【福利】私信老葫免费获取完整版文件!
近日,美国国家安全局(NSA)和网络安全合作伙伴机构发布了一项建议,建议系统管理员使用PowerShell来预防和检测Windows计算机上的恶意活动。
PowerShell经常用于网络攻击,主要在利用后阶段使用,但Microsoft自动化和配置工具中嵌入的安全功能也可以使防御者在取证工作中受益,改善事件响应并自动执行重复性任务。
美国国家安全局和美国(CISA),新西兰(NZ NCSC)和英国(NCSC-UK)的网络安全中心制定了一套建议,使用PowerShell来减轻网络威胁,而不是删除或禁用它,这会降低防御能力。
“阻止PowerShell阻碍了当前版本的PowerShell可以提供的防御功能,并阻止了Windows操作系统的组件正常运行。具有改进的功能和选项的最新版本的PowerShell可以帮助防御者对抗PowerShell的滥用。
降低滥用风险
降低威胁参与者滥用 PowerShell 的风险需要利用框架中的功能,例如 PowerShell 远程处理,这在 Windows 主机上远程执行命令时不会公开纯文本凭据。管理员应注意,在专用网络上启用此功能会自动在 Windows 防火墙中添加允许所有连接的新规则。
将 Windows 防火墙自定义为仅允许来自受信任的终结点和网络的连接有助于降低攻击者成功横向移动的机会。对于远程连接,这些机构建议使用PowerShell 7支持的安全外壳协议(SSH)来增加公钥身份验证的便利性和安全性:
- 远程连接不需要带有 SSL 证书的 HTTPS
- 不需要受信任的主机,在域外部通过 WinRM 进行远程处理时需要
- 通过 SSH 进行安全的远程管理,无需所有命令和连接的密码
- Windows 和 Linux 主机之间的 PowerShell 远程处理
另一个建议是在 AppLocker 或 Windows Defender 应用程序控制 (WDAC) 的帮助下减少 PowerShell 操作,以将该工具设置为在受限语言模式 (CLM) 中运行,从而拒绝管理员定义的策略之外的操作。
“在 Windows 10 上正确配置 WDAC 或 AppLocker 有助于防止恶意行为者获得对 PowerShell 会话和主机的完全控制”
检测恶意 PowerShell 使用情况
记录 PowerShell 活动和监视日志是两项建议,可帮助管理员发现潜在滥用的迹象。
NSA及其合作伙伴建议启用深度脚本块日志记录(DSBL),模块日志记录和过肩转录(OTS)等功能。
前两个可以构建一个全面的日志数据库,可用于查找可疑或恶意的PowerShell活动,包括隐藏的操作以及过程中使用的命令和脚本。
使用OTS,管理员可以获得每个PowerShell输入或输出的记录,这有助于确定攻击者在环境中的意图。
管理员可以使用下表来检查各种 PowerShell 版本提供的功能,以帮助在其环境中实现更好的防御:
文件指出,“PowerShell对于保护Windows操作系统至关重要”,特别是那些处理了以前限制的较新版本。如果配置和管理得当,PowerShell 可以成为系统维护、取证、自动化和安全性的可靠工具。
【福利】私信老葫免费获取完整版文件!