Megosztás a következőn keresztül:

További információ a PowerShell-szkriptek biztonságáról

  • Cikk

A következőre vonatkozik: Configuration Manager (aktuális ág)

A rendszergazda felelőssége, hogy érvényesítse a javasolt PowerShell- és PowerShell-paraméterek használatát a környezetében. Íme néhány hasznos forrásanyag, amelyek segítenek a rendszergazdáknak a PowerShell és a potenciális kockázati felületek képességeinek megismerésében. Ez az útmutató segítséget nyújt a potenciális kockázati felületek mérsékléséhez és a biztonságos szkriptek használatához.

PowerShell-szkriptek biztonsága

A Configuration Manager szkriptek funkció lehetővé teszi a szkriptek vizuális áttekintését és jóváhagyását. Egy másik rendszergazda kérheti, hogy a szkriptje engedélyezve legyen. A rendszergazdáknak tisztában kell lenniük azzal, hogy a PowerShell-szkriptek rejtjelezett szkriptekkel is rendelkezhetnek. Az elrejtett szkriptek rosszindulatúak lehetnek, és nehezen észlelhetők vizuális ellenőrzéssel a szkript jóváhagyási folyamata során. Tekintse át a PowerShell-szkripteket, és használjon vizsgálati eszközöket a gyanús szkriptekkel kapcsolatos problémák észleléséhez. Ezek az eszközök nem mindig határozzák meg a PowerShell-szerző szándékát, így felhívhatják a figyelmet egy gyanús szkriptre. Az eszközök azonban megkövetelik a rendszergazdától, hogy ítélje meg, hogy rosszindulatú vagy szándékos szkriptszintaxisról van-e szó.

Javaslatok

  • Ismerkedjen meg a PowerShell biztonsági útmutatójával az alábbi hivatkozások segítségével.
  • Szkriptek aláírása: A parancsfájlok biztonságának megőrzésének egy másik módja, ha átvizsgálja, majd aláírja őket, mielőtt importálja őket használat céljából.
  • Ne tároljon titkos kódokat (például jelszavakat) PowerShell-szkriptekben, és tudjon meg többet a titkos kódok kezeléséről.

Általános információk a PowerShell biztonságáról

Ez a hivatkozásgyűjtemény azért lett kiválasztva, hogy Configuration Manager rendszergazdák számára kiindulópontként szolgáljon a PowerShell-szkriptek biztonsági javaslatainak megismeréséhez.

Védelem a PowerShell-támadások ellen

Védelem a rosszindulatú kódinjektálással szemben

PowerShell – A kék csapat ismerteti a mély szkriptblokkok naplózását, a védett eseménynaplózást, a kártevőirtó vizsgálati felületet és a biztonságos kódgenerálási API-kat

API a kártevőirtó vizsgálati felülethez

PowerShell-paraméterek biztonsága

A paraméterek átadásával rugalmasan kezelheti a szkripteket, és elhalaszthatja a döntéseket a futási időig. Egy másik kockázati felületet is megnyit.

Az alábbi lista a rosszindulatú paraméterek vagy szkriptinjektálások megelőzésére vonatkozó javaslatokat tartalmaz:

  • Csak előre definiált paraméterek használatát engedélyezi.
  • Használja a reguláris kifejezés funkciót az engedélyezett paraméterek ellenőrzéséhez.
    • Példa: Ha csak egy bizonyos értéktartomány engedélyezett, használjon reguláris kifejezést, hogy csak azokat a karaktereket vagy értékeket ellenőrizze, amelyek a tartományt alkotják.
    • A paraméterek ellenőrzése megakadályozhatja, hogy a felhasználók olyan karaktereket használjanak, amelyek feloldhatók, például idézőjelek. Több típusú idézőjel is lehet, ezért a reguláris kifejezések használata annak ellenőrzésére, hogy mely karakterek megengedettek, gyakran egyszerűbb, mint az összes olyan bemenetet meghatározni, amely nem megengedett.
  • Használja az "injektálási vadász" PowerShell-modult a PowerShell-galéria.
    • Előfordulhatnak téves riasztások, ezért keressen szándékot, ha valami gyanúsként van megjelölve, és állapítsa meg, hogy ez valódi probléma-e.
  • Microsoft Visual Studio rendelkezik egy szkriptelemzővel, amely segíthet a PowerShell szintaxisának ellenőrzésében.

A következő videó címe: "DEF CON 25 - Lee Holmes - Get $pwnd: Attacking Battle Hardened Windows Server" című videó áttekintést nyújt azokról a problémákról, amelyek ellen védhet (különösen a 12:20–17:50 szakaszt):

Környezeti javaslatok

Az alábbi lista általános javaslatokat tartalmaz a PowerShell-rendszergazdák számára:

  • Telepítse a PowerShell legújabb verzióját, például az 5-ös vagy újabb verziót, amely a Windows 10 vagy újabb verzióba van beépítve. A Windows Management Framework is üzembe helyezheti.
  • Engedélyezze és gyűjtse össze a PowerShell-naplókat, opcionálisan a védett eseménynaplózást is beleértve. Ezeket a naplókat beépítheti az aláírások, a veszélyforrás-keresés és az incidensmegoldás munkafolyamataiba.
  • Implementálja a Just Enough Administrationt a nagy értékű rendszereken, hogy kiküszöbölje vagy csökkentse az ilyen rendszerekhez való korlátlan rendszergazdai hozzáférést.
  • Windows Defender alkalmazásvezérlési szabályzatok üzembe helyezésével lehetővé teszi, hogy az előre jóváhagyott felügyeleti feladatok a PowerShell-nyelv teljes funkcionalitását használják, miközben az interaktív és nem jóváhagyott használatot a PowerShell nyelv egy korlátozott részhalmazára korlátozza.
  • Helyezzen üzembe Windows 10 vagy újabb verziót, hogy a víruskereső szolgáltató teljes hozzáférést biztosítson a Windows parancsfájlgazda által feldolgozott összes tartalomhoz (beleértve a futásidőben létrehozott vagy elrejtett tartalmakat is), beleértve a PowerShellt is.