Die PowerShell ist ein mächtiges Werkzeug, mit der Microsoft-Netzwerke und auch Clouddienste umfassend gesteuert werden können. Auch andere Anbieter haben APIs für die PowerShell, sodass eine Absicherung der Zugriffe sehr sinnvoll ist.
In diesem Video-Tipp zeigen wir, wie man die Sicherheit der PowerShell durch Skriptüberwachung, ConstrainedLanguage-Modus und andere Methoden weiter verbessern kann.
(Bild: putilov_denis - stock.adobe.com)
Die PowerShell ist ein mächtiges Werkzeug, wenn es um die Verwaltung von Microsoft-Netzwerken geht. Neben lokal betriebenen Servern, lassen sich auch Clouddienste mit der PowerShell verwalten. Immer mehr Drittanbieter stellen APIs bereit sowie PowerShell-Module, mit denen weitere Dienste verwaltet werden können. Microsoft hat in der PowerShell viele Sicherheitsfeatures integriert, die wir bereits in verschiedenen Beiträgen thematisiert haben. Um die Sicherheit für und mit der PowerShell in Microsoft-Netzwerken zu optimieren, sollte sich daher unbedingt auch die Tipps und Anleitungen in diesen Beiträgen näher anschauen:
Im folgenden Text zeigen wir weitere Möglichkeiten, wie die PowerShell möglichst sicher betrieben werden kann.
Effektivere Überwachung der PowerShell: Skriptblöcke und Skriptausführung
Eine wichtige Basis für den sicheren Betrieb der PowerShell ist die Überwachung der Aktionen, die Admins in der PowerShell durchführen. Wir haben bereits im Beitrag „Cyber-Attacken via PowerShell verhindern“ beschrieben, wie sich die Überwachung generell aktivieren lässt. Die PowerShell bietet dazu aber noch mehr.
Die Richtlinien-Einstellung „Protokollierung von PowerShell-Skriptblöcken aktivieren“ im Pfad „Computerkonfiguration\ Richtlinien\ Administrative Vorlagen\Windows-Komponenten\ Windows PowerShell“ stellt sicher, dass auf dem Computer nicht nur interaktive Befehle aus der PowerShell heraus überwacht werden, sondern auch Skriptblöcke, Funktionen und ganze Skripte, die automatisiert starten. Die Daten sind im Anschluss in der Ereignisanzeige zu finden und lassen sich umfassend analysieren. Hier ist es parallel natürlich sinnvoll auf Überwachungslösungen zu setzen, mit denen sich die Ereignisanzeigen von Windows-Servern umfassend analysieren lassen.
Wie man die Sicherheit der PowerShell durch Skriptüberwachung, ConstrainedLanguage-Modus und andere Methoden weiter verbessert, zeigen wir hier im Video-Tipp und in der Bildergalerie.
Neben diesen Möglichkeiten kann über die Richtlinien-Einstellung „Skriptausführung aktivieren“ direkt über Gruppenrichtlinien die Ausführungsrichtlinie für Skripte in der PowerShell konfiguriert werden. Das geht zwar auch in der PowerShell, ist mit Gruppenrichtlinien aber sicherer. Mehr dazu ist im Beitrag „Cyber-Attacken via PowerShell verhindern“ zu finden. Es ist generell sinnvoll die Ausführung von PowerShell-Skripten direkt über Gruppenrichtlinien zu steuern.
Module überwachen und einschränken
Parallel dazu kann es sinnvoll sein, bestimmte Module in der PowerShell zu überwachen. Die Einstellungen dazu sind bei „Modulprotokollierung aktivieren“ im Pfad „Computerkonfiguration\Richtlinien\ Administrative Vorlagen\Windows-Komponenten\Windows PowerShell“ zu finden. Die Einstellung an dieser Stelle ist automatisch für alle Sitzungen auf den jeweiligen Rechnern aktiviert. Eine Liste aller verfügbaren Module auf einem Rechner kann mit dem folgenden Befehl in der PowerShell angezeigt werden:
Get-Module -ListAvailable
Die Module, die in einer Sitzung bereits importiert wurden, können mit dem folgenden Cmdlet angezeigt werden:
Get-Module
Grundsätzlich kann es sinnvoll sein nicht benötigte Module aus der PowerShell zu entfernen, um die Sicherheit von Servern zu verbessern. Das lässt sich zum Beispiel mit dem folgenden Befehl erledigen:
Remove-Module <module-name>
In diesem Zusammenhang kann es sinnvoll sein zu überprüfen, in welchen Pfaden Module gespeichert sind, die in der PowerShell zum Einsatz kommen können. Auch auf diesem Weg kann Malware in einem System eindringen. Das geht zum Beispiel durch das Abfragen der entsprechenden Umgebungsvariablen als Befehl in der PowerShell:
$env:PSModulePath
Wie man die Sicherheit der PowerShell durch Skriptüberwachung, ConstrainedLanguage-Modus und andere Methoden weiter verbessert, zeigen wir hier im Video-Tipp und in der Bildergalerie.
