NSA ให้คำแนะนำใหม่ในการปกป้อง Windows ของคุณ

มิถุนายน 26, 2022 แมตต์มิลส์ เคล็ดลับและ 0

การรักษาความปลอดภัยบนอุปกรณ์ของเราเป็นสิ่งสำคัญ สำหรับสิ่งนี้ เราสามารถคำนึงถึงคำแนะนำและแนวทางปฏิบัติที่ดีบางประการ ในบทความนี้เราสะท้อนคำแนะนำที่ได้รับจาก NSA ป้องกัน Windows กับ PowerShell . เป้าหมายคือทำให้ระบบปฏิบัติการยอดนิยมนี้มีความปลอดภัยมากขึ้นและทำให้แฮกเกอร์เปิดการโจมตีทางไซเบอร์ได้ยากขึ้น

เคล็ดลับความปลอดภัยของ NSA ด้วย PowerShell

NSA ให้คำแนะนำใหม่ในการปกป้อง Windows ของคุณ

PowerShell เป็นอินเทอร์เฟซคอนโซลที่มา สร้างขึ้นด้วย Windows . จากนั้นเราสามารถรันคำสั่งและดำเนินการบางอย่างได้ ตัวอย่างเช่น เราสามารถทำงานอัตโนมัติหรือดูข้อมูลบางอย่างเกี่ยวกับทีมได้ จาก NSA ในความปรารถนาที่จะทำให้ระบบได้รับการปกป้องมากขึ้น ได้ให้แนวทางต่างๆ ในการใช้งานและปรับปรุงความปลอดภัยของ Windows

ชาติสหรัฐอเมริกา Security หน่วยงานร่วมกับหน่วยงานพันธมิตรอื่น ๆ ได้ระบุว่ามีการใช้ PowerShell ในหลายกรณีเพื่อ เปิดตัวการโจมตีทางไซเบอร์ . อย่างไรก็ตาม เรายังสามารถใช้ความสามารถในการรักษาความปลอดภัยในตัวเพื่อปรับปรุงการป้องกันของเราและทำให้ระบบมีความปลอดภัยมากขึ้น

หนึ่งในเคล็ดลับที่พวกเขาให้คือ รีโมท PowerShell ที่ปลอดภัย เพื่อป้องกันไม่ให้มีการเปิดเผยข้อมูลประจำตัวเป็นข้อความธรรมดาเมื่อดำเนินการคำสั่งจากระยะไกลบนโฮสต์ Windows พวกเขาระบุว่าหากผู้ดูแลระบบเปิดใช้งานคุณสมบัตินี้บนเครือข่ายส่วนตัว พวกเขาจะเพิ่มกฎใหม่ใน Windows Firewall ที่อนุญาตการเชื่อมต่อทั้งหมดโดยอัตโนมัติ

ดังนั้น การปรับแต่ง Windows Firewall เพื่ออนุญาตการเชื่อมต่อจากปลายทางและเครือข่ายที่เชื่อถือได้เท่านั้น ช่วยลดโอกาสที่ผู้โจมตีจะเคลื่อนที่ด้านข้างได้สำเร็จ

NSA เพื่อใช้การเชื่อมต่อระยะไกล แนะนำให้ใช้ การรักษาความปลอดภัยของเชลล์ โปรโตคอล (SSH) เข้ากันได้กับ PowerShell 7 ซึ่งจะให้ความปลอดภัยมากขึ้น เป็นเช่นนี้เนื่องจากการเชื่อมต่อระยะไกลไม่ต้องการ HTTPS ที่มีใบรับรอง SSL หรือโฮสต์ที่เชื่อถือได้ ซึ่งจะเกิดขึ้นเมื่อทำการเชื่อมต่อระยะไกลผ่าน WinRM

พวกเขายังแนะนำให้ลดการดำเนินการของ PowerShell ด้วยความช่วยเหลือของ AppLocker หรือ Windows Defender Application Control เพื่อให้คุณสามารถกำหนดค่าเครื่องมือในโหมด CLM เพื่อป้องกันการดำเนินการนอกนโยบายที่ผู้ดูแลระบบกำหนด

ตรวจจับการใช้งานในทางที่ผิดด้วย PowerShell

นอกจากนี้ NSA แนะนำ บันทึกกิจกรรม PowerShell ใน เพื่อตรวจหาการใช้ในทางที่ผิด ด้วยวิธีนี้ เราสามารถตรวจสอบบันทึกและค้นหาสัญญาณที่เป็นไปได้ว่ามีบางอย่างผิดปกติ พวกเขาเสนอให้เปิดใช้งานฟังก์ชันต่างๆ เช่น DSBL และ OTS เพื่อปรับปรุงความปลอดภัย

ซึ่งจะช่วยให้คุณสามารถสร้างฐานข้อมูลของบันทึกที่สามารถใช้เพื่อค้นหากิจกรรมใน PowerShell ที่อาจเป็นอันตรายได้ นอกจากนี้ สำหรับผู้ดูแลระบบ OTS จะมีบันทึกของอินพุตหรือเอาต์พุต PowerShell ทั้งหมดเพื่อกำหนดเจตนาของผู้โจมตี

กล่าวโดยย่อ จาก NSA ระบุว่าสะดวกในการพิจารณา PowerShell และการใช้งานที่แตกต่างกัน เป็นเครื่องมือที่ผู้โจมตีสามารถใช้เพื่อทำให้ความปลอดภัยตกอยู่ในความเสี่ยง แต่ก็น่าสนใจในการปกป้องระบบหากเรากำหนดค่าอย่างถูกต้องและให้แน่ใจว่าได้รับการปกป้อง การใช้คุณลักษณะต่างๆ เช่น การป้องกันแบบเรียลไทม์ของ Windows Defender ก็มีประโยชน์เช่นกัน