АНБ предостерегает от глупой ошибки в борьбе с вредоносными программами для Windows

Поделитесь своими мыслями о кибербезопасности и получите бесплатную копию Руководство хакера 2022. Помогите нам узнать, как компании готовятся к миру после пандемии COVID-19, и влияние этих действий на их планы кибербезопасности. Введите свой адрес электронной почты в конце этого опроса, чтобы получить книжный журнал стоимостью 10,99 долл. США.

Многочисленные рекомендации

«Блокировка PowerShell препятствует защитным возможностям, которые могут предоставить текущие версии PowerShell, и препятствует правильной работе компонентов операционной системы Windows. Последние версии PowerShell с улучшенными возможностями и параметрами могут помочь защитникам в противодействии злоупотреблениям PowerShell», — заявило АНБ.

В бюллетене содержится ряд рекомендаций, в том числе использование удаленного взаимодействия PowerShell или использование протокола Secure Shell (SSH) для повышения безопасности аутентификации с открытым ключом.

«Правильная настройка WDAC или AppLocker в Windows 10+ помогает предотвратить получение злоумышленником полного контроля над сеансом PowerShell и хостом», — поясняется в документе.

Системные администраторы также могут отслеживать признаки злоупотреблений на своих конечных точках, записывая PowerShell. журналы активности и мониторинга.

В бюллетене также рекомендуется, чтобы администраторы включали такие функции, как глубокое ведение журнала блоков сценариев, ведение журнала модулей или транскрипция через плечо, поскольку первые создают журнал база данных, удобна для обнаружения агрессивной активности PowerShell.

Последнее позволяет администраторам записывать каждый ввод и вывод PowerShell, чтобы лучше понять цели злоумышленников.

«PowerShell необходим для защиты операционной системы Windows», — заключило АНБ, добавив, что при правильной настройке и управлении он может стать отличным инструментом для обслуживания и обеспечения безопасности системы.

Через BleepingComputer