Ofta missbrukas av hackare som distribuerar skadlig programvara (öppnas i en ny flik), PowerShells uppgiftsautomatiseringsplattform kan också användas för att upptäcka och förebygga attacker. Det är rådet som USA:s nationella säkerhetsbyrå (NSA) nyligen gav till systemadministratörer runt om i världen.

Tillsammans med Cyber ​​​​Security Centers i Storbritannien och Nya Zeeland utfärdade NSA en säkerhetsrådgivning som säger att blockering av PowerShell, en vanlig säkerhetspraxis, faktiskt minskar organisationers defensiva möjligheter mot ransomware (öppnas i en ny flik) och andra former av cyberattacker.

Istället bör systemadministratörer använda det för att stärka sin kriminaltekniska och incidentrespons, samt automatisera så många repetitiva uppgifter som möjligt.

många rekommendationer

"PowerShell-blockering hämmar de defensiva funktionerna som nuvarande versioner av PowerShell kan tillhandahålla och förhindrar komponenter i Windows-operativsystemet från att fungera korrekt. Nya versioner av PowerShell med förbättrade möjligheter och alternativ kan hjälpa försvarare att motverka PowerShell-missbruk, säger NSA.

Rådgivningen innehåller ett antal rekommendationer, inklusive användningen av PowerShell-fjärrkontroll eller användningen av Secure Shell-protokollet (SSH) för att förbättra säkerheten för autentisering av offentlig nyckel.

"Rätta WDAC- eller AppLocker-inställningar i Windows 10+ hjälper till att förhindra en illvillig aktör från att ta full kontroll över en PowerShell-session och värden", förklarar dokumentet.

Systemadministratörer kan också kontrollera sina slutpunkter för tecken på missbruk (öppnas i en ny flik) genom att logga PowerShell-aktivitet och övervaka loggar.

Rådgivningen rekommenderar också att administratörer aktiverar funktioner som djuploggning av skriptblock, modulloggning eller transkription över axeln, eftersom den förra skapar en databas med loggar, användbar för att upptäcka aggressiv PowerShell-aktivitet.

Det senare tillåter administratörer att logga alla PowerShell-ingångar och -utgångar, vilket får en bättre förståelse för angriparnas mål.

"PowerShell är avgörande för att skydda Windows-operativsystemet", avslutade NSA och tillade att med korrekt konfiguration och hantering kan det vara ett utmärkt verktyg för systemunderhåll och säkerhet.

Via BleepingComputer (öppnas i en ny flik)

Dela detta