image

NSA: PowerShell essentieel voor het beveiligen van Windowssystemen

woensdag 22 juni 2022, 16:15 door Redactie, 16 reacties

PowerShell is essentieel voor het beveiligen van Windowssystemen. Organisaties moeten de scriptingtaal dan ook goed configureren in plaats van verwijderen of beperken, zo stelt de Amerikaanse geheime dienst NSA in een document dat mede door de Britse en Nieuw-Zeelandse autoriteiten is opgesteld (pdf).

PowerShell is een scriptingtaal en commandlinetool die sinds Windows Vista in Windows aanwezig is en kan worden vergeleken met Bash. Volgens de NSA kan PowerShell organisaties en beveiligingsexperts helpen met forensisch onderzoek, het verbeteren van incidentrespons en het automatiseren van taken. PowerShell wordt echter ook gebruikt door criminelen die toegang tot systemen hebben gekregen, bijvoorbeeld voor de verdere verspreiding van ransomware.

Dat neemt niet weg dat het blokkeren of verwijderen van PowerShell het beveiligen van systemen juist hindert, zo laat de NSA weten. Het monitoren van PowerShell-logs kan juist helpen bij het detecteren van mogelijk misbruik. Daarnaast kan PowerShell zo worden ingesteld dat het netwerken veiliger maakt en bijvoorbeeld tekortkomingen van AppLocker corrigeert.

"PowerShell is essentieel voor het beveiligen van Windows, met name nieuwere versies hebben door middel van updates en verbeteringen eerdere beperkingen en zorgen opgelost", zo concludeert de NSA. Het verwijderen of beperken van PowerShell zou juist voorkomen dat systeembeheerders en verdedigers PowerShell kunnen gebruiken voor systeembeheer, forensisch onderzoek, automatisering en beveiliging. "PowerShell, samen met de beheerdersmogelijkheden en securitymaatregelen, zouden juist goed moeten worden beheerd en toegepast", zo besluit de NSA de conclusie.

Image

Reacties (16)
22-06-2022, 17:46 door Anoniem
PowerShell is een scriptingtaal en commandlinetool die sinds Windows Vista in Windows aanwezig is en kan worden vergeleken met Bash.

PowerShell is het autistisch neefje van Bash.
22-06-2022, 17:50 door Anoniem
Volgens de NSA kan PowerShell organisaties en beveiligingsexperts helpen met forensisch onderzoek, het verbeteren van incidentrespons en het automatiseren van taken.

Je moet nooit forensisch onderzoek doen met de tools van het besmette systeem zelf.

Sinds de oudheid weet men dat dergelijke tools op besmette systemen juist de rootkits en malware verbergen in weergave van processen etc.
22-06-2022, 18:59 door Anoniem
Toen ik Windows draaide was bij iedere installatie bloat verwijderen en/of uitschakelen. Powershell, IE, Edge, Hello en andere meuk werden 'vakkundig' door mij de nek omgedraaid.

Als 'simpele' eindgebruiker heb je al die ongevraagde 'remote' meuk niet nodig. Ik maakte slechts één dinsdag/woensdag per maand een uitzondering voor de patches.

En dan Defender: Waardeloze tool. Malwarebytes en ESET vonden op een dag ruim 25 besmette bestanden malware. Spyware een veelvoud daaraan. In de tijd ervoor slechts Defender het werk laten doen en in realtime en scans in safe mode NUL bestanden gevonden. Altijd! En één false positive ivm een lullig gedateerde signature van Sandboxie (inmiddels verholpen blijkt). Sindsdien ook Defender helemaal uitgeschakeld.

Wat wil de NSA hiermee beweren? U bent veilig onder Windows, maar hoe veilig bepalen wij het liefst? Want uit dit persbericht haal ik slechts bangmakerij en een dringend verzoek om vooral wat deurtjes open te houden ivm uw 'veiligheid'. (Het meest misbruikte woord m.i. afgelopen 2 jaar)

Tss met je powershell en 'essentieel'...
22-06-2022, 21:37 door Anoniem
MoW zal er blij mee zijn.
22-06-2022, 22:03 door Anoniem
Door Anoniem:En dan Defender: Waardeloze tool. Malwarebytes en ESET vonden op een dag ruim 25 besmette bestanden malware. Spyware een veelvoud daaraan.

Het feit dat je (een veelvoud van) 24 besmette bestanden op je machine hebt gehad staan, zegt wel iets over jouw kennis en ervaring met beveiliging. Ik heb in 25 jaar 1 keer een besmetting meegemaakt en geen 25 op 1 dag.

