische Schwachstellen verwundbar.

1 Tag ago

Apple kündigt Entwicklerkonferenz WWDC 2024 für 10. Juni an

Die Veranstaltung startet wie in jedem Jahr mit einer Keynote. Apple verspricht Neuerungen für alle…

2 Tagen ago