:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/d1/63d1b63470a199c6d3dd30f867257cae/0114316603.jpeg "Die meisten IT-Sicherheitslösungen konzentrieren sich darauf, unrechtmäßigen Zugriff von außen zu erkennen und zu verhindern. Insider-Threats bleiben hingegen oft lange unbemerkt. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/e3/21e39515f189be19af1e1c124c7af34b/0114233258.jpeg "Wer erkennt den Betrug besser: Mensch oder KI? (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/dc/bddc5a178cdf1e50a1c97407178aacc2/0113981618.jpeg "Eine Lösung für Cloud Security Posture Management (CSPM) der nächsten Generation von Aqua Security soll die Angriffsfläche um 99 Prozent reduzieren und es der IT-Sicherheit ermöglichen, sich in Echtzeit auf die kritischsten Bedrohungen zu konzentrieren. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/50/3f50e3875b5463348d790f00ca3ad82d/0114222695.jpeg ""Warum Security Awareness die Basis der NIS2 Umsetzung ist", ein Interview von Oliver Schonschek, Insider Research, mit Christian Laber von G DATA. (Bild: Vogel IT-Medien / G DATA / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/35/5c/355c5d6af0509a4a109682eaca824105/0114174663.jpeg "Watchguard Technologies möchte die Partner durch ein MSSP-fähiges Portfolio gut aufstellen und erklärt, was momentan im IT-Security-Business hoch nachgefragt ist. (Bild: Tex vector - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
PowerShell-Skripte als mögliche Gefahr für Windows Cyber-Attacken via PowerShell verhindern
PowerShell-Cmdlets und Skripte können umfassende Änderungen in Windows vornehmen. Aus diesem Grund sollten Admins sicherstellen, dass nicht versehentlich über Skripte ein System beeinträchtigt werden kann. Vor allem, da Cyberkriminelle über sogenannte Lolbas-Angriffe (Living Off The Land Binaries and Scripts) auch PowerShell als Angriffstool missbrauchen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Im Internet finden sich viele Skripte, die zahlreiche Aktionen durchführen. Wer ein solches Skript auf einem Windows-Computer ausführt, muss sich darauf verlassen, dass innerhalb des Skriptes keine für das System gefährlichen Aktionen ausgeführt werden. Die PowerShell wird von sehr vielen Angreifern genutzt, wie eine Studie von Red Canary im Jahr 2019 zeigt.
Viele Virenscanner erkennen auch Malware in PowerShell-Skripte. Allerdings sollten Sie sich darauf nicht verlassen. Es gibt viele Möglichkeiten Virenscanner mit PowerShell-Skripten zu umgehen. Das generelle Blockieren der PowerShell auf Windows-Rechnern ist selten sinnvoll, da hier auch sehr viele Aufgaben zur Systemautomatisierung und -Verwaltung blockiert werden.
Grundschutz: Ausführungsrichtlinie für PowerShell-Skripte nutzen
Microsoft bietet mit der Ausführungsrichtlinie für PowerShell-Skripte bereits einen ersten Grundschutz, der PowerShell-Skripte grundsätzlich ausbremsen kann. Allerdings ist diese Richtlinie kein umfassender Schutz, sondern kann nur begrenzt helfen.
Standardmäßig blockiert die PowerShell Skripte, die nicht signiert sind. Das bedeutet aber nicht, dass signierte Skripte nicht gefährlich und unsignierte Skripte Viren enthalten. Die Ausführungsrichtlinie kann aber zumindest dazu genutzt werden solange Skripte zu untersagen, bis ein zuvor geprüftes Skript ausgeführt werden soll. In diesem Fall kann die Ausführungsrichtlinie angepasst werden, damit das Skript ausgeführt wird. Nach der Ausführung ändern Sie die Richtlinie wieder.
Sie können die Ausführungsrichtlinie mit dem Cmdlet „Set-ExecutionPolicy“ ändern und mit „Get-ExecutionPolicy“ die aktuelle Einstellung anzeigen. Dazu stehen folgende Optionen zur Verfügung:
- Restricted: Keine Skripts erlaubt.
- AllSigned: Nur signierte Skripts sind erlaubt.
- RemoteSigned: Bei dieser Einstellung müssen Skripte durch eine Zertifizierungsstelle signiert sein.
- Unrestricted: Mit dieser Einstellung funktionieren alle Skripts.
Um zum Beispiel alle Skripte zu blockieren, geben Sie in der PowerShell „Set-ExecutionPolicy Restricted“ ein. In Windows 10 muss die PowerShell dazu über das Kontextmenü mit administrativen Rechten gestartet werden. Das Ändern der Richtlinie muss noch bestätigt werden. Beim nächsten Start einer PowerShell-Sitzung sind die Änderungen aktiv. In der gleichen Sitzung werden die erhöhten Rechte oft nicht akzeptiert.
