:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sensible Daten in der PowerShell schützen 10 Tipps zur Verschlüsselung von Daten mit der PowerShell
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
In der PowerShell lässt sich der Umgang mit sensiblen Daten durch Verschlüsselung optimieren. Kennwörter, Zertifikate und andere heikle Bereiche lassen sich dadurch sicherer nutzen. Die Möglichkeiten dazu sind in der PowerShell integriert.
Wenn in PowerShell-Skripten oder Cmdlets sensible Informationen, wie das Kennwörter, Zertifikate, Schlüssel und andere Dinge zum Einsatz kommen, sollten diese nicht in Klartext gespeichert werden. Hier bietet es sich an mit Verschlüsselung zu arbeiten. Das ist in der PowerShell sogar mit Bordmitteln möglich. Sichere Daten, die in Skripten eingesetzt werden, sollten niemals in Klartext angegeben werden, sondern immer über den Inhalt einer verschlüsselten Datei oder eine sichere Umgebungsvariable. Wir zeigen nachfolgend beide Möglichkeiten.
10 wichtige Tipps wie man mit der PowerShell Daten ganz einfach verschlüsselt, zeigen wir im Video und in der Bildergalerie
:quality(80)/p7i.vogel.de/wcms/78/fc/78fcd8c363c23ad9bb454f3e891bc439/0112954958.jpeg "Sichere, zufällige Kennwörter in der PowerShell erstellen und verschlüsselt nutzen.")
:quality(80)/p7i.vogel.de/wcms/d7/65/d7659330069887859a26aeb2631e776a/0112954964.jpeg "Daten in der PowerShell mit AES verschlüsseln.")
:quality(80)/p7i.vogel.de/wcms/1a/14/1a14afc915845e9c5e1b83d6bec5558f/0112954957.jpeg "Mit RSA Daten in der PowerShell verschlüsseln.")
:quality(80)/p7i.vogel.de/wcms/4b/c2/4bc2d2ac93e8d5d76af7e19700451764/0112954959.jpeg "Daten in der PowerShell entschlüsseln.")
Tipp 1: Sichere Zufalls-Benutzerkennwörter erstellen
Beim Anlegen von neuen Benutzern oder beim Ändern von Kennwörtern, ist es sinnvoll kein Einmal-Kennwort zu verwenden, dass ohnehin jeder kennt, sondern in der PowerShell ein Kennwort erstellen zu lassen. Ein Beispiel dazu ist:
[System.IO.Path]::GetRandomFileName() -replace '\.', [String]::Empty | Write-WarningEin weiteres Beispiel dazu ist:
(1..100 | Get-Random -Count 3 | ForEach-Object { '{0:00}' -f $_ }) -join [String]::Empty | Write-WarningDas erstellte Kennwort lässt sich danach in Skripte einbinden, um Benutzerkonten nach dem Anlegen oder beim Ändern damit zu konfigurieren.
