:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Video-Tipp #60 Skriptsicherheit und Malwareschutz mit der PowerShell Mehr Sicherheit für die PowerShell
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Die PowerShell ist ein mächtiges Werkzeug, mit der Microsoft-Netzwerke und auch Clouddienste umfassend gesteuert werden können. Auch andere Anbieter haben APIs für die PowerShell, sodass eine Absicherung der Zugriffe sehr sinnvoll ist.
Die PowerShell ist ein mächtiges Werkzeug, wenn es um die Verwaltung von Microsoft-Netzwerken geht. Neben lokal betriebenen Servern, lassen sich auch Clouddienste mit der PowerShell verwalten. Immer mehr Drittanbieter stellen APIs bereit sowie PowerShell-Module, mit denen weitere Dienste verwaltet werden können. Microsoft hat in der PowerShell viele Sicherheitsfeatures integriert, die wir bereits in verschiedenen Beiträgen thematisiert haben. Um die Sicherheit für und mit der PowerShell in Microsoft-Netzwerken zu optimieren, sollte sich daher unbedingt auch die Tipps und Anleitungen in diesen Beiträgen näher anschauen:
Im folgenden Text zeigen wir weitere Möglichkeiten, wie die PowerShell möglichst sicher betrieben werden kann.
Effektivere Überwachung der PowerShell: Skriptblöcke und Skriptausführung
Eine wichtige Basis für den sicheren Betrieb der PowerShell ist die Überwachung der Aktionen, die Admins in der PowerShell durchführen. Wir haben bereits im Beitrag „Cyber-Attacken via PowerShell verhindern“ beschrieben, wie sich die Überwachung generell aktivieren lässt. Die PowerShell bietet dazu aber noch mehr.
Die Richtlinien-Einstellung „Protokollierung von PowerShell-Skriptblöcken aktivieren“ im Pfad „Computerkonfiguration\ Richtlinien\ Administrative Vorlagen\Windows-Komponenten\ Windows PowerShell“ stellt sicher, dass auf dem Computer nicht nur interaktive Befehle aus der PowerShell heraus überwacht werden, sondern auch Skriptblöcke, Funktionen und ganze Skripte, die automatisiert starten. Die Daten sind im Anschluss in der Ereignisanzeige zu finden und lassen sich umfassend analysieren. Hier ist es parallel natürlich sinnvoll auf Überwachungslösungen zu setzen, mit denen sich die Ereignisanzeigen von Windows-Servern umfassend analysieren lassen.
Wie man die Sicherheit der PowerShell durch Skriptüberwachung, ConstrainedLanguage-Modus und andere Methoden weiter verbessert, zeigen wir hier im Video-Tipp und in der Bildergalerie.
:quality(80)/p7i.vogel.de/wcms/9b/d2/9bd2af265ea328f7a28798bc4580fb46/0110313800.jpeg "Mit Gruppenrichtlinieneinstellungen kann die Ausführung von PowerShell-Befehlen überwacht werden.")
:quality(80)/p7i.vogel.de/wcms/57/24/572440913b98b1f07ca4fe6894ff4156/0110313799.jpeg "Skriptblöcke können in der PowerShell gesondert überwacht werden. Das erhöht deutlich die Sicherheit.")
:quality(80)/p7i.vogel.de/wcms/0d/24/0d24fbcdd5d1550854ee032a3ae3157f/0110313801.jpeg "Durch die Protollierung der PowerShell lassen sich die Verwendung von Modulen und einzelnen Cmdlets überwachen und in der Ereignisanzeige auslesen.")
:quality(80)/p7i.vogel.de/wcms/ef/44/ef44b9a54a7c3808fe073c28fdc4fa08/0110313802.jpeg "In der Ereignisanzeige von Windows sind auch Einträge der PowerShell zu finden.")
Neben diesen Möglichkeiten kann über die Richtlinien-Einstellung „Skriptausführung aktivieren“ direkt über Gruppenrichtlinien die Ausführungsrichtlinie für Skripte in der PowerShell konfiguriert werden. Das geht zwar auch in der PowerShell, ist mit Gruppenrichtlinien aber sicherer. Mehr dazu ist im Beitrag „Cyber-Attacken via PowerShell verhindern“ zu finden. Es ist generell sinnvoll die Ausführung von PowerShell-Skripten direkt über Gruppenrichtlinien zu steuern.
Module überwachen und einschränken
Parallel dazu kann es sinnvoll sein, bestimmte Module in der PowerShell zu überwachen. Die Einstellungen dazu sind bei „Modulprotokollierung aktivieren“ im Pfad „Computerkonfiguration\Richtlinien\ Administrative Vorlagen\Windows-Komponenten\Windows PowerShell“ zu finden. Die Einstellung an dieser Stelle ist automatisch für alle Sitzungen auf den jeweiligen Rechnern aktiviert. Eine Liste aller verfügbaren Module auf einem Rechner kann mit dem folgenden Befehl in der PowerShell angezeigt werden:
Get-Module -ListAvailableDie Module, die in einer Sitzung bereits importiert wurden, können mit dem folgenden Cmdlet angezeigt werden:
Get-ModuleGrundsätzlich kann es sinnvoll sein nicht benötigte Module aus der PowerShell zu entfernen, um die Sicherheit von Servern zu verbessern. Das lässt sich zum Beispiel mit dem folgenden Befehl erledigen:
Remove-Module <module-name>In diesem Zusammenhang kann es sinnvoll sein zu überprüfen, in welchen Pfaden Module gespeichert sind, die in der PowerShell zum Einsatz kommen können. Auch auf diesem Weg kann Malware in einem System eindringen. Das geht zum Beispiel durch das Abfragen der entsprechenden Umgebungsvariablen als Befehl in der PowerShell:
$env:PSModulePathWie man die Sicherheit der PowerShell durch Skriptüberwachung, ConstrainedLanguage-Modus und andere Methoden weiter verbessert, zeigen wir hier im Video-Tipp und in der Bildergalerie.
