PowerShell nicht blockieren, aber richtig konfigurieren

Cybersicherheitsbehörden aus den USA, Großbritannien und Neuseeland haben Unternehmen und Behörden geraten, das in Microsoft integrierte Windows-Befehlszeilentool PowerShell richtig zu konfigurieren – aber nicht zu entfernen.

Verteidiger sollten PowerShell, eine Skriptsprache, nicht deaktivieren, da es sich um eine nützliche Befehlszeilenschnittstelle für Windows handelt, die bei der Forensik, der Reaktion auf Zwischenfälle und der Automatisierung von Desktop-Aufgaben helfen kann. Dies geht aus einer gemeinsamen Empfehlung des US-Spionagedienstes National Security Agency (NSA), der US-Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) sowie der nationalen Cybersicherheitszentren von Neuseeland und Großbritannien hervor.

Außerdem können Administratoren Sicherheitsaufgaben auf Microsofts Cloud-Plattform Azure automatisieren. Benutzer können zum Beispiel PowerShell-Befehle schreiben, um das Antivirenprogramm Defender von Microsoft unter Windows 10 und Windows 11 zu verwalten.

Die Flexibilität der PowerShell hat sie jedoch auch für Angreifer interessant gemacht, die sie genutzt haben, um Windows-Geräte und sogar Linux-Systeme aus der Ferne zu kompromittieren.

„Cybersecurity-Behörden aus den Vereinigten Staaten, Neuseeland und dem Vereinigten Königreich empfehlen eine ordnungsgemäße Konfiguration und Überwachung von PowerShell, anstatt PowerShell vollständig zu entfernen oder zu deaktivieren“, so die Behörden.

„Dadurch werden die Vorteile der Sicherheitsfunktionen, die PowerShell bieten kann, genutzt, während gleichzeitig die Wahrscheinlichkeit verringert wird, dass böswillige Akteure sie unentdeckt nutzen, nachdem sie sich Zugang zu den Netzwerken der Opfer verschafft haben.

Die Erweiterbarkeit von PowerShell und die Tatsache, dass es mit Windows 10 und 11 ausgeliefert wird, gibt Angreifern die Möglichkeit, das Tool zu missbrauchen. Dies geschieht in der Regel, nachdem sich ein Angreifer über Windows- oder andere Software-Schwachstellen Zugang zum Netzwerk eines Opfers verschafft hat.

PowerShell-Angriffe haben jedoch einige Administratoren dazu veranlasst, das Tool von ihren Geräten zu entfernen, was laut der NSA eine schlechte Idee ist. „Dies hat einige Netzverteidiger dazu veranlasst, das Windows-Tool zu deaktivieren oder zu entfernen. Die NSA und ihre Partner raten davon ab, dies zu tun“, so die NSA.

Wie das US-Verteidigungsministerium anmerkt, behindert das Blockieren von PowerShell die Verteidigungsfunktionen, die aktuelle Versionen von PowerShell bieten können, und verhindert, dass Komponenten von Windows ordnungsgemäß ausgeführt werden.

Der Ratschlag deckt sich mit den Richtlinien von Microsoft zur Verwendung von PowerShell und den Tipps, die Microsoft Administratoren zum Schutz vor PowerShell-Angriffen gibt. Microsoft räumte im Jahr 2020 ein, dass PowerShell sowohl von handelsüblicher Malware als auch von Angreifern verwendet wird“.

„PowerShell ist bei weitem die sicherste und sicherheitstransparenteste Shell, Skriptsprache oder Programmiersprache, die es gibt“, so Microsoft in einem Blogpost von 2020.

Das New Zealand National Cyber Security Centre fasst die Vorteile der Verwendung von PowerShell zusammen:

Schutz der Anmeldeinformationen beim PowerShell-Remoting

Netzwerkschutz bei PowerShell-Remoting

Integration der Anti-Malware-Scan-Schnittstelle (AMSI)

Eingeschränkte PowerShell mit Anwendungssteuerung

PowerShell ermöglicht auch Remoteverwaltungsfunktionen, die Kerberos- oder New Technology LAN Manager (NTLM)-Protokolle verwenden. Kerberos ist das Hauptgerüst für Active Directory (AD), den Identitätsdienst von Microsoft, und ist der Nachfolger von NTLM, das in Windows 2000 implementiert wurde.

Microsoft hat PowerShell 7 im Jahr 2020 veröffentlicht, aber Version 5.1 wird mit Windows 10 und höher ausgeliefert. Die neueste Version ist 7.2, die neue Sicherheitsmaßnahmen wie Prävention, Erkennung und Authentifizierung enthält.

Die Behörden empfehlen, PowerShell 5.1 „explizit zu deaktivieren und zu deinstallieren“, aber sie geben keine Empfehlungen für die Verwendung von PowerShell-Versionen mit Linux und macOS.

Sie geben auch Ratschläge für den Netzwerkschutz, AMSI und die Konfiguration von AppLocker/Windows Defender Application Control (WDAC) zur Konfiguration von PowerShell, um zu verhindern, dass Angreifer die volle Kontrolle über PowerShell-Sitzungen erlangen.

Die Agenturen heben Funktionen hervor, die in den neuesten Versionen von PowerShell verfügbar sind, wie z. B. tiefe Skriptblockprotokollierung, Over-the-Shoulder-Transkription, Authentifizierungsverfahren und Fernzugriff über Secure Shell (SSH)

„PowerShell ist für die Sicherheit des Windows-Betriebssystems unverzichtbar, zumal neuere Versionen frühere Einschränkungen und Bedenken durch Updates und Verbesserungen beseitigt haben“, so die NSA.

„Die Entfernung oder unsachgemäße Einschränkung der PowerShell würde Administratoren und Verteidiger daran hindern, die PowerShell zur Unterstützung von Systemwartung, Forensik, Automatisierung und Sicherheit zu nutzen. Die PowerShell sollte zusammen mit ihren administrativen Fähigkeiten und Sicherheitsmaßnahmen ordnungsgemäß verwaltet und angenommen werden.“

ZDNet.de Redaktion

Recent Posts

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

6 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

22 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

1 Tag ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

1 Tag ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

1 Tag ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

1 Tag ago