:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Video-Tipp #55: Mehr Sicherheit mit und trotz PowerShell PowerShell Security Best Practices
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
Die PowerShell kann als mächtiges Werkzeug zur Verbesserung der Sicherheit im Netzwerk dienen, selbst aber auch als Tool für Angreifer zum Einsatz kommen. Dieser Video-Tipp zeigt wichtige Einstellungen und Cmdlets für mehr Sicherheit mit der PowerShell.
Die PowerShell kann auf nahezu alle Funktionen in Windows zugreifen und oft auch auf Serverdienste wie Microsoft Exchange, SQL Server oder andere Produkte. Aus diesem Grund sollte auch die Sicherheit der Umgebung im Auge behalten werden, vor allem bei der Ausführung von Skripten. Dazu kommen zahlreiche PowerShell-Module, welche die Möglichkeiten der Shell um Penetrationstests oder Hackerangriffe erweitert.
Wie man mit der PowerShell für mehr Sicherheit im Netzwerk sorgt und gleichzeitig verhindert, dass Hacker die PowerShell für ihre Zwecke missbrauchen, zeigen wir hier im Video-Tipp und in der Bildergalerie.
:quality(80)/p7i.vogel.de/wcms/06/cd/06cd7a1fb8ef27e73126971219e8be3e/0108198142.jpeg "Das Konfigurieren der Ausführungsrichtlinie für die PowerShell ist ein essenzieller Schritt für mehr Sicherheit mit der PowerShell.")
:quality(80)/p7i.vogel.de/wcms/2a/d8/2ad8b56524ba83b0aa6b0419060e50be/0108198143.jpeg "Konfigurieren der Ausführungsrichtlinien für die PowerShell in den Gruppenrichtlinien.")
:quality(80)/p7i.vogel.de/wcms/4b/28/4b2807d75ecaff9f9f0816cf22be6944/0108198141.jpeg "SSH kann in Verbindung mit der PowerShell für mehr Sicherheit in der Verwaltung zwischen Servern sorgen, auch zwischen Windows, macOS und Linux.")
:quality(80)/p7i.vogel.de/wcms/fb/d2/fbd21b915b677b759c1f44aa9fa0f177/0108198144.jpeg "Die Nutzung der PowerShell lässt sich mit Protokollen überwachen.")
Viele Sicherheitstechnologien in Windows lassen sich umfassend mit der PowerShell steuern. Das haben wir im Beitrag „Sicherheit auf Windows-Servern mit Bordmitteln steuern“ gezeigt. Dazu kommen Funktionen zur Laufwerksverschlüsselung. BitLocker lässt sich auch in der PowerShell aktivieren und steuern. Die zur Verfügung stehenden Befehle dazu zeigt Windows mit „get-command -module BitLocker“ an.
Mit „Enable-BitLocker“ kann die Verschlüsselung aktiviert werden. Mit dem Cmdlet „Get-BitlockerVolume“ zeigt die PowerShell Informationen zu verschlüsselten Datenträgern auf einem Computer an. Um den TPM-Chip für die Aktivierung von Bitlocker zu konfigurieren, kann das Cmdlet „Enable-TpmAutoProvisioning“ zum Einsatz kommen. Die Informationen zum Chip lassen sich wiederum mit „Get-Tpm“ anzeigen. Zurücksetzen lässt sich das TPM mit „Clear-Tpm“.
Die PowerShell als Hacker-Tool: Das sollten Admins wissen
Beispiele für Hackertools sind das Modul PowerSploit, das Penetrationstests in der PowerShell ermöglicht, oder auch Nishang, das Mimikatz mit der Powershell integriert. Wir zeigen im Beitrag „Diese Tools nutzen Hacker für AD-Angriffe“, wie Hacker auf Tools wie Mimikatz, LaZange oder Bloodhound setzen.