Peter
22-06-2022, 22:24 door Anoniem
Kan ook een koninklijke weg naar binnen zijn voor verschillende kwaadaardig gewrochte scripts van cybercriminelen voor bijvoorbeeld bots, die het hebben voorzien op je creditkaart als banking-data-stealer.
Met een hamer kun je een geweldige sculptuur maken, maar je kan ook de boel intens ruineren.
Met script valt ook zoiets te doen.
Een extra beveiliging op wat er automatisch kan aflopen op Windhoos is geen overbodige luxe.
23-06-2022, 01:04 door Anoniem
Door Anoniem:
Door Anoniem:En dan Defender: Waardeloze tool. Malwarebytes en ESET vonden op een dag ruim 25 besmette bestanden malware. Spyware een veelvoud daaraan.

Het feit dat je (een veelvoud van) 24 besmette bestanden op je machine hebt gehad staan, zegt wel iets over jouw kennis en ervaring met beveiliging. Ik heb in 25 jaar 1 keer een besmetting meegemaakt en geen 25 op 1 dag.

Peter
Correct: Ik had tot 5 jaar geleden dan ook geen enkel benul buiten het mainstream 'security' narratief. Dus 'netjes' op tijd updaten, 'scannen', zo nu en dan crapcleaner gebruiken en letten op 'het groene sleuteltje in chrome(!), klaar. Goed van vertrouwen gaat op ICT-gebied niet zonder naïviteit, zo kwam ik achter.

Tot 3 maanden geleden 'cleaned' en wel W10 (update vanuit W7) gedraaid op een oude laptop van 12 jaar oud. En evenlang
met dezelfde configuratie. (Ok, 1x 'herinstallatie' behoudens bestanden) Niet zo slecht dus m.i. voor de eerste 7 jaren zo lek als een mandje.
Vijf jaar lang nog redelijk light weight, veilig (muv die false positive in Defender) en tevreden Windows daarop kunnen draaien met in het begin nog redelijk vaak (twee wekelijks) met eerdergenoemde tools (oa) gescand. geen (false) positives meer.
En mezelf wat verdiept mbt het register, Binisoft/Mwb en Comodo (tbv vpn killswitch en sandbox tbv Tor) firewalls, sandboxing en wat gestoeid met diverse Linux builds in VirtualBox.
Na een crash tijdens een schijfversleutelingsproces op deze oude Intel 2450M dualCore met 8GB, draait nu Linux Mint als een speer.

Ik zie hier(!) maar al te vaak overschatting van Defender (zoals predicaat 'Beste uit de Test' en '...want first-party software) en dito voor Windows Firewall als stand alone hier voorbij komen in comments#Offtopic algemeen. Mijn eigen ervaring delen in deze materie leek me het handigst om een punt te maken. Anoniem dan.
23-06-2022, 10:19 door Anoniem
Door Anoniem:
Volgens de NSA kan PowerShell organisaties en beveiligingsexperts helpen met forensisch onderzoek, het verbeteren van incidentrespons en het automatiseren van taken.

Je moet nooit forensisch onderzoek doen met de tools van het besmette systeem zelf.
Ik denk dat ze dat ook niet bedoelen. Ze beschrijven bijvoorbeeld hoe loggingmogelijkheden van PowerShell indringers kunnen helpen detecteren. Dat is vervolgens ook nuttig voor forensisch onderzoek. Op die manier is PowerShell nuttig voor forensisch onderzoek zonder dat voor dat onderzoek scripts op het besmette systeem zelf uitgevoerd worden.
23-06-2022, 10:53 door Anoniem
Door Anoniem: Wat wil de NSA hiermee beweren? U bent veilig onder Windows, maar hoe veilig bepalen wij het liefst?
Je kan er van alles achter zoeken, maar het kan natuurlijk ook zo zijn dat wat ze willen beweren simpelweg hetgene is wat ze beweren: dat voor het beveiligen van Windows PowerShell een essentieel hulpmiddel is en dat het verwijderen ervan, althans voor de actuele versies, meer kost dan het oplevert.

Bedenk dat NSA zich bezig houdt met de nationale veiligheid van de VS. Dat is veel breder dan alleen spioneren en boeven vangen. Die nationale veiligheid is niet gediend bij lekke systemen bij organisaties die van belang zijn voor het goed functioneren van de samenleving. De NSA heeft, vanuit zijn taakstelling, alle reden om daar goede adviezen over te geven.
23-06-2022, 11:22 door Anoniem
Door Anoniem:
PowerShell is een scriptingtaal en commandlinetool die sinds Windows Vista in Windows aanwezig is en kan worden vergeleken met Bash.

PowerShell is het autistisch neefje van Bash.
Powershell is in veel opzichten heel wat krachtiger dan Bash. Bash heeft wat dat betreft behoorlijk wat beperkingen en de verdeeldheid van de FOSS Linux wereld helpt ook totaal niet.

Binnen Windows is alles een object, wat allemaal te benaderen en manipuleren is vanuit Powershell. Applicaties die dit ondersteunen kan je er ook mee aanspreken. Je kan dus alles direct vanuit Powershell.

Je hoeft niet een config bestand aan te roepen en een service te herstarten om je Apache2/nginx hostname aan te passen bv. Via Powershell kan je dit allemaal in 1 commando aan IIS doorgeven.

Inplaats van het typische Windows bashen (hah!), zou de FOSS community wel eens het één en ander leren.
23-06-2022, 12:13 door walmare
Door Anoniem:
Door Anoniem:
PowerShell is een scriptingtaal en commandlinetool die sinds Windows Vista in Windows aanwezig is en kan worden vergeleken met Bash.

PowerShell is het autistisch neefje van Bash.
Powershell is in veel opzichten heel wat krachtiger dan Bash. Bash heeft wat dat betreft behoorlijk wat beperkingen en de verdeeldheid van de FOSS Linux wereld helpt ook totaal niet.

Binnen Windows is alles een object, wat allemaal te benaderen en manipuleren is vanuit Powershell. Applicaties die dit ondersteunen kan je er ook mee aanspreken. Je kan dus alles direct vanuit Powershell.

Je hoeft niet een config bestand aan te roepen en een service te herstarten om je Apache2/nginx hostname aan te passen bv. Via Powershell kan je dit allemaal in 1 commando aan IIS doorgeven.

Inplaats van het typische Windows bashen (hah!), zou de FOSS community wel eens het één en ander leren.
Ga je er eerst eens in verdiepen joh voordat je deze onzin over bash mompelt.
Trouwens omdat alles binnen windows een object is het het ook zo traag (object manager) en raakt er nog wel eens een event zoek. Onder UNIX is alles een file. Veel pragmatische, sneller en flexibeler.
Verdiep je eens in Ansible, dan wil je nooit meer terug naar powershell.
23-06-2022, 13:14 door Anoniem
Door Anoniem:
Volgens de NSA kan PowerShell organisaties en beveiligingsexperts helpen met forensisch onderzoek, het verbeteren van incidentrespons en het automatiseren van taken.

Je moet nooit forensisch onderzoek doen met de tools van het besmette systeem zelf.

Sinds de oudheid weet men dat dergelijke tools op besmette systemen juist de rootkits en malware verbergen in weergave van processen etc.

Zoals ik jouw comment lees, heb je wel eens forensisch onderzoek op het besmette systeem gedaan ipv op een IMAGE
24-06-2022, 09:35 door Anoniem
Door Anoniem: Binnen Windows is alles een object, wat allemaal te benaderen en manipuleren is vanuit Powershell. Applicaties die dit ondersteunen kan je er ook mee aanspreken. Je kan dus alles direct vanuit Powershell.
Vanuit Bash of een andere shell kan je ook alles, het gaat alleen op een andere manier. Het een is niet per se beter of slechter dan het ander.

Wat je beschrijft is dat die applicaties een API hebben die vanuit PowerShell te gebruiken is. In Linux/Unix hebben daemonprocessen waarvoor het zinvol is om er vanuit een shell of vanuit scripts mee te communiceren ook een API die aangeroepen kan worden, bijvoorbeeld in de vorm van een commandline-utility waaraan je opdrachten via aanroepparameters doorgeeft. Zo werd dat al gedaan lang voordat PowerShell was bedacht.

Je hoeft niet een config bestand aan te roepen en een service te herstarten om je Apache2/nginx hostname aan te passen bv. Via Powershell kan je dit allemaal in 1 commando aan IIS doorgeven.
Kleine nitpick: je roept een configuratiebestand niet aan, je opent het in een tekst-editor en wijzigt het.

Zowel Apache2 als Nginx ondersteunen een reload: ze kunnen gewijzigde configuratiebestanden inlezen zonder herstart.

Ik zou zeggen dat je zo'n on-the-fly-wijziging in de configuratie wilt vastleggen. Ik vermoed dat dat vanuit PowerShell ook gebeurt, dat de hostname-wijziging die je noemt in de registry wordt vastgelegd.

