PowerShell-plattformen för uppgiftsautomatisering, som ofta missbrukas av hackare som distribuerar skadlig programvara (öppnas i ny flik), kan också användas för att upptäcka och förebygga attacker. Det är rådet som USA:s nationella säkerhetsbyrå (NSA) nyligen gav till systemadministratörer runt om i världen.
Tillsammans med Cybersecurity Centers i Storbritannien och Nya Zeeland utfärdade NSA en säkerhetsrådgivning som säger att blockering av PowerShell, en vanlig säkerhetspraxis, faktiskt minskar organisationers defensiva möjligheter mot ransomware (öppnas i en ny flik) och andra former av cyberattacker.
Istället bör systemadministratörer använda det för att stärka sin kriminalteknik och incidentrespons, samt automatisera så många repetitiva uppgifter som möjligt.
Många rekommendationer
"Blockering av PowerShell hämmar de defensiva funktionerna som nuvarande versioner av PowerShell kan tillhandahålla och förhindrar Windows operativsystems komponenter från att fungera korrekt. Nya versioner av PowerShell med förbättrade möjligheter och alternativ kan hjälpa försvarare att motverka PowerShell-missbruk", säger NSA.
Rådgivningen innehåller ett antal rekommendationer, inklusive användning av PowerShell-fjärrkontroll eller användning av Secure Shell-protokollet (SSH) för att förbättra säkerheten för autentisering av offentliga nyckel.
"Rätt konfigurering av WDAC eller AppLocker i Windows 10+ hjälper till att förhindra en illvillig aktör från att ta full kontroll över en PowerShell-session och värd", förklarar dokumentet.
Systemadministratörer kan också kontrollera sina slutpunkter för tecken på missbruk (öppnas i en ny flik) genom att logga PowerShell-aktivitet och övervaka loggar.
Den rådgivande rekommendationen rekommenderar också att administratörer aktiverar funktioner som djuploggning av skriptblock, modulloggning eller transkription över axeln, eftersom den förra skapar en databas med loggar, användbar för att upptäcka aggressiv PowerShell-aktivitet.
Det senare tillåter administratörer att logga varje in- och utgång av PowerShell, vilket får en bättre förståelse för angriparnas mål.
"PowerShell är viktigt för att skydda Windows-operativsystemet", avslutade NSA och tillade att med korrekt konfiguration och hantering kan det vara ett utmärkt verktyg för systemunderhåll och säkerhet.
Via BleepingComputer (öppnas i en ny flik)