Powershell Security – Warum die Powershell Nutzung reguliert werden sollte
Powershell ist ein zentraler Bestandteil, um Unternehmen effizient zu administrieren. Viele dieser Dienste von Microsoft können nur noch per Powershell gesteuert werden.
Ein GUI gibt es dafür nicht. Die Powershell birgt aber einige Tücken. Denn ohne besondere Konfiguration ist es mit ihr jedem beliebigen User möglich, umfassende Informationen über das Netzwerk einzuholen. Unter anderem könnte er so erfahren, welche Benutzer es gibt, wer welche administrativen Rechte hat, den Domainlevel und vieles mehr.
Kurz & Knapp
- PowerShell ist ein wichtiger Teil der Unternehmensverwaltung, birgt aber Sicherheitsrisiken.
- Standard-PowerShell ermöglicht Benutzern den Zugriff auf sensible Netzwerkinformationen.
- Microsoft bietet kostenlose Tools wie PAM, JIT und JEA zur besseren Berechtigungssteuerung.
- Diese Tools ermöglichen zeitlich begrenzte und eingeschränkte Zugriffe für Benutzer.
- Die Konfiguration dieser Tools ist entscheidend und erfordert keine teuren Zusatzprodukte.
Ein Geschenk für Cyberkriminelle
Diese Informationen wiederum sind für Cyberkriminelle sehr wertvoll, denn sie geben ihm das notwendige Wissen an die Hand, wo sich ein Angriff lohnt und wie er ihn am besten umsetzen kann. Erschwerend kommt hinzu, dass viele unnötig weitreichende Userberechtigungen im Umlauf sind. Dies betrifft auch die IT-Abteilung selbst. So haben zum Beispiel Exchange Administrator häufig vollen Zugriff auf die Domäne, auch wenn sie das für ihre tägliche Arbeit eigentlich nicht brauchen. Für die wenigen ausgewählten Aufgaben, für die sie diesen Zugriff benötigen, gibt es eine bessere Lösung.
Besseres Arbeiten mit PAM, JEA und JIT
Microsoft stellt einige Tools zur Verfügung, um exakt definierte Berechtigungen vergeben zu können. So ermöglicht bspw. PAM (Privileged Access Management) zeitlich begrenzt und definierte Gruppenmitgliedschaften, sodass etwa der Exchange Admin für eine vorkonfigurierte Zeitspanne Zugang erhält und danach automatisch die Berechtigung wieder entfernt wird. Wird dann der Account dieses Users kompromittiert, ist die Domäne nicht automatisch ebenfalls betroffen. Ähnliche Möglichkeiten bieten JIT (Just-in-Time) und JEA (Just-enough-Administration).
JIT ist auf Powershell-Ebene das Pendant zu PAM. JEA erlaubt es, den Funktionsbereich innerhalb der Powershell so zu begrenzen, dass nicht alle cmdlets für jeden User frei verfügbar sind. Stattdessen erhält jeder nur Zugriff auf diejenigen, die für seine Arbeit notwendig sind. Kombiniert mit einem Transcriptions Logging kann zudem genau nachvollzogen werden, welcher User, wann, welche Befehle eingegeben hat.
Das Schöne an der Sache: Diese Tools werden von Microsoft kostenfrei zur Verfügung gestellt. Alles was der Administrator tun muss, ist sie richtig zu konfigurieren. Teure Zusatzprodukte sind dafür in der Regel nicht notwendig.
Die Tools PAM, JEA und JIT sind Bestandteil unserer Schulung „Windows Security
Skills“.