มักถูกใช้ในทางที่ผิดโดยแฮกเกอร์ที่แจกจ่ายมัลแวร์ (เปิดในแท็บใหม่) แพลตฟอร์มงานอัตโนมัติของ PowerShell ยังสามารถใช้สำหรับการตรวจจับและป้องกันการโจมตี นั่นคือคำแนะนำที่หน่วยงานความมั่นคงแห่งชาติสหรัฐ (NSA) มอบให้กับผู้ดูแลระบบทั่วโลกเมื่อเร็วๆ นี้
ร่วมกับศูนย์ความปลอดภัยทางไซเบอร์ในสหราชอาณาจักรและนิวซีแลนด์ NSA ได้ออกคำแนะนำด้านความปลอดภัยโดยระบุว่าการบล็อก PowerShell ซึ่งเป็นแนวทางปฏิบัติด้านความปลอดภัยทั่วไป จะลดความสามารถในการป้องกันขององค์กรต่อแรนซัมแวร์ (เปิดในแท็บใหม่) และรูปแบบอื่นๆ ของการโจมตีทางไซเบอร์
ผู้ดูแลระบบควรใช้ข้อมูลนี้เพื่อสนับสนุนการพิสูจน์หลักฐานและการตอบสนองต่อเหตุการณ์ เช่นเดียวกับการทำงานซ้ำๆ โดยอัตโนมัติให้ได้มากที่สุด
คำแนะนำมากมาย
"การบล็อก PowerShell ขัดขวางความสามารถในการป้องกันที่ PowerShell เวอร์ชันปัจจุบันสามารถจัดหาได้และป้องกันไม่ให้ส่วนประกอบของระบบปฏิบัติการ Windows ทำงานได้อย่างถูกต้อง PowerShell เวอร์ชันล่าสุดที่มีความสามารถและตัวเลือกขั้นสูงสามารถช่วยผู้ปกป้องต่อต้านการใช้ PowerShell ในทางที่ผิด" NSA กล่าว
คำแนะนำประกอบด้วยคำแนะนำหลายประการ รวมถึงการใช้ PowerShell remoting หรือการใช้โปรโตคอล Secure Shell (SSH) เพื่อปรับปรุงความปลอดภัยของการรับรองความถูกต้องของคีย์สาธารณะ
"การกำหนดค่า WDAC หรือ AppLocker อย่างถูกต้องใน Windows 10+ ช่วยป้องกันไม่ให้ผู้ประสงค์ร้ายเข้าควบคุมเซสชันและโฮสต์ของ PowerShell ได้อย่างเต็มที่" เอกสารอธิบาย
ผู้ดูแลระบบยังสามารถตรวจสอบจุดปลายของพวกเขาเพื่อหาสัญญาณของการละเมิด (เปิดในแท็บใหม่) โดยการบันทึกกิจกรรม PowerShell และบันทึกการตรวจสอบ
คำแนะนำยังแนะนำให้ผู้ดูแลระบบเปิดใช้งานคุณลักษณะต่างๆ เช่น การบันทึกบล็อกสคริปต์เชิงลึก การบันทึกโมดูล หรือการถอดความแบบ over-the-shoulder เนื่องจากก่อนหน้านี้สร้างฐานข้อมูลของบันทึก ซึ่งมีประโยชน์สำหรับการตรวจจับกิจกรรม PowerShell ที่ก้าวร้าว
หลังช่วยให้ผู้ดูแลระบบสามารถบันทึกอินพุตและเอาต์พุต PowerShell ทุกรายการ ทำให้ได้รับความเข้าใจที่ดีขึ้นเกี่ยวกับเป้าหมายของผู้โจมตี
"PowerShell เป็นสิ่งจำเป็นสำหรับการปกป้องระบบปฏิบัติการ Windows" NSA กล่าวสรุป พร้อมเสริมว่าด้วยการกำหนดค่าและการจัดการที่เหมาะสม มันสามารถเป็นเครื่องมือที่ยอดเยี่ยมสำหรับการบำรุงรักษาและรักษาความปลอดภัยระบบ
ผ่าน BleepingComputer (เปิดในแท็บใหม่)