PowerShell is essentieel voor het beveiligen van Windowssystemen

[Captain Kirk]

PowerShell is essentieel voor het beveiligen van Windowssystemen. Organisaties moeten de scriptingtaal dan ook goed configureren in plaats van verwijderen of beperken, zo stelt de Amerikaanse geheime dienst NSA in een document dat mede door de Britse en Nieuw-Zeelandse autoriteiten is opgesteld (pdf).

PowerShell is een scriptingtaal en commandlinetool die sinds Windows Vista in Windows aanwezig is en kan worden vergeleken met Bash. Volgens de NSA kan PowerShell organisaties en beveiligingsexperts helpen met forensisch onderzoek, het verbeteren van incidentrespons en het automatiseren van taken. PowerShell wordt echter ook gebruikt door criminelen die toegang tot systemen hebben gekregen, bijvoorbeeld voor de verdere verspreiding van ransomware.

Dat neemt niet weg dat het blokkeren of verwijderen van PowerShell het beveiligen van systemen juist hindert, zo laat de NSA weten. Het monitoren van PowerShell-logs kan juist helpen bij het detecteren van mogelijk misbruik. Daarnaast kan PowerShell zo worden ingesteld dat het netwerken veiliger maakt en bijvoorbeeld tekortkomingen van AppLocker corrigeert.

"PowerShell is essentieel voor het beveiligen van Windows, met name nieuwere versies hebben door middel van updates en verbeteringen eerdere beperkingen en zorgen opgelost", zo concludeert de NSA. Het verwijderen of beperken van PowerShell zou juist voorkomen dat systeembeheerders en verdedigers PowerShell kunnen gebruiken voor systeembeheer, forensisch onderzoek, automatisering en beveiliging. "PowerShell, samen met de beheerdersmogelijkheden en securitymaatregelen, zouden juist goed moeten worden beheerd en toegepast", zo besluit de NSA de conclusie.

 

 

bron: https://www.security.nl