Tipp 2: Kennwörter verschlüsselt speichern und nutzen
In Skripten ist es oft notwendig Kennwörter zu nutzen. Diese sollten aber nicht in Klartext im Skript stehen, sondern idealerweise in einer verschlüsselten Datei gespeichert sein. Das ist vor allem dann sinnvoll, wenn das Kennwort ständig benötigt wird. Um ein Kennwort sicher in einer Datei zu speichern, kann folgender Befehl zum Einsatz kommen:
Read-Host -Prompt 'Passwort eingeben' -AsSecureString | ConvertFrom-SecureString | Out-File -FilePath 'C:\Temp\SecureString.txt' -ForceDer Inhalt der Datei ist mit folgendem Befehl zu sehen:
Get-ChildItem -Path 'C:\Temp\SecureString.txt' | Get-Content | Write-WarningSinnvoll ist die Verwendung natürlich nur, wenn das Kennwort auch wieder genutzt werden kann. Das geht zum Beispiel mit dem folgenden Befehl:
Get-Content -Path 'C:\Temp\SecureString.txt' | ConvertTo-SecureString | Write-WarningIst das Kennwort nicht mehr notwendig, lässt sich die Datei auch löschen:
Remove-Item -Path 'C:\Temp\SecureString.txt' -ForceTipp 3: Kennwort verschlüsseln und sofort nutzen
Wenn in der PowerShell ein Kennwort zum Einsatz kommen soll, dass sofort gebraucht wird, lässt sich es bereits verschlüsselt speichern und gleich weiter nutzen, zum Beispiel bei der Installation eines Domänencontrollers:
Install-ADDSDomainController -DomainName <DNS-Name der Domäne> -SafeModeAdministratorPassword (Read-Host -Prompt Kennwort -AsSecureString)Oder auch bei der Sicherung von Daten aus den Zertifikatsdiensten:
Backup-CARoleService -path C:\Backup -Password (Read-Host -prompt "Password:" -AsSecureString)10 wichtige Tipps wie man mit der PowerShell Daten ganz einfach verschlüsselt, zeigen wir im Video und in der Bildergalerie
Tipp 4: Kennwort verschlüsselt als Variable speichern
In der PowerShell ist es über die oben beschriebenen Wege auch möglich ein Kennwort verschlüsselt in einer Variablen zu speichern. Nach der ersten Eingabe ist das Kennwort nicht mehr auslesbar:
$SecurePassword = ConvertTo-SecureString "MeinPasswort" -AsPlainText -ForceTipp 5: AES in der PowerShell nutzen
Advanced Encryption Standard (AES) ist eine weit verbreitete Methode zur Verschlüsselung von Daten. Die Methode kann in der PowerShell zum Einsatz kommen, um Daten zu verschlüsseln:
$Key = New-Object Byte[] 16 # AES key$RNGCrypto = New-Object Security.Cryptography.RNGCryptoServiceProvider$RNGCrypto.GetBytes($Key)$AESProvider = New-Object Security.Cryptography.AesCryptoServiceProvider$AESProvider.Key = $KeyDie Verschlüsselung von Daten mit dem Advanced Encryption Standard (AES) in PowerShell kann durch die Verwendung der .NET-Klassen System.Security.Cryptography.AesCryptoServiceProvider oder System.Security.Cryptography.AesManaged erreicht werden. Zuerst wird ein AES-Objekt erstellt und ein Schlüssel sowie ein Initialisierungsvektor (IV) generiert.
$AESProvider = New-Object System.Security.Cryptography.AesCryptoServiceProvider$AESProvider.GenerateKey()$AESProvider.GenerateIV()Anschließend kann ein Klartext mit Hilfe des AES-Objekts verschlüsselt werden:
$PlainText = "Geheimer Text"$PlainTextBytes = [System.Text.Encoding]::UTF8.GetBytes($PlainText)$Encryptor = $AESProvider.CreateEncryptor()$EncryptedBytes = $Encryptor.TransformFinalBlock($PlainTextBytes, 0, $PlainTextBytes.Length)Die resultierenden verschlüsselten Bytes können in eine Base64-Zeichenkette umgewandelt werden, um sie leichter handhaben zu können.
$EncryptedText = [Convert]::ToBase64String($EncryptedBytes)Es ist wichtig zu bemerken, dass sowohl der Schlüssel als auch der IV sicher aufbewahrt werden müssen, um später die Entschlüsselung durchführen zu können. Sie sollten niemals in Klartext gespeichert oder über unsichere Kanäle übertragen werden. In der Praxis ist es oft sinnvoll, sie mit einem sicheren Schlüsselaustauschmechanismus wie Diffie-Hellman oder RSA zu übertragen oder sie in einem sicheren Schlüsselspeicher zu speichern.