PowerShell mit dem Constrained-Language-Modus absichern
In vielen Fällen ist es nicht notwendig, dass auf Servern in allen Sitzungen alle Funktionen der PowerShell zur Verfügung stehen. Dazu hat Microsoft den Constrained-Language-Modus integriert. Wir haben im Beitrag „Cyber-Attacken via PowerShell verhindern“ beschrieben, wie sich der Modus aktivieren lässt. Dieser spielt eine so wichtige Rolle, dass Microsoft die Überwachung dazu im Windows Admin Center direkt im Dashboard des jeweiligen Servers eingebunden hat.
Nach dem Start des Windows Admin Centers ist bei „Übersicht“ im Bereich „PowerShell-Sprachmodus“ zu erkennen, ob auf dem Server eine Absicherung stattgefunden hat. Wenn das nicht der Fall ist, sollte das in jedem Fall nachgeholt werden.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Dateilose Bedrohungen: Microsoft Defender und die PowerShell
Im Beitrag „Windows 10/11 braucht keinen externen Virenschutz“ zeigen wir, mit welchen Möglichkeiten der Virenschutz auch mit Bordmitteln optimiert werden kann. Das gilt übrigens auch für Windows Server 2019/2022. Die PowerShell arbeitet direkt mit Microsoft Defender zusammen und nutzt dazu Windows Antimalware Scan Interface (AMSI). Befehle und Skripte, die in der PowerShell ablaufen, werden durch diese API von Microsoft Defender nach Malware untersucht. Generell werden alle Skripte vor der Ausführung mit AMSI zunächst überprüft, bevor die PowerShell diese ausführt.
Beim Download von Dateien in der PowerShell überprüft Microsoft Defender ebenfalls, ob der heruntergeladene Inhalt Malware enthält oder eine Gefahr für den Computer darstellt. Das funktioniert auf Arbeitsstationen mit Windows 10/11 genauso wie auf Servern mit Windows Server 2019/2022. Testen lässt sich das durch den versuchten Download des Eicar-Testvirus. Diesen blockiert Microsoft Defender, wenn er in der PowerShell heruntergeladen werden soll:
Windows Defender Application Control für die PowerShell nutzen
Bestandteil von Windows 10/11 und Windows Server 2019/2022 ist neben der Steuerung von Anwendungen mit Applocker auch die Windows Defender-Anwendungssteuerung (Windows Defender Application Control, WDAC). Application Control stellt eine Alternative zu Applocker dar.
Diese arbeitet ebenfalls mit der PowerShell zusammen. Im Erzwingungsmodus wird dabei sichergestellt, dass ein Server maximal vor gefährlichen Skripten und Anwendungen geschützt ist, auch aus der PowerShell heraus. In Windows Server vNext, dem Nachfolger von Windows Server 2022 ist diese Funktion bereits automatisch aktiv.
Windows Server 2022 verfügt ebenfalls über WDAC, wie Windows 10/11 auch, allerdings ist hier der Erzwingungsmodus nicht aktiviert. Das sollte möglichst schnell nachgeholt werden. Die Einstellungen sind bei „Computerkonfiguration\Administrative Vorlagen\System\Device Guard“ zu finden. Hier gibt es die Option „Windows Defender-Anwendungssteuerung bereitstellen“. Hier ist es besonders interessant auf die aktuelle Version der PowerShell zu setzen. Ab PowerShell 7.3 lassen sich PowerShell-Skriptdateien über die WDAC-API blockieren oder zulassen.