Auch diese lassen sich mit der PowerShell kombinieren. Es gibt in diesem Bereich auch verschiedene PowerShell-Skripte, die Mimikatz nutzen. Mit der PowerShell ist es auch möglich lokale Virenscanner zu umgehen, um Hackertools wie Mimikatz einzusetzen. In diesem Zusammenhang spielen auch die Absicherungen eine Rolle, die wir im Beitrag „Cyber-Attacken via PowerShell verhindern“ behandeln. In diesem Beitrag ist auch die Aktivierung des „Constrained Modus“ zu finden, der die PowerShell in einen eingeschränkten und sicheren Modus versetzt, bei dem nicht alle Funktionen zur Verfügung stehen. Wichtig ist an dieser Stelle auch, die alte PowerShell aus dem System zu entfernen. Auch das kann mit der Powershell durchgeführt werden:
Disable-WindowsOptionalFeature -Online -FeatureName MicrosoftWindowsPowerShellV2RootUm generell den Remotezugriff per PowerShell auf einem Computer zu deaktivieren, kann in der PowerShell der Befehl „Disable-PSRemoting -Force“.
Ports scannen, DNS absichern, Windows-Updates installieren und Zertifikate verwalten: Das geht alles in der PowerShell
Wir haben im Beitrag „Mit der PowerShell nach offenen Ports suchen“ gezeigt, wie mit der PowerShell nach offenen Ports auf Geräten gesucht werden kann. Auch die Konfiguration von Windows-Updates ist mit der PowerShell möglich. Dieses Thema haben wir im Beitrag „Windows-Updates mit PowerShell steuern“ vertieft. Die Verwaltung von Zertifikaten und das Anzeigen von abgelaufenen Zertifikaten mit der PowerShell ist im Beitrag „Zertifikate in Windows mit der PowerShell verwalten“ zu finden. Interessant ist in dieser Hinsicht auch, dass Zertifikate auch ohne Zertifikatsdienste selbstsigniert sein können. Auch das lässt sich mit der PowerShell umsetzen. Um für eine Webseite ein selbstsigniertes Zertifikat zu erstellen, geben Sie zum Beispiel den folgenden Befehl ein:
New-SelfSignedCertificate -CertStoreLocation 'Cert:\LocalMachine\My' -DnsName 's2.joos.int'Dazu kommen Möglichkeiten auch Serverdienste in Windows mit der PowerShell abzusichern. Wir zeigen diesen Bereich in den Beiträgen „Mehr Schutz vor Denial-of-Service-Attacken: DNS mit Richtlinien und RRL in Active Directory absichern“ und „DNS-Abfragen mit Richtlinien steuern und DNS-over-HTTPs aktivieren“.
Dazu kommen wichtige Einschränkungen bezüglich der Admin-Rechte in Active Directory. Auch hier spielt die PowerShell eine maßgebliche Rolle, wie wir im Beitrag „Privileged Access Management aus Windows Server 2022 richtig nutzen“. Die Beiträge „Kennwortrichtlinien in Active Directory mit der PowerShell verwalten“ und „SecretsManagement in der PowerShell“ zeigen die Absicherung von Kennwörtern mit der PowerShell.
Wie man mit der PowerShell für mehr Sicherheit im Netzwerk sorgt und gleichzeitig verhindert, dass Hacker die PowerShell für ihre Zwecke missbrauchen, zeigen wir hier im Video-Tipp und in der Bildergalerie.
Die PowerShell kann aber noch viel mehr: Skriptausführung absichern
Die verlinkten Beiträge zeigen die umfassenden Möglichkeiten, die sich mit der PowerShell ergeben, um die Sicherheit in Netzwerken zu erhöhen, gleichzeitig aber auch zu gefährden. Wichtig ist, dass Admins die Möglichkeiten kennen und mit diesen umgehen können. Besonders wichtig ist es mit „Set-ExecutionPolicy“ zunächst grundlegende Sicherheitseinstellungen für die Ausführung von Richtlinien in der PowerShell zu steuern. Abfragen lassen sich die Einstellungen mit „Get-ExecutionPolicy. Damit das funktioniert, muss die PowerShell mit erhöhten Rechten gestartet werden. Danach lässt sich festlegen, dass Skripte signiert sein müssen, zum Beispiel mit:
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope LocalMachineGet-ExecutionPolicy -ListGenerell sollte überprüft werden, dass die Sicherheitseinstellungen für die Ausführung von Skripten richtig gesetzt sind. Es gibt an dieser Stelle verschiedene Einstellungen:
- AllSigned: Alle Skripte müssen von einem vertrauenswürdigen Herausgeber signiert werden
- Bypass: Diese Einstellung erlaubt alle Skripte ohne Rückfrage. Diese Option sollte möglichst nicht gesetzt werden.