Die Entschlüsselung von Daten, die mit dem Advanced Encryption Standard (AES) verschlüsselt wurden, erfordert den ursprünglichen Schlüssel und den Initialisierungsvektor (IV), die bei der Verschlüsselung verwendet wurden. Mit diesen kann das ursprüngliche AES-Objekt wiederhergestellt und ein Entschlüsselungstransformator erstellt werden. Zunächst wird die Base64-Zeichenkette, die die verschlüsselten Daten repräsentiert, zurück in ein Bytearray konvertiert:
$EncryptedBytes = [Convert]::FromBase64String($EncryptedText)Dann wird ein Entschlüsselungstransformator mit dem ursprünglichen AES-Objekt, das denselben Schlüssel und IV hat, erstellt:
$Decryptor = $AESProvider.CreateDecryptor()Schließlich wird die Entschlüsselung ausgeführt und die entschlüsselten Bytes werden zurück in einen Text konvertiert:
$DecryptedBytes = $Decryptor.TransformFinalBlock($EncryptedBytes, 0, $EncryptedBytes.Length)$DecryptedText = [System.Text.Encoding]::UTF8.GetString($DecryptedBytes)Jetzt sollte $DecryptedText denselben Wert wie der ursprüngliche $PlainText haben.
10 wichtige Tipps wie man mit der PowerShell Daten ganz einfach verschlüsselt, zeigen wir im Video und in der Bildergalerie
Tipp 6: Zertifikate zur Verschlüsselung nutzen
Admins und Benutzer können Zertifikate verwenden, um Daten zu verschlüsseln:
$Cert = Get-PfxCertificate -FilePath "Zertifikat.pfx"$Encrypted = "Meine Daten" | Protect-CmsMessage -To $Cert.SubjectTipp 7: Dateien in der PowerShell verschlüsseln
Es ist möglich auch Dateien mit PowerShell verschlüsseln:
$FileContent = Get-Content -Path "MeineDatei.txt" -Raw$EncryptedContent = $FileContent | Protect-CmsMessage -To $Cert.Subject$EncryptedContent | Set-Content -Path "VerschlüsselteDatei.txt"Tipp 8: Große Dateimengen über RSA mit der PowerShell verschlüsseln
Größere Datenmengen lassen sich wiederum mit RSA verschlüsseln, zum Beispiel mit:
$RSACrypto = New-Object Security.Cryptography.RSACryptoServiceProvider
$PublicKey = $RSACrypto.ToXmlString($false) # false bedeutet, nur öffentlichen Schlüssel zu exportieren
Tipp 9: Hashing verwenden
Obwohl das technisch gesehen keine Verschlüsselung ist, kann Hashing verwendet werden, um die Integrität von Daten zu überprüfen. Wenn zum Beispiel eine Datei verschickt werden soll, kann parallel noch der Hash der Datei verschickt werden. Der Empfänger kann den Hash überprüfen, um sicherzustellen, dass die Datei nicht geändert wurde:
$Data = [System.Text.Encoding]::UTF8.GetBytes("Meine Daten")$Hash = (New-Object Security.Cryptography.SHA256Managed).ComputeHash($Data)Tipp 10: Daten in der PowerShell entschlüsseln
Wenn eine Datei mit einem Zertifikat verschlüsselt wurde, kann diese mit dem entsprechenden privaten Schlüssel entschlüsselt werden:
$DecryptedContent = Get-Content -Path "VerschlüsselteDatei.txt" | Unprotect-CmsMessage$DecryptedContent | Set-Content -Path "EntschlüsselteDatei.txt"10 wichtige Tipps wie man mit der PowerShell Daten ganz einfach verschlüsselt, zeigen wir im Video und in der Bildergalerie
(ID:49622172)
:quality(80)/p7i.vogel.de/wcms/25/e8/25e857bd90a0ee389414aaa1d0d70b9b/0114643623.jpeg "Wie man mit der PowerShell die BitLocker-Laufwerksverschlüsselung unter Windows steuert, zeigen wir in diesem Video-Tipp. (Bild: PandaStockArt - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/2f/662f505ad0f28d14f072c193234d918b/0109024212.jpeg "In diesem Video-Tipp zeigen wir, wie man mit der PowerShell Berechtigungen für Dateien oder Verzeichnisse abfragen und setzen kann. (Bild: Thapana_Studio - stock.adobe.com)")