Wie man die Sicherheit der PowerShell durch Skriptüberwachung, ConstrainedLanguage-Modus und andere Methoden weiter verbessert, zeigen wir hier im Video-Tipp und in der Bildergalerie.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/cd/b0cd6ad0db8b7b584295c04c4084023d/0125494472v2.jpeg "Am 3. Juli waren auf einmal die Webseiten des Distributors Ingram Micro nicht mehr erreichbar. Schnell wurde von Mitarbeitern und Kunden ein Cyberangriff vermutet. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/6c/dd/6cddbcf249f31748feae7096189632a2/0128612351v1.jpeg "Um die sich schnell ändernden Bedrohungen der KI-Technologie effektiv zu adressieren, sollten Unternehmen im Zuge einer aggressiven Cloud-Strategie ihre Sicherheitsvorkehrungen überdenken und konsolidieren. (Bild: © Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/f7/b3f75dd711f2385a1e7d528acc79b1c7/0128774540v1.jpeg "Mit der Übernahme von Armis will ServiceNow eine einheitliche Sicherheitsplattform für die gesamte Angriffsfläche schaffen, die die Lücke zwischen dem Erkennen von Schwachstellen und deren Behebung schließt und so Milliarden von vernetzten Geräten autonom schützt. (Bild: © twindesigner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/11/63115ba1d37c1e9499d599c744c80ab4/0123849100v1.jpeg "Jörg Hollerith, Produktmanager bei Paessler, betont die Bedeutung klar definierter Schwellenwerte, um Warnmeldungen verlässlicher einzuordnen. (Bild: Paessler)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/4d/da/4dda0e5edf9ddd0c31363f92becb045e/0127807026v1.jpeg "Proaktive IT-Wartung: Unified Endpoint Management und Digital Employee Experience sollen Fehler erkennen, bevor sie den Betrieb beeinträchtigen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0b/22/0b22469f85709c1d30f4fa6db4f832f4/0129015808v2.jpeg "Unternehmen verlieren den Überblick über ihre Daten. Um sensible Informationen angemessen schützen zu können, müssen sie alle ihre Daten erst sorgfältig klassifizieren. (Bild: © mnirat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/d0/cfd05fb7d685daeef671838eb3edf725/0128875949v2.jpeg "Drei teils kritische Schwachstellen betreffen lokale Windows-Versionen von Trend Micro Apex Central. Sie ermöglichen eine vollständige Systemübernahme durch Remote-Code-Ausführung sowie Denial-of-Service-Angriffe. (Bild: Melinda Nagy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a8/09/a809c2b47ea5879bc108f0e713988bb5/0129070533v2.jpeg "Das Ziel der EU-Kommission hinter der Änderung des Cybersecurity Acts besteht darin, die Cybersicherheitsresilienz und -kapazitäten zu stärken, um Unternehmen und Institutionen besser gegen wachsende Cyberbedrohungen zu schützen und gleichzeitig die Compliance-Anforderungen zu vereinfachen. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/9b/d2/9bd2af265ea328f7a28798bc4580fb46/0110313800.jpeg "Mit Gruppenrichtlinieneinstellungen kann die Ausführung von PowerShell-Befehlen überwacht werden. (Bild: Microsoft - Joos)")
:quality(80)/p7i.vogel.de/wcms/57/24/572440913b98b1f07ca4fe6894ff4156/0110313799.jpeg "Skriptblöcke können in der PowerShell gesondert überwacht werden. Das erhöht deutlich die Sicherheit.(Bild: Microsoft - Joos)")
:quality(80)/p7i.vogel.de/wcms/0d/24/0d24fbcdd5d1550854ee032a3ae3157f/0110313801.jpeg "Durch die Protollierung der PowerShell lassen sich die Verwendung von Modulen und einzelnen Cmdlets überwachen und in der Ereignisanzeige auslesen.(Bild: Microsoft - Joos)")
:quality(80)/p7i.vogel.de/wcms/ef/44/ef44b9a54a7c3808fe073c28fdc4fa08/0110313802.jpeg "In der Ereignisanzeige von Windows sind auch Einträge der PowerShell zu finden.(Bild: Microsoft - Joos)")
:quality(80)/p7i.vogel.de/wcms/5b/57/5b578151a4fe8f1e725af42722317d11/0125497476v2.jpeg "In diesem Video-Tipp zeigen wir, wie man mit dem quelloffenen PowerShell-Modul „Harden Windows Security“ Windows-11-PCs einfach und schnell sicherer macht. (Bild: © Alexej - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/06/78/0678ce1dceed0f9a6205f464fd5a33da/0125974706v1.jpeg "Windows Server 2025 bringt zahlreiche neue Gruppenrichtlinien für Sicherheit, Updates, Energiesparmodus, SMB over QUIC und mehr – zentral steuerbar per Admin Center. (Bild: Joos | Microsoft)")