日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

來自美國，新西蘭和英國的網(wǎng)絡(luò)安全當(dāng)局建議正確配置和監(jiān)控PowerShell，而不是完全刪除或禁用PowerShell。這將從PowerShell可以啟用的安全功能中受益，同時降低惡意行為者在訪問受害者網(wǎng)絡(luò)后未被發(fā)現(xiàn)使用它的可能性。以下建議將幫助防御者檢測和防止惡意網(wǎng)絡(luò)行為者的濫用，同時使管理員和防御者能夠合法使用。

從網(wǎng)站建設(shè)到定制行業(yè)解決方案，為提供網(wǎng)站制作、成都網(wǎng)站設(shè)計服務(wù)體系，各種行業(yè)企業(yè)客戶提供網(wǎng)站建設(shè)解決方案，助力業(yè)務(wù)快速發(fā)展。創(chuàng)新互聯(lián)將不斷加快創(chuàng)新步伐，提供優(yōu)質(zhì)的建站服務(wù)。

本來自國家安全局（NSA）、網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）、新西蘭國家網(wǎng)絡(luò)安全中心（NZNCSC）和英國國家網(wǎng)絡(luò)安全中心（NCSC-UK）的網(wǎng)絡(luò)安全信息表提供了有關(guān)使用PowerShell?及其安全措施的詳細(xì)信息。

PowerShell?是MicrosoftWindows?中包含的腳本語言和命令行工具。與開源操作系統(tǒng)（例如Linux?）的Bash類似，PowerShell將用戶體驗作為界面擴展到操作系統(tǒng)中。PowerShell是在WindowsVista中引入的，?并且隨著每個Windows版本的發(fā)展而發(fā)展。PowerShell可以幫助防御者管理Windows操作系統(tǒng)，通過以下方式：

• 實現(xiàn)取證工作，
• 改進事件響應(yīng)，以及
• 允許常見或重復(fù)性任務(wù)的自動化。

在微軟的云平臺Azure中?，PowerShell可以幫助管理Azure資源，允許管理員和防御者構(gòu)建自動化工具和安全措施。但是，PowerShell的可擴展性，易用性和可用性也為惡意網(wǎng)絡(luò)行為者提供了機會。許多公開承認(rèn)的網(wǎng)絡(luò)入侵，包括勒索軟件參與者的網(wǎng)絡(luò)入侵，已經(jīng)使用PowerShell作為利用后工具。這種技術(shù)并不新鮮，因為惡意行為者經(jīng)常會找到針對或使用合法系統(tǒng)軟件的方法。

PowerShell的當(dāng)前防御環(huán)境?

PowerShell 7.2是最新版本，但早期版本5.1包含在Windows10中。版本7.2由Microsoft進行管理和開源。在配置正確的Windows10+中，PowerShell7.2可以與為版本5.1創(chuàng)建的所有組件完全集成和訪問，從而允許繼續(xù)使用現(xiàn)有腳本、模塊和命令。在5.0版之前的惡意PowerShell使用促使公眾努力檢測這些有針對性的PowerShell操作。最近的PowerShell版本（請參閱表1）包括增強的安全措施，例如以下各節(jié)中詳細(xì)介紹的預(yù)防、檢測和身份驗證功能。作者建議在Windows10+上明確禁用并卸載已棄用的PowerShell第二版（即版本2），以防止繞過下面描述的防御措施。

減少濫用的PowerShell方法?

PowerShell中提供的內(nèi)置Windows安全功能可以減少網(wǎng)絡(luò)攻擊者的濫用。作者建議在可行的情況下使用這些功能。

PowerShell遠(yuǎn)程處理期間的憑據(jù)保護?

PowerShell遠(yuǎn)程處理是一項Windows功能，它使管理員、網(wǎng)絡(luò)安全分析師和用戶能夠在Windows主機上遠(yuǎn)程執(zhí)行命令。WindowsRemoteManagement（WinRM）是PowerShell遠(yuǎn)程處理使用的基礎(chǔ)協(xié)議，并使用Kerberos或NewTechnologyLANManager（NTLM）作為默認(rèn)身份驗證協(xié)議。這些身份驗證協(xié)議不會將實際憑據(jù)發(fā)送到遠(yuǎn)程主機，從而避免了憑據(jù)的直接暴露和通過泄露的憑據(jù)被盜的風(fēng)險。

PowerShell遠(yuǎn)程處理的網(wǎng)絡(luò)保護?

遠(yuǎn)程連接可用于強大的遠(yuǎn)程管理功能，因此應(yīng)適當(dāng)配置終結(jié)點上的Windows防火墻規(guī)則以控制允許的連接。Windows的客戶端和服務(wù)器版本包括PowerShell遠(yuǎn)程處理，默認(rèn)情況下，此功能在Windows服務(wù)器上以Windows 2012 R2開頭啟用。默認(rèn)情況下，使用PowerShell遠(yuǎn)程處理訪問終結(jié)點要求請求用戶帳戶在目標(biāo)位置具有管理權(quán)限。在專用網(wǎng)絡(luò)上啟用PowerShell遠(yuǎn)程處理將引入Windows防火墻規(guī)則以接受所有連接。權(quán)限要求和Windows防火墻規(guī)則是可自定義的，用于將連接限制為僅受信任的終結(jié)點和網(wǎng)絡(luò)，以減少橫向移動的機會。組織可以在可行的情況下實施這些規(guī)則來加強網(wǎng)絡(luò)安全。

反惡意軟件掃描接口（AMSI）集成?

