További információ a PowerShell-szkriptek biztonságáról
A következőre vonatkozik: Configuration Manager (aktuális ág)
A rendszergazda felelőssége, hogy érvényesítse a javasolt PowerShell- és PowerShell-paraméterek használatát a környezetében. Íme néhány hasznos forrásanyag, amelyek segítenek a rendszergazdáknak a PowerShell és a potenciális kockázati felületek képességeinek megismerésében. Ez az útmutató segítséget nyújt a potenciális kockázati felületek mérsékléséhez és a biztonságos szkriptek használatához.
PowerShell-szkriptek biztonsága
A Configuration Manager szkriptek funkció lehetővé teszi a szkriptek vizuális áttekintését és jóváhagyását. Egy másik rendszergazda kérheti, hogy a szkriptje engedélyezve legyen. A rendszergazdáknak tisztában kell lenniük azzal, hogy a PowerShell-szkriptek rejtjelezett szkriptekkel is rendelkezhetnek. Az elrejtett szkriptek rosszindulatúak lehetnek, és nehezen észlelhetők vizuális ellenőrzéssel a szkript jóváhagyási folyamata során. Tekintse át a PowerShell-szkripteket, és használjon vizsgálati eszközöket a gyanús szkriptekkel kapcsolatos problémák észleléséhez. Ezek az eszközök nem mindig határozzák meg a PowerShell-szerző szándékát, így felhívhatják a figyelmet egy gyanús szkriptre. Az eszközök azonban megkövetelik a rendszergazdától, hogy ítélje meg, hogy rosszindulatú vagy szándékos szkriptszintaxisról van-e szó.
Javaslatok
- Ismerkedjen meg a PowerShell biztonsági útmutatójával az alábbi hivatkozások segítségével.
- Szkriptek aláírása: A parancsfájlok biztonságának megőrzésének egy másik módja, ha átvizsgálja, majd aláírja őket, mielőtt importálja őket használat céljából.
- Ne tároljon titkos kódokat (például jelszavakat) PowerShell-szkriptekben, és tudjon meg többet a titkos kódok kezeléséről.
Általános információk a PowerShell biztonságáról
Ez a hivatkozásgyűjtemény azért lett kiválasztva, hogy Configuration Manager rendszergazdák számára kiindulópontként szolgáljon a PowerShell-szkriptek biztonsági javaslatainak megismeréséhez.
Védelem a PowerShell-támadások ellen
Védelem a rosszindulatú kódinjektálással szemben
API a kártevőirtó vizsgálati felülethez
PowerShell-paraméterek biztonsága
A paraméterek átadásával rugalmasan kezelheti a szkripteket, és elhalaszthatja a döntéseket a futási időig. Egy másik kockázati felületet is megnyit.
Az alábbi lista a rosszindulatú paraméterek vagy szkriptinjektálások megelőzésére vonatkozó javaslatokat tartalmaz:
- Csak előre definiált paraméterek használatát engedélyezi.
- Használja a reguláris kifejezés funkciót az engedélyezett paraméterek ellenőrzéséhez.
- Példa: Ha csak egy bizonyos értéktartomány engedélyezett, használjon reguláris kifejezést, hogy csak azokat a karaktereket vagy értékeket ellenőrizze, amelyek a tartományt alkotják.
- A paraméterek ellenőrzése megakadályozhatja, hogy a felhasználók olyan karaktereket használjanak, amelyek feloldhatók, például idézőjelek. Több típusú idézőjel is lehet, ezért a reguláris kifejezések használata annak ellenőrzésére, hogy mely karakterek megengedettek, gyakran egyszerűbb, mint az összes olyan bemenetet meghatározni, amely nem megengedett.
- Használja az "injektálási vadász" PowerShell-modult a PowerShell-galéria.
- Előfordulhatnak téves riasztások, ezért keressen szándékot, ha valami gyanúsként van megjelölve, és állapítsa meg, hogy ez valódi probléma-e.
- Microsoft Visual Studio rendelkezik egy szkriptelemzővel, amely segíthet a PowerShell szintaxisának ellenőrzésében.
A következő videó címe: "DEF CON 25 - Lee Holmes - Get $pwnd: Attacking Battle Hardened Windows Server" című videó áttekintést nyújt azokról a problémákról, amelyek ellen védhet (különösen a 12:20–17:50 szakaszt):
Környezeti javaslatok
Az alábbi lista általános javaslatokat tartalmaz a PowerShell-rendszergazdák számára:
- Telepítse a PowerShell legújabb verzióját, például az 5-ös vagy újabb verziót, amely a Windows 10 vagy újabb verzióba van beépítve. A Windows Management Framework is üzembe helyezheti.
- Engedélyezze és gyűjtse össze a PowerShell-naplókat, opcionálisan a védett eseménynaplózást is beleértve. Ezeket a naplókat beépítheti az aláírások, a veszélyforrás-keresés és az incidensmegoldás munkafolyamataiba.
- Implementálja a Just Enough Administrationt a nagy értékű rendszereken, hogy kiküszöbölje vagy csökkentse az ilyen rendszerekhez való korlátlan rendszergazdai hozzáférést.
- Windows Defender alkalmazásvezérlési szabályzatok üzembe helyezésével lehetővé teszi, hogy az előre jóváhagyott felügyeleti feladatok a PowerShell-nyelv teljes funkcionalitását használják, miközben az interaktív és nem jóváhagyott használatot a PowerShell nyelv egy korlátozott részhalmazára korlátozza.
- Helyezzen üzembe Windows 10 vagy újabb verziót, hogy a víruskereső szolgáltató teljes hozzáférést biztosítson a Windows parancsfájlgazda által feldolgozott összes tartalomhoz (beleértve a futásidőben létrehozott vagy elrejtett tartalmakat is), beleértve a PowerShellt is.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: