來(lái)自美國(guó)，新西蘭和英國(guó)的網(wǎng)絡(luò)安全當(dāng)局建議正確配置和監(jiān)控PowerShell，而不是完全刪除或禁用PowerShell。這將從PowerShell可以啟用的安全功能中受益，同時(shí)降低惡意行為者在訪問(wèn)受害者網(wǎng)絡(luò)后未被發(fā)現(xiàn)使用它的可能性。以下建議將幫助防御者檢測(cè)和防止惡意網(wǎng)絡(luò)行為者的濫用，同時(shí)使管理員和防御者能夠合法使用。

本來(lái)自國(guó)家安全局（NSA）、網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）、新西蘭國(guó)家網(wǎng)絡(luò)安全中心（NZNCSC）和英國(guó)國(guó)家網(wǎng)絡(luò)安全中心（NCSC-UK）的網(wǎng)絡(luò)安全信息表提供了有關(guān)使用PowerShell?及其安全措施的詳細(xì)信息。

PowerShell?是MicrosoftWindows?中包含的腳本語(yǔ)言和命令行工具。與開(kāi)源操作系統(tǒng)（例如Linux?）的Bash類似，PowerShell將用戶體驗(yàn)作為界面擴(kuò)展到操作系統(tǒng)中。PowerShell是在WindowsVista中引入的，?并且隨著每個(gè)Windows版本的發(fā)展而發(fā)展。PowerShell可以幫助防御者管理Windows操作系統(tǒng)，通過(guò)以下方式：

• 實(shí)現(xiàn)取證工作，
• 改進(jìn)事件響應(yīng)，以及
• 允許常見(jiàn)或重復(fù)性任務(wù)的自動(dòng)化。

在微軟的云平臺(tái)Azure中?，PowerShell可以幫助管理Azure資源，允許管理員和防御者構(gòu)建自動(dòng)化工具和安全措施。但是，PowerShell的可擴(kuò)展性，易用性和可用性也為惡意網(wǎng)絡(luò)行為者提供了機(jī)會(huì)。許多公開(kāi)承認(rèn)的網(wǎng)絡(luò)入侵，包括勒索軟件參與者的網(wǎng)絡(luò)入侵，已經(jīng)使用PowerShell作為利用后工具。這種技術(shù)并不新鮮，因?yàn)閻阂庑袨檎呓?jīng)常會(huì)找到針對(duì)或使用合法系統(tǒng)軟件的方法。

PowerShell的當(dāng)前防御環(huán)境?

PowerShell 7.2是最新版本，但早期版本5.1包含在Windows10中。版本7.2由Microsoft進(jìn)行管理和開(kāi)源。在配置正確的Windows10+中，PowerShell7.2可以與為版本5.1創(chuàng)建的所有組件完全集成和訪問(wèn)，從而允許繼續(xù)使用現(xiàn)有腳本、模塊和命令。在5.0版之前的惡意PowerShell使用促使公眾努力檢測(cè)這些有針對(duì)性的PowerShell操作。最近的PowerShell版本（請(qǐng)參閱表1）包括增強(qiáng)的安全措施，例如以下各節(jié)中詳細(xì)介紹的預(yù)防、檢測(cè)和身份驗(yàn)證功能。作者建議在Windows10+上明確禁用并卸載已棄用的PowerShell第二版（即版本2），以防止繞過(guò)下面描述的防御措施。

減少濫用的PowerShell方法?

PowerShell中提供的內(nèi)置Windows安全功能可以減少網(wǎng)絡(luò)攻擊者的濫用。作者建議在可行的情況下使用這些功能。

PowerShell遠(yuǎn)程處理期間的憑據(jù)保護(hù)?

PowerShell遠(yuǎn)程處理是一項(xiàng)Windows功能，它使管理員、網(wǎng)絡(luò)安全分析師和用戶能夠在Windows主機(jī)上遠(yuǎn)程執(zhí)行命令。WindowsRemoteManagement（WinRM）是PowerShell遠(yuǎn)程處理使用的基礎(chǔ)協(xié)議，并使用Kerberos或NewTechnologyLANManager（NTLM）作為默認(rèn)身份驗(yàn)證協(xié)議。這些身份驗(yàn)證協(xié)議不會(huì)將實(shí)際憑據(jù)發(fā)送到遠(yuǎn)程主機(jī)，從而避免了憑據(jù)的直接暴露和通過(guò)泄露的憑據(jù)被盜的風(fēng)險(xiǎn)。

PowerShell遠(yuǎn)程處理的網(wǎng)絡(luò)保護(hù)?

遠(yuǎn)程連接可用于強(qiáng)大的遠(yuǎn)程管理功能，因此應(yīng)適當(dāng)配置終結(jié)點(diǎn)上的Windows防火墻規(guī)則以控制允許的連接。Windows的客戶端和服務(wù)器版本包括PowerShell遠(yuǎn)程處理，默認(rèn)情況下，此功能在Windows服務(wù)器上以Windows 2012 R2開(kāi)頭啟用。默認(rèn)情況下，使用PowerShell遠(yuǎn)程處理訪問(wèn)終結(jié)點(diǎn)要求請(qǐng)求用戶帳戶在目標(biāo)位置具有管理權(quán)限。在專用網(wǎng)絡(luò)上啟用PowerShell遠(yuǎn)程處理將引入Windows防火墻規(guī)則以接受所有連接。權(quán)限要求和Windows防火墻規(guī)則是可自定義的，用于將連接限制為僅受信任的終結(jié)點(diǎn)和網(wǎng)絡(luò)，以減少橫向移動(dòng)的機(jī)會(huì)。組織可以在可行的情況下實(shí)施這些規(guī)則來(lái)加強(qiáng)網(wǎng)絡(luò)安全。

反惡意軟件掃描接口（AMSI）集成?