PowerShell mit dem Constrained-Language-Modus absichern
In vielen Fällen ist es nicht notwendig, dass auf Servern in allen Sitzungen alle Funktionen der PowerShell zur Verfügung stehen. Dazu hat Microsoft den Constrained-Language-Modus integriert. Wir haben im Beitrag „Cyber-Attacken via PowerShell verhindern“ beschrieben, wie sich der Modus aktivieren lässt. Dieser spielt eine so wichtige Rolle, dass Microsoft die Überwachung dazu im Windows Admin Center direkt im Dashboard des jeweiligen Servers eingebunden hat.
Nach dem Start des Windows Admin Centers ist bei „Übersicht“ im Bereich „PowerShell-Sprachmodus“ zu erkennen, ob auf dem Server eine Absicherung stattgefunden hat. Wenn das nicht der Fall ist, sollte das in jedem Fall nachgeholt werden.
Dateilose Bedrohungen: Microsoft Defender und die PowerShell
Im Beitrag „Windows 10/11 braucht keinen externen Virenschutz“ zeigen wir, mit welchen Möglichkeiten der Virenschutz auch mit Bordmitteln optimiert werden kann. Das gilt übrigens auch für Windows Server 2019/2022. Die PowerShell arbeitet direkt mit Microsoft Defender zusammen und nutzt dazu Windows Antimalware Scan Interface (AMSI). Befehle und Skripte, die in der PowerShell ablaufen, werden durch diese API von Microsoft Defender nach Malware untersucht. Generell werden alle Skripte vor der Ausführung mit AMSI zunächst überprüft, bevor die PowerShell diese ausführt.
Beim Download von Dateien in der PowerShell überprüft Microsoft Defender ebenfalls, ob der heruntergeladene Inhalt Malware enthält oder eine Gefahr für den Computer darstellt. Das funktioniert auf Arbeitsstationen mit Windows 10/11 genauso wie auf Servern mit Windows Server 2019/2022. Testen lässt sich das durch den versuchten Download des Eicar-Testvirus. Diesen blockiert Microsoft Defender, wenn er in der PowerShell heruntergeladen werden soll:
set-content "X5O!P%@AP[4`\PZX54(P^)7CC)7}`$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!`$H+H*" -path "eicar.com"Windows Defender Application Control für die PowerShell nutzen
Bestandteil von Windows 10/11 und Windows Server 2019/2022 ist neben der Steuerung von Anwendungen mit Applocker auch die Windows Defender-Anwendungssteuerung (Windows Defender Application Control, WDAC). Application Control stellt eine Alternative zu Applocker dar.
Diese arbeitet ebenfalls mit der PowerShell zusammen. Im Erzwingungsmodus wird dabei sichergestellt, dass ein Server maximal vor gefährlichen Skripten und Anwendungen geschützt ist, auch aus der PowerShell heraus. In Windows Server vNext, dem Nachfolger von Windows Server 2022 ist diese Funktion bereits automatisch aktiv.
Windows Server 2022 verfügt ebenfalls über WDAC, wie Windows 10/11 auch, allerdings ist hier der Erzwingungsmodus nicht aktiviert. Das sollte möglichst schnell nachgeholt werden. Die Einstellungen sind bei „Computerkonfiguration\Administrative Vorlagen\System\Device Guard“ zu finden. Hier gibt es die Option „Windows Defender-Anwendungssteuerung bereitstellen“. Hier ist es besonders interessant auf die aktuelle Version der PowerShell zu setzen. Ab PowerShell 7.3 lassen sich PowerShell-Skriptdateien über die WDAC-API blockieren oder zulassen.
Wie man die Sicherheit der PowerShell durch Skriptüberwachung, ConstrainedLanguage-Modus und andere Methoden weiter verbessert, zeigen wir hier im Video-Tipp und in der Bildergalerie.
(ID:49250304)
:quality(80)/p7i.vogel.de/wcms/eb/82/eb82e3d5ce7382a0a65170e5b261b5b9/0112100628.jpeg "Wie man mit Windows Defender Application Control und Smart App Control Windows vor gefährlichen Dateien wie Ransomware schützt, zeigen wir in diesem Video-Tipp. (Bild: James Thew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/81/7e/817eed55ba821c90084f762b4d0ee177/0109859543.jpeg "Mit einigen Cmdlets können Admins die Systemsicherheit von Windows 10/11 und auch Windows Server 2016/2019, sowie Windows Server 2022 zum Teil deutlich verbessern. (Bild: monsitj - stock.adobe.com)")