反惡意軟件掃描界面功能首先在Windows 10上可用，已集成到不同的Windows組件中。它支持使用在Windows注冊的防病毒產(chǎn)品掃描內(nèi)存中和動態(tài)文件內(nèi)容，并公開一個接口，供應(yīng)用程序掃描潛在的惡意內(nèi)容。內(nèi)置腳本語言（例如，PowerShell、VBScript和JScript?）使用AMSI，以便通過注冊和支持的防病毒軟件掃描腳本。此功能需要AMSI感知防病毒產(chǎn)品，如WindowsDefender、McAfee和Symantec。

具有應(yīng)用程序控制的受約束的PowerShell?

將AppLocker或Windows Defender應(yīng)用程序控制（WDAC）配置為阻止Windows主機上的操作將導(dǎo)致PowerShell在受限語言模式（CLM）下運行，從而限制PowerShell操作，除非管理員定義的策略允許。此功能糾正了AppLocker腳本強制的缺點，該缺陷阻止腳本中的PowerShell命令，但允許以交互方式將相同的命令輸入到PowerShell命令控制臺中。在Windows10+上正確配置WDAC或AppLocker有助于防止惡意執(zhí)行組件獲得對PowerShell會話和主機的完全控制。通過控制腳本和模塊的來源和執(zhí)行，可以提高組織內(nèi)的安全要求和代碼簽名管道。簽名要求也可以通過PowerShell的安全功能（稱為執(zhí)行策略）強制執(zhí)行。但是，執(zhí)行策略不會限制所有PowerShell內(nèi)容的執(zhí)行。

用于檢測濫用的PowerShell方法?

PowerShell活動的日志記錄可以記錄網(wǎng)絡(luò)威脅何時利用PowerShell，并且持續(xù)監(jiān)視PowerShell日志可以檢測潛在的濫用行為并發(fā)出警報。默認(rèn)情況下，深度腳本塊日志記錄、模塊日志記錄和肩過傳聽處于禁用狀態(tài)。作者建議在可行的情況下啟用這些功能。

深度腳本塊日志記錄（DSBL）和模塊日志記錄?

深度腳本塊日志記錄在Windows事件日志中記錄每個PowerShell命令，從而在集中式存儲和分析平臺上啟用其他分析。DSBL甚至記錄隱藏的惡意PowerShell活動和執(zhí)行的命令，如命令調(diào)用和部分腳本。同樣，模塊日志記錄捕獲PowerShell的管道執(zhí)行詳細(xì)信息，目標(biāo)是記錄PowerShell操作。雖然可能不會記錄完整的詳細(xì)信息和輸出，但這些模塊日志和事件日志可防止PowerShell命令被防御者遮蓋（例如，混淆或加密）。

肩過肩（OTS）轉(zhuǎn)錄

記錄在PowerShell5中執(zhí)行的所有活動的功能可以應(yīng)用于Windows7及更高版本，以實現(xiàn)即時記錄保存和受限安全跟蹤。OTS記錄每個PowerShell輸入和輸出，無論是否有效，以使防御者能夠破譯預(yù)期的行動。PowerShell 5.0擴展了轉(zhuǎn)錄范圍，可通過組策略進行企業(yè)范圍的配置。

提供身份驗證的PowerShell過程?

PowerShell中的多種身份驗證方法允許在非Windows設(shè)備上使用。

通過SSH進行遠(yuǎn)程處理?

PowerShell 7除了支持WinRM連接外，還允許通過安全外殼（SSH）進行遠(yuǎn)程連接。這允許公鑰身份驗證，并通過PowerShell對計算機進行遠(yuǎn)程管理，方便且安全。PowerShell中新的SSH遠(yuǎn)程處理功能可以建立遠(yuǎn)程連接，而無需使用超文本傳輸協(xié)議安全（HTTPS）和安全套接字層/傳輸層安全性（SSL/TLS）證書。PowerShell over SSH不需要受信任的主機，因為在域外部通過Win RM進行遠(yuǎn)程處理時。這允許通過SSH進行安全的遠(yuǎn)程管理，而無需所有命令和連接的密碼，并啟用Windows和Linux主機之間的PowerShell遠(yuǎn)程處理。

PowerShell版本和安全功能可用性

下表列出了使用特定版本的PowerShell時可用的功能：

表1：每個版本和操作系統(tǒng)的可用PowerShell功能

PowerShellVersion(v)	OperatingSystem	AMSI	CLM	CLMwithAppLocker andWDAC	DSBL	Over-the-Shoulder Transcription	ModuleLogging	SSH Remoting
v3	Windows 8
v4	Windows 8.1
v5	Windows 10
v5	Windows 11
v7	Windows 10
v7	Windows 11
v7	Linux

結(jié)論?

PowerShell對于保護Windows操作系統(tǒng)至關(guān)重要，特別是因為較新的版本通過更新和增強功能解決了以前的限制和問題。刪除或不當(dāng)限制PowerShell將阻止管理員和防御者利用PowerShell來協(xié)助系統(tǒng)維護、取證、自動化和安全性。PowerShell及其管理能力和安全措施應(yīng)該得到妥善管理和采用。

標(biāo)題名稱：美國NSA發(fā)布：保留PowerShell使用和接受的安全措施
新聞來源：http://m.5511xx.com/article/dpgjcjh.html