您好,欢迎访问利联科技官网!    24小时服务热线:400-161-0880    我们有最适合您的产品和最好的服务。登录  /  注册  /  旧平台入口

美国国家安全局(NSA)分享使用PowerShell保护Windows设备的技巧

 

一位匿名读者写道:

       美国国家安全局(NSA)和网络安全合作伙伴机构今天发布了一项建议,建议系统管理员使用PowerShell来防止和

检测Windows机器上的恶意活动。PowerShell经常被用于网络攻击,主要在攻击后阶段发挥作用,但微软自动化和配

置工具中嵌入的安全能力也可以使防御者在取证、改进事件响应和自动化重复任务方面受益。美国国家安全局(CISA)、

新西兰(NZ NCSC)和英国(NCSC- uk)的网络安全中心已经制定了一套使用PowerShell来减轻网络威胁的建议,而不是

删除或禁用它,这会降低防御能力。


       要降低威胁参与者滥用PowerShell的风险,需要利用框架中的功能,比如PowerShell远程处理,它在Windows

主机上远程执行命令时不会公开纯文本凭证。管理员应该意识到,在私有网络上启用此功能会自动在Windows防火墙

中添加一条允许所有连接的新规则。定制Windows防火墙,只允许来自可信端点和网络的连接,有助于减少攻击者成

功横向移动的机会。对于远程连接,建议使用PowerShell 7支持的SSH (Secure Shell protocol)协议,增加公钥认证

的便利性和安全性:

-远程连接不需要带SSL证书的HTTPS

-不需要受信任的主机,当需要在一个域之外的WinRM remoting

-通过SSH对所有命令和连接进行安全的远程管理,不需要密码

-在Windows和Linux主机之间使用PowerShell远程控制


       另一个建议是在AppLocker或Windows Defender Application Control (WDAC)的帮助下减少PowerShell的操

作,将工具设置为受约束语言模式(CLM),从而拒绝管理员定义的策略之外的操作。记录PowerShell活动和监视日志是

两个建议,可以帮助管理员发现潜在滥用的迹象。美国国家安全局及其合作伙伴建议启用深层脚本块日志(DSBL)、模块

日志和over - shoulder转录(OTS)等功能。前两种方法支持构建一个全面的日志数据库,用于查找可疑或恶意的Power

Shell活动,包括隐藏的操作以及过程中使用的命令和脚本。使用OTS,管理员可以获得每一个PowerShell输入或输出的

记录,这可以帮助确定攻击者在环境中的意图。


您可能还会对下面的文章感兴趣: