La plataforma de automatización de tareas de PowerShell, de la que a menudo abusan los piratas informáticos que distribuyen malware (se abre en una pestaña nueva), también se puede usar para la detección y prevención de ataques. Ese es el consejo que la Agencia de Seguridad Nacional de EE. UU. (NSA) dio recientemente a los administradores de sistemas de todo el mundo.
ร่วมกับศูนย์ความปลอดภัยทางไซเบอร์ในสหราชอาณาจักรและนิวซีแลนด์ NSA ได้ออกคำแนะนำด้านความปลอดภัยโดยระบุว่าการบล็อก PowerShell ซึ่งเป็นแนวทางปฏิบัติด้านความปลอดภัยทั่วไป จะลดความสามารถในการป้องกันขององค์กรต่อแรนซัมแวร์ (เปิดในแท็บใหม่) และรูปแบบอื่นๆ ของการโจมตีทางไซเบอร์
ผู้ดูแลระบบควรใช้ข้อมูลนี้เพื่อสนับสนุนการพิสูจน์หลักฐานและการตอบสนองต่อเหตุการณ์ เช่นเดียวกับการทำงานซ้ำๆ โดยอัตโนมัติให้ได้มากที่สุด
คำแนะนำมากมาย
“การบล็อก PowerShell ขัดขวางความสามารถในการป้องกันที่ PowerShell เวอร์ชันปัจจุบันสามารถจัดหาและป้องกันส่วนประกอบของระบบปฏิบัติการ Windows ไม่ให้ทำงานอย่างถูกต้อง PowerShell เวอร์ชันล่าสุดพร้อมความสามารถและตัวเลือกที่ได้รับการปรับปรุงสามารถช่วยให้ผู้พิทักษ์ต่อต้านการละเมิด PowerShell ได้" NSA กล่าว
คำแนะนำประกอบด้วยคำแนะนำหลายประการ รวมถึงการใช้ PowerShell remoting หรือการใช้โปรโตคอล Secure Shell (SSH) เพื่อปรับปรุงความปลอดภัยของการรับรองความถูกต้องของคีย์สาธารณะ
"การตั้งค่า WDAC หรือ AppLocker ที่เหมาะสมใน Windows 10+ ช่วยป้องกันไม่ให้ผู้ประสงค์ร้ายเข้าควบคุมเซสชัน PowerShell และโฮสต์ได้อย่างสมบูรณ์" เอกสารอธิบาย
ผู้ดูแลระบบยังสามารถตรวจสอบจุดปลายของพวกเขาเพื่อหาสัญญาณของการละเมิด (เปิดในแท็บใหม่) โดยการบันทึกกิจกรรม PowerShell และบันทึกการตรวจสอบ
คำแนะนำยังแนะนำให้ผู้ดูแลระบบเปิดใช้งานคุณลักษณะต่างๆ เช่น การบันทึกบล็อกสคริปต์เชิงลึก การบันทึกโมดูล หรือการถอดความแบบ over-the-shoulder เนื่องจากก่อนหน้านี้สร้างฐานข้อมูลของบันทึก ซึ่งมีประโยชน์สำหรับการตรวจจับกิจกรรม PowerShell ที่ก้าวร้าว
หลังช่วยให้ผู้ดูแลระบบสามารถบันทึกอินพุตและเอาต์พุต PowerShell ทุกรายการ ทำให้ได้รับความเข้าใจที่ดีขึ้นเกี่ยวกับเป้าหมายของผู้โจมตี
"PowerShell เป็นสิ่งจำเป็นสำหรับการปกป้องระบบปฏิบัติการ Windows" NSA สรุป และเสริมว่าด้วยการกำหนดค่าและการจัดการที่เหมาะสม มันสามารถเป็นเครื่องมือที่ยอดเยี่ยมสำหรับการบำรุงรักษาระบบและความปลอดภัย
ผ่าน BleepingComputer (เปิดในแท็บใหม่)
