Bron

Leestijd 2 min

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA), het National Security Agency (NSA) en de nationale cyberbeveiligingscentra in Nieuw-Zeeland (NZ NCSC) en het Verenigd Koninkrijk (NCSC-UK) hebben gezamenlijke richtsnoeren uitgebracht over de juiste configuratie en monitoring van PowerShell om het risico op misbruik uit te sluiten. PowerShell, een scripttaal en opdrachtregelprogramma in Windows, is bedoeld om de gebruikerservaring uit te breiden en te helpen bij het beheer van het besturingssysteem door repetitieve taken te automatiseren, forensisch onderzoek mogelijk te maken en de respons op incidenten te verbeteren. PowerShell wordt ook ingezet in Microsoft Azure, waar beheerders het kunnen gebruiken voor het automatiseren van tools en beveiligingsmaatregelen. De laatste PowerShell-release - versie 7.2 - wordt beheerd en open source aangeboden door Microsoft. De ruime beschikbaarheid van PowerShell, samen met het gebruiksgemak en de uitbreidbaarheid ervan, is een kans gebleken voor kwaadwillenden tijdens de fase na de uitbuiting van cyberaanvallen. Hoewel sommige beheerders en verdedigers PowerShell volledig zouden uitschakelen om misbruik te voorkomen, bevat de gezamenlijke leidraad een reeks aanbevelingen die de risico's kunnen helpen beperken zonder de functionaliteit van PowerShell te belemmeren. "Het blokkeren van PowerShell belemmert de defensieve mogelijkheden die de huidige versies van PowerShell kunnen bieden, en voorkomt dat onderdelen van het Windows-besturingssysteem naar behoren werken. Recente versies van PowerShell met verbeterde mogelijkheden en opties kunnen verdedigers helpen bij het tegengaan van misbruik van PowerShell," merken de NSA, CISA, het NZ NCSC en het NCSC-UK op in hun Cybersecurity Information Sheet (CIS). Dankzij de ingebouwde beveiligingsfuncties van Windows kan PowerShell ook helpen het misbruik door bedreigingsactoren te beperken, zo staat in het document te lezen. Bij PowerShell-remoting bijvoorbeeld worden referenties beschermd door het gebruik van Windows Remote Management (WinRM), dat Kerberos of New Technology LAN Manager (NTLM) gebruikt als verificatieprotocol.

een maand geleden - securityweek.com

Korte versie

De nieuwste versies van het Windows-besturingssysteem zijn onthuld.

Uitgebreide versie

PowerShell, een scripttaal en opdrachtregelprogramma in Windows, is bedoeld om de gebruikerservaring uit te breiden en te helpen bij het beheer van het besturingssysteem door repetitieve taken te automatiseren, forensisch onderzoek mogelijk te maken en de respons op incidenten te verbeteren. PowerShell wordt ook ingezet in Microsoft Azure, waar beheerders het kunnen gebruiken voor het automatiseren van tools en beveiligingsmaatregelen. Hoewel sommige beheerders en verdedigers PowerShell volledig zouden uitschakelen om misbruik te voorkomen, bevat de gezamenlijke leidraad een reeks aanbevelingen die de risico's kunnen helpen beperken zonder de functionaliteit van PowerShell te belemmeren.

Vergelijkbare publicaties