PowerShell 2.0 entfernen
Auf Windows-Rechnern steht noch als optionales Feature die PowerShell 2.0 zur Verfügung. Diese sollte auf allen Rechnern entfern werden, um alte unsichere Funktionen aus Windows zu verbannen. Auch dadurch erreichen Sie keinen umfassenden Schutz, schließen aber eine weitere Sicherheitslücke.
Constrained Modus aktivieren
Standardmäßig arbeitet die PowerShell im Modus „FullLanguage“. In diesem Modus sind alle Funktionen in der PowerShell verfügbar. Mit dem „Constrained Modus“ werden viele Funktionen in der PowerShell deaktiviert, die auch von Angreifern genutzt werden können. Der Modus kann relativ einfach direkt in einer PowerShell-Sitzung aktiviert werden, in dem die entsprechende Einstellung in der Sitzung geändert werden:
$ExecutionContext.SessionState.LanguageMode = "ConstrainedLanguage"Innerhalb dieser Sitzung bleiben die Einschränkungen aktiv. Auf diesem Weg lassen sich Skripte testen. Der aktuelle Modus kann mit dem folgenden Befehl angezeigt werden:
$ExecutionContext.SessionState.LanguageModeMehr zu diesem Modus erfahren Sie auf der Seite „PowerShell Constrained Language Mode“ vom Microsoft PowerShell-Team. Ändern lässt sich der Modus mit:
$ExecutionContext.SessionState.LanguageMode = "FullLanguage"Absicherung mit Umgebungsvariablen
Mit der Umgebungsvariablen „__PSLockDownPolicy“ und dem Wert „4“ können Sie ebenfalls die PowerShell in einen eingeschränkten Modus versetzen. Dazu wird eine neue Umgebungsvariable in Windows erstellt. Diese Variable kann auch mit Gruppenrichtlinien-Einstellungen verteilt werden. Mehr dazu sind in einem Beitrag bei Stackoverflow.com zu finden.
:quality(80)/images.vogel.de/vogelonline/bdb/1736000/1736059/original.jpg "Ausführungsrichtlinie in der PowerShell für mehr Sicherheit nutzen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1736000/1736060/original.jpg "Alte PowerShell-Funktionen aus Windows entfernen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1736000/1736061/original.jpg "PowerShell über Gruppenrichtlinien absichern.")
:quality(80)/images.vogel.de/vogelonline/bdb/1736000/1736062/original.jpg "PowerShell-Befehle protokollieren.")
PowerShell überwachen
Über Gruppenrichtlinien kann das Erstellen einer Protokolldatei für die PowerShell konfiguriert werden. Dadurch lassen sich alle Aktionen, die auf einem Rechner mit der PowerShell durchgeführt werden protokollieren und damit überwachen. Die Einstellungen dazu finden sich bei „PowerShell-Aufzeichnung aktivieren“ über „Computerkonfiguration\Richtlinien\ Administrative Vorlagen\Windows-Komponenten\Windows PowerShell“. Die Protokolldatei kann auch auf einer Netzwerkfreigabe gespeichert werden. Durch Aktivieren der Option „Aufrufheader mit einschließen“ werden auch Uhrzeit und Datum der Ausführung protokolliert.
Generell schreibt die PowerShell auch Einträge in die Ereignisanzeige. Diese sind bei „Anwendungs- und Dienstprotokolle\ Windows\PowerShell“ zu finden. Auf diesem Weg lassen sich Angriffe oder fehlerhafte Skripte ebenfalls identifizieren. Die PowerShell 7 erstellt ebenfalls Einträge. Diese sind wiederum bei „Anwendungs- und Dienstprotokolle\Microsoft\ PowerShellCore“.
(ID:46808847)
:quality(80)/p7i.vogel.de/wcms/2f/04/2f04fabacf1f502881617fa4880550d5/0110315149.jpeg "In diesem Video-Tipp zeigen wir, wie man die Sicherheit der PowerShell durch Skriptüberwachung, ConstrainedLanguage-Modus und andere Methoden weiter verbessern kann. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/11/6311f5dd526d11863ef7779c5a1b9801/0108199409.jpeg "In diesem Video-Tipp zeigen wir, wie man mit der PowerShell für mehr Sicherheit im Netzwerk sorgt und gleichzeitig verhindert, dass Hacker die PowerShell für ihre Zwecke missbrauchen. (Bild: Melinda Nagy - stock.adobe.com)")