Als dat betekent dat een serverproces zelf zijn configuratie kan wijzigen dan ben ik daar niet kapot van. Ik heb, inmiddels ruim 20 jaar geleden, met IIS 4 te maken gehad en daarmee heb ik meerdere keren meegemaakt dat als de server crashte die de complete configuratie in de registry kon verminken zodat je veel meer moest herstellen dan nodig zou moeten zijn. Dat soort dingen kan je echt missen als kiespijn, dan zijn tekstbestandjes waar het serverproces geen schrijfrechten op heeft in al hun eenvoud veel robuuster. Maar wat ik met IIS 4 heb meegemaakt is neem ik aan allang achterhaald, en dan hoop ik dat je met PowerShell niet (of niet alleen) het serverproces aanspreekt maar een configuratieapplicatie/object waar het serverproces zelf geen toegang toe heeft met wijzigrechten.

Dat het wijzigen van een configuratiebestand en een reload twee handelingen zijn (mogelijk aangevuld met bijvoorbeeld een commit in een git-repository zodat er nog wat handelingen bijkomen) is nauwelijks van belang: het zijn kleinigheden in vergelijking met het denkwerk en de besluitvorming die eraan vooraf gaan en er gaat sowieso meer tijd zitten in zorgvuldigheid dan in dit soort details. En er zijn trouwens zat situaties waarin wat extra handelingen juist mijn voorkeur hebben, want al te simpele handelingen zijn een uitnodiging om dingen gedachtenloos te doen en maken dat ongelukken in wel heel kleine hoekjes zitten. Een iets hoger drempeltje kan dan de zorgvuldigheid enorm steunen. De neiging van de IT-wereld om alles zo laagdrempelig mogelijk te maken klopt wat mij betreft niet voor dingen die je vooral niet gedachtenloos moet doen.

Hoe dan ook, je kan dus ook alles vanuit Bash of een andere shell. De manier waarop is alleen anders ingericht dan in Windows/PowerShell. Het een is niet per se beter of slechter dan het ander, er zijn gewoon meerdere manieren mogelijk waarop je dingen kan opzetten. Zelfs als je daar duidelijke voorkeuren in hebt (die heb ik zelf beslist ook) betekent dat nog niet dat het een beter is dan het ander. Voorkeuren zijn geen ultieme waarheden, want mensen verschillen van elkaar en de voorkeur van de een is even legitiem als die van een ander.

Uiteindelijk gaat het om de vraag of iets goed werkt in de praktijk. Zowel Linux/Unix als Windows bestaan inmiddels al vele tientallen jaren, en in die tijd zijn in beide werelden echt wel de nodige onhandige hebbelijkheden en onvolkomenheden bijgeschaafd en verbeterd. Dan hebben nog steeds verschillende mensen voorkeur voor verschillende benaderingen, maar persoonlijke voorkeuren zijn niet meer dan persoonlijke argumenten, die zeggen niet of iets in algemene zin wel of niet goed in elkaar zit.
24-06-2022, 15:35 door Anoniem
Ja zo'n lap tekst gaat bijna niemand lezen, je verdedigen van pwsh ten opzichte van een *nix shell komt er wel uit, je had kort en bondig kunnen zijn, en bijv. aangeven dat hybride omgevingen je soms dwingen het een of het ander te gebruiken.

Ik kom uit het D.i.g.i.t.a.l. aka Dec tijdperk , zeer archaïsch...

Roeien met de riemen die je hebt zou ik zeggen
, use what u need to get IT done.

Dus als het ff kan met je eigen voorkeur.
24-06-2022, 17:22 door Anoniem
Door Anoniem: Ja zo'n lap tekst gaat bijna niemand lezen, je verdedigen van pwsh ten opzichte van een *nix shell komt er wel uit, je had kort en bondig kunnen zijn, en bijv. aangeven dat hybride omgevingen je soms dwingen het een of het ander te gebruiken.

Ik kom uit het D.i.g.i.t.a.l. aka Dec tijdperk , zeer archaïsch...

Roeien met de riemen die je hebt zou ik zeggen
, use what u need to get IT done.

Dus als het ff kan met je eigen voorkeur.
Ik vond zijn lap verhaal veel beter lezen dan die van jou. Zeer verhelderend en leerzaam trouwens.
25-06-2022, 21:20 door Anoniem
Door Redactie: NSA: PowerShell essentieel voor het beveiligen van Windowssystemen

Ooit ried diezelfde geheime dienst MacOS classic aan, omdat daar bij de verkoop standaard géén shell op zat. :-)
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.