反惡意軟件掃描界面功能首先在Windows 10上可用，已集成到不同的Windows組件中。它支持使用在Windows注冊(cè)的防病毒產(chǎn)品掃描內(nèi)存中和動(dòng)態(tài)文件內(nèi)容，并公開(kāi)一個(gè)接口，供應(yīng)用程序掃描潛在的惡意內(nèi)容。內(nèi)置腳本語(yǔ)言（例如，PowerShell、VBScript和JScript?）使用AMSI，以便通過(guò)注冊(cè)和支持的防病毒軟件掃描腳本。此功能需要AMSI感知防病毒產(chǎn)品，如WindowsDefender、McAfee和Symantec。

具有應(yīng)用程序控制的受約束的PowerShell?

將AppLocker或Windows Defender應(yīng)用程序控制（WDAC）配置為阻止Windows主機(jī)上的操作將導(dǎo)致PowerShell在受限語(yǔ)言模式（CLM）下運(yùn)行，從而限制PowerShell操作，除非管理員定義的策略允許。此功能糾正了AppLocker腳本強(qiáng)制的缺點(diǎn)，該缺陷阻止腳本中的PowerShell命令，但允許以交互方式將相同的命令輸入到PowerShell命令控制臺(tái)中。在Windows10+上正確配置WDAC或AppLocker有助于防止惡意執(zhí)行組件獲得對(duì)PowerShell會(huì)話和主機(jī)的完全控制。通過(guò)控制腳本和模塊的來(lái)源和執(zhí)行，可以提高組織內(nèi)的安全要求和代碼簽名管道。簽名要求也可以通過(guò)PowerShell的安全功能（稱為執(zhí)行策略）強(qiáng)制執(zhí)行。但是，執(zhí)行策略不會(huì)限制所有PowerShell內(nèi)容的執(zhí)行。

用于檢測(cè)濫用的PowerShell方法?

PowerShell活動(dòng)的日志記錄可以記錄網(wǎng)絡(luò)威脅何時(shí)利用PowerShell，并且持續(xù)監(jiān)視PowerShell日志可以檢測(cè)潛在的濫用行為并發(fā)出警報(bào)。默認(rèn)情況下，深度腳本塊日志記錄、模塊日志記錄和肩過(guò)傳聽(tīng)處于禁用狀態(tài)。作者建議在可行的情況下啟用這些功能。

深度腳本塊日志記錄（DSBL）和模塊日志記錄?

深度腳本塊日志記錄在Windows事件日志中記錄每個(gè)PowerShell命令，從而在集中式存儲(chǔ)和分析平臺(tái)上啟用其他分析。DSBL甚至記錄隱藏的惡意PowerShell活動(dòng)和執(zhí)行的命令，如命令調(diào)用和部分腳本。同樣，模塊日志記錄捕獲PowerShell的管道執(zhí)行詳細(xì)信息，目標(biāo)是記錄PowerShell操作。雖然可能不會(huì)記錄完整的詳細(xì)信息和輸出，但這些模塊日志和事件日志可防止PowerShell命令被防御者遮蓋（例如，混淆或加密）。

肩過(guò)肩（OTS）轉(zhuǎn)錄

記錄在PowerShell5中執(zhí)行的所有活動(dòng)的功能可以應(yīng)用于Windows7及更高版本，以實(shí)現(xiàn)即時(shí)記錄保存和受限安全跟蹤。OTS記錄每個(gè)PowerShell輸入和輸出，無(wú)論是否有效，以使防御者能夠破譯預(yù)期的行動(dòng)。PowerShell 5.0擴(kuò)展了轉(zhuǎn)錄范圍，可通過(guò)組策略進(jìn)行企業(yè)范圍的配置。

提供身份驗(yàn)證的PowerShell過(guò)程?

PowerShell中的多種身份驗(yàn)證方法允許在非Windows設(shè)備上使用。

通過(guò)SSH進(jìn)行遠(yuǎn)程處理?

PowerShell 7除了支持WinRM連接外，還允許通過(guò)安全外殼（SSH）進(jìn)行遠(yuǎn)程連接。這允許公鑰身份驗(yàn)證，并通過(guò)PowerShell對(duì)計(jì)算機(jī)進(jìn)行遠(yuǎn)程管理，方便且安全。PowerShell中新的SSH遠(yuǎn)程處理功能可以建立遠(yuǎn)程連接，而無(wú)需使用超文本傳輸協(xié)議安全（HTTPS）和安全套接字層/傳輸層安全性（SSL/TLS）證書(shū)。PowerShell over SSH不需要受信任的主機(jī)，因?yàn)樵谟蛲獠客ㄟ^(guò)Win RM進(jìn)行遠(yuǎn)程處理時(shí)。這允許通過(guò)SSH進(jìn)行安全的遠(yuǎn)程管理，而無(wú)需所有命令和連接的密碼，并啟用Windows和Linux主機(jī)之間的PowerShell遠(yuǎn)程處理。

PowerShell版本和安全功能可用性

下表列出了使用特定版本的PowerShell時(shí)可用的功能：

表1：每個(gè)版本和操作系統(tǒng)的可用PowerShell功能

結(jié)論?

PowerShell對(duì)于保護(hù)Windows操作系統(tǒng)至關(guān)重要，特別是因?yàn)檩^新的版本通過(guò)更新和增強(qiáng)功能解決了以前的限制和問(wèn)題。刪除或不當(dāng)限制PowerShell將阻止管理員和防御者利用PowerShell來(lái)協(xié)助系統(tǒng)維護(hù)、取證、自動(dòng)化和安全性。PowerShell及其管理能力和安全措施應(yīng)該得到妥善管理和采用。