Sicherheit mit der PowerShell 5

Keine Zauberei

Die PowerShell ist zu dem Werkzeug für die Administration schlechthin avanciert. Doch erfreut sich die Skriptsprache auch zunehmender Beliebtheit bei Angreifern. Sie können sich so unerkannt in Systemen festsetzen und im Netzwerk vorarbeiten. Zum Glück ist der Administrator nicht völlig wehrlos, denn die PowerShell 5 bietet einige sinnvolle Security-Funktionen, die sowohl die Nutzung der Skriptsprache einschränken als auch andere Angriffswege blockieren.
Immer größere Datenmengen bei gleichzeitig steigenden Anforderungen an die Sicherheit sowie Zugriffsmöglichkeiten stellen Administratoren vor neue ... (mehr)

Die Windows PowerShell (WPS) ist ein mächtiges Werkzeug, das die Kommandozeile mit einem Skriptinterpreter vereint. Auch wenn die Ausführung von Anweisungen immer an den Kontext des Benutzers gebunden ist, reicht dieser Umstand aus, die Aufmerksamkeit der Sicherheitsbeauftragten in der IT zu wecken. Hinzu kommen einige andere Besonderheiten, die kritisch betrachtet werden können. Viele Admins setzen die PowerShell mit der Datei "Powershell.exe" gleich und hoffen, durch ein schlichtes Blockieren der "Powershell.exe" würde auch die PowerShell nicht mehr nutzbar. Doch dem ist nicht so und folgendes Codefragment zeigt den wirklichen Charakter der WPS als Bestandteil des .NET Frameworks auf:

$ObjWPS = [POWERSHELL]::Create();
$ObjWPS.AddCommand("get-service");
$ObjWPS.Invoke();

Die Powershell ist in der "System.Management.Automation.dll" hinterlegt. Damit ist die Ausführung von PowerShell-Code nicht allein auf die "powershell.exe" beschränkt. Im Zusammenspiel mit Applocker und neuen Sicherheitselementen in der PowerShell 5 ist jedoch eine sichere Umgebung auch mit der PowerShell erreichbar.

Adminrechte beschränken

Just Enough Administration (JEA) ist ein neues Feature des Windows Management Framework 5. Die Idee hinter dieser Sicherheitstechnologie ist die Einschränkung der Rechte des Administrators auf das absolut Notwendigste zur Durchführung einer Aufgabe. JEA verwendet dazu einen rollenbasierten Ansatz zum Einrichten und Automatisieren von Einschränkungen für IT-Personal und verringert die Risiken, die mit der Bereitstellung vollständiger Administratorrechte verbunden sind.

JEA lässt sich auch mit der PowerShell umsetzen, denn alles, was Sie mit PowerShell verwalten können, können Sie sicherer mit JEA verwalten. JEA bietet standardisierte Methoden

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019