Sicherheit mit der PowerShell 5

Die Windows PowerShell (WPS) ist ein mächtiges Werkzeug, das die Kommandozeile mit einem Skriptinterpreter vereint. Auch wenn die Ausführung von Anweisungen immer an den Kontext des Benutzers gebunden ist, reicht dieser Umstand aus, die Aufmerksamkeit der Sicherheitsbeauftragten in der IT zu wecken. Hinzu kommen einige andere Besonderheiten, die kritisch betrachtet werden können. Viele Admins setzen die PowerShell mit der Datei "Powershell.exe" gleich und hoffen, durch ein schlichtes Blockieren der "Powershell.exe" würde auch die PowerShell nicht mehr nutzbar. Doch dem ist nicht so und folgendes Codefragment zeigt den wirklichen Charakter der WPS als Bestandteil des .NET Frameworks auf:

$ObjWPS = [POWERSHELL]::Create();

$ObjWPS.AddCommand("get-service");

$ObjWPS.Invoke();

Die Powershell ist in der "System.Management.Automation.dll" hinterlegt. Damit ist die Ausführung von PowerShell-Code nicht allein auf die "powershell.exe" beschränkt. Im Zusammenspiel mit Applocker und neuen Sicherheitselementen in der PowerShell 5 ist jedoch eine sichere Umgebung auch mit der PowerShell erreichbar.

Adminrechte beschränken

Just Enough Administration (JEA) ist ein neues Feature des Windows Management Framework 5. Die Idee hinter dieser Sicherheitstechnologie ist die Einschränkung der Rechte des Administrators auf das absolut Notwendigste zur Durchführung einer Aufgabe. JEA verwendet dazu einen rollenbasierten Ansatz zum Einrichten und Automatisieren von Einschränkungen für IT-Personal und verringert die Risiken, die mit der Bereitstellung vollständiger Administratorrechte verbunden sind.

JEA lässt sich auch mit der PowerShell umsetzen, denn alles, was Sie mit PowerShell verwalten können, können Sie sicherer mit JEA verwalten. JEA bietet standardisierte Methoden

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.