- Default: Legt Fest, dass auf Windows-Clients die Einstellung „Restricted“ gesetzt wird und auf Servern „RemoteSigned“
- RemoteSigned: Diese Einstellung stellt sicher, dass nur signierte Skripte starten dürfen
- Restricted: Diese Einstellung legt fest, dass keinerlei Skripte ausgeführt werden dürfen. Das bietet maximale Sicherheit.
- Unrestricted: Führt alle Skripte aus, warnt aber wenn dieses nicht signiert ist.
Diese Einstellungen lassen sich auch mit Gruppenrichtlinien über die Einstellungen bei Richtlinien => Administrative Vorlagen => Windows-Komponenten => Windows PowerShell anpassen. Eigene Skripte lassen sich auch mit Active Directory-Zertifikatsdiensten signieren. Dazu kommt in der PowerShell noch das Cmdlet „Set-AuthenticodeSignature“ zum Einsatz. Microsoft beschreibt die Signierung in der PowerShell-Dokumentation.
OpenSSH mit der PowerShell nutzen
Für die sichere Kommunikation in hybriden Netzwerken, kann auch auf Windows-Servern SSH zum Einsatzkommen. Dadurch lassen sich auch Remotesitzungen der PowerShell 7.x über SSH abwickeln. Damit Windows per SSH erreichbar ist, muss das entsprechende Feature erst installiert werden. Das geht ebenfalls in der PowerShell:
Get-WindowsCapability -Online | where name -like *OpenSSH.Server* | Add-WindowsCapability -OnlineUm den Dienst zu starten und auch automatisch mit Windows zu nutzen, kommen die folgenden Befehl zum Einsatz.
Start-Service sshdSet-Service -Name sshd -StartupType AutomaticAls SSH-Client kann in Windows entweder das Befehlszeilentool ssh.exe in der PowerShell zum Einsatz kommen, oder Tools wie das Open Source-Tool Putty. SSH kann auch mit PowerShell-Remoting genutzt werden. Das ist zum Beispiel bei der PowerShell-Kommunikation zwischen Linux und Windows sinnvoll. Hier kann eine neue PowerShell-Remotesitzung SSH als Transport nutzen.
Ausführung von Cmdlets in der PowerShell aufzeichnen
Um zu erkennen, welche Befehle in der PowerShell durchgeführt wurden, lassen sich Sitzungen auch aufzeichnen. Dazu kommen die beiden Cmdlets „Start-Transcript“ und „Stop-Transcript“ zum Einsatz. Natürlich kann die Überwachung auch über Gruppenrichtlinien gesteuert werden. Die Einstellung „PowerShell-Aufzeichnung einschalten“ ist bei „Richtlinien => Administrative Vorlagen => Windows-Komponenten => Windows PowerShell“ zu finden.
Hier lässt sich auch gleich ein Pfad einer Freigabe oder ein lokales Verzeichnis mit Protokolldatei angeben, in der die PowerShell das Protokoll ablegen soll. In den Protokollen wird täglich aufgezeichnet, welche Cmdlets in der PowerShell ausgeführt werden. Mit „Protokollierung von PowerShell-Skriptblöcken aktivieren“ ist es an dieser Stelle auch möglich Befehle und Skriptblöcke in der Ereignisanzeige auf Computern zu speichern. Hier muss auch darauf geachtet werden, dass die Größe der Ereignisanzeige ausreicht.
Wie man mit der PowerShell für mehr Sicherheit im Netzwerk sorgt und gleichzeitig verhindert, dass Hacker die PowerShell für ihre Zwecke missbrauchen, zeigen wir hier im Video-Tipp und in der Bildergalerie.
(ID:48729481)
:quality(80)/p7i.vogel.de/wcms/25/e8/25e857bd90a0ee389414aaa1d0d70b9b/0114643623.jpeg "Wie man mit der PowerShell die BitLocker-Laufwerksverschlüsselung unter Windows steuert, zeigen wir in diesem Video-Tipp. (Bild: PandaStockArt - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2f/04/2f04fabacf1f502881617fa4880550d5/0110315149.jpeg "In diesem Video-Tipp zeigen wir, wie man die Sicherheit der PowerShell durch Skriptüberwachung, ConstrainedLanguage-Modus und andere Methoden weiter verbessern kann. (Bild: putilov_denis - stock.adobe.com)")