PowerShell Security

IT Security | Endpoint Management | System Administration

Powershell Security – Warum die Powershell Nutzung reguliert werden sollte

10. Dezember 2020, Avatar of Felix ZechFelix Zech

Powershell ist ein zentraler Bestandteil, um Unternehmen effizient zu administrieren. Viele dieser Dienste von Microsoft können nur noch per Powershell gesteuert werden.

Ein GUI gibt es dafür nicht. Die Powershell birgt aber einige Tücken. Denn ohne besondere Konfiguration ist es mit ihr jedem beliebigen User möglich, umfassende Informationen über das Netzwerk einzuholen. Unter anderem könnte er so erfahren, welche Benutzer es gibt, wer welche administrativen Rechte hat, den Domainlevel und vieles mehr. 

Ein Geschenk für Cyberkriminelle

Diese Informationen wiederum sind für Cyberkriminelle sehr wertvoll, denn sie geben ihm das notwendige Wissen an die Hand, wo sich ein Angriff lohnt und wie er ihn am besten umsetzen kann. Erschwerend kommt hinzu, dass viele unnötig weitreichende Userberechtigungen im Umlauf sind. Dies betrifft auch die IT-Abteilung selbst. So haben zum Beispiel Exchange Administrator häufig vollen Zugriff auf die Domäne, auch wenn sie das für ihre tägliche Arbeit eigentlich nicht brauchen. Für die wenigen ausgewählten Aufgaben, für die sie diesen Zugriff benötigen, gibt es eine bessere Lösung.

Besseres Arbeiten mit PAM, JEA und JIT

Microsoft stellt einige Tools zur Verfügung, um exakt definierte Berechtigungen vergeben zu können. So ermöglicht bspw. PAM (Privileged Access Management) zeitlich begrenzt und definierte Gruppenmitgliedschaften, sodass etwa der Exchange Admin für eine vorkonfigurierte Zeitspanne Zugang erhält und danach automatisch die Berechtigung wieder entfernt wird. Wird dann der Account dieses Users kompromittiert, ist die Domäne nicht automatisch ebenfalls betroffen.  Ähnliche Möglichkeiten bieten JIT (Just-in-Time) und JEA (Just-enough-Administration).

JIT ist auf Powershell-Ebene das Pendant zu PAM. JEA erlaubt es, den Funktionsbereich innerhalb der Powershell so zu begrenzen, dass nicht alle cmdlets für jeden User frei verfügbar sind. Stattdessen erhält jeder nur Zugriff auf diejenigen, die für seine Arbeit notwendig sind. Kombiniert mit einem Transcriptions Logging kann zudem genau nachvollzogen werden, welcher User, wann, welche Befehle eingegeben hat.

Das Schöne an der Sache: Diese Tools werden von Microsoft kostenfrei zur Verfügung gestellt. Alles was der Administrator tun muss, ist sie richtig zu konfigurieren. Teure Zusatzprodukte sind dafür in der Regel nicht notwendig. 

Die Tools PAM, JEA und JIT sind Bestandteil unserer Schulung „Windows Security Skills“.
 

Mehr lesen?