Ngademin Pegiat Teknologi

NSA, CISA Katakan: Jangan Blokir PowerShell, Inilah Yang Harus Dilakukan

2 min read

nsa cisa katakan jangan blokir powershell inilah yang harus dilakukan
Pengusaha yang khawatir melihat layar komputer di tempat kerja di kantor

Gambar: Getty Images/iStockphoto

dari AS, Inggris, dan Selandia Baru Bisnis dan lembaga pemerintah telah disarankan untuk mengonfigurasi dengan benar alat baris perintah Windows bawaan Microsoft, PowerShell, tetapi tidak menghapusnya.

Pembela tidak boleh menonaktifkan bahasa skrip PowerShell, karena ini adalah antarmuka baris perintah Windows yang berguna yang dapat membantu forensik, respons insiden, dan tugas desktop otomatis, Sesuai dengan rekomendasi bersama Layanan spionase dari US National Security Agency (NSA), US Cybersecurity and Infrastructure Security Agency (CISA), dan Selandia Baru dan Pusat Keamanan Siber Nasional Inggris.

Ini juga memungkinkan administrator untuk mengotomatiskan tugas keamanan pada platform cloud Azure Microsoft. Misalnya, pengguna dapat menulis perintah PowerShell untuk mengelola Microsoft Defender Antivirus di Windows 10 dan Windows 11.

Lihat juga: Komputasi awan mendominasi.Tapi sekarang keamanan adalah tantangan terbesar

Tetapi fleksibilitas PowerShell juga membuatnya rentan terhadap penyerang yang menggunakannya untuk mengkompromikan perangkat Windows dan bahkan sistem Linux dari jarak jauh.

Jadi, apa yang harus dilakukan para pembela? Hapus PowerShell? Hentikan? Atau hanya mengkonfigurasinya?

“Badan keamanan siber di AS, Selandia Baru, dan Inggris merekomendasikan konfigurasi dan pemantauan PowerShell yang tepat daripada menghapus atau menonaktifkan PowerShell sepenuhnya,” agensi mengatakan.

“Ini akan memberikan manfaat dari fitur keamanan yang dapat diaktifkan PowerShell, sekaligus mengurangi kemungkinan pelaku jahat tidak terdeteksi menggunakannya setelah mengakses jaringan korban.”

Ekstensibilitas PowerShell, dan fakta bahwa ia dikirimkan dengan Windows 10 dan 11, memberi penyerang sarana untuk menyalahgunakan alat tersebut. Ini biasanya terjadi setelah penyerang mendapatkan akses ke jaringan korban melalui Windows atau kerentanan perangkat lunak lainnya.

Tetapi menurut NSA, serangan PowerShell telah menyebabkan beberapa administrator menghapusnya dari perangkat mereka, yang merupakan ide yang buruk.

“Ini telah mendorong beberapa pembela cyber untuk menonaktifkan atau menghapus alat Windows. NSA dan mitranya menyarankan untuk tidak melakukannya,” NSA mengatakan.

sebagai Catatan Departemen Pertahanan ASmemblokir PowerShell memblokir pertahanan yang dapat disediakan oleh versi PowerShell saat ini dan mencegah komponen Windows berfungsi dengan benar.

Rekomendasi ini sejalan dengan panduan Microsoft tentang penggunaan PowerShell dan tip bagi administrator untuk melindungi diri mereka sendiri dari serangan PowerShell. Microsoft mengakui pada tahun 2020 bahwa “malware komoditas dan penyerang menggunakan PowerShell.”

“PowerShell sejauh ini merupakan shell transparan, bahasa skrip, atau bahasa pemrograman yang paling aman dan terlindung,” Microsoft mengatakan dalam posting blog 2020.

Pusat Keamanan Siber Nasional Selandia Baru merangkum manfaat menggunakan PowerShell:

  • Perlindungan kredensial selama remote PowerShell
  • Perlindungan Jaringan untuk PowerShell Remoting
  • Integrasi Antarmuka Pemindaian Antimalware (AMSI)
  • PowerShell Terbatas dengan Kontrol Aplikasi

PowerShell juga mendukung kemampuan manajemen jarak jauh menggunakan Kerberos atau protokol New Technology LAN Manager (NTLM). Kerberos adalah kerangka kerja utama untuk Layanan Identitas di tempat Microsoft Active Directory (AD), penerus NTLM yang diterapkan pada Windows 2000.

Microsoft merilis PowerShell 7 pada tahun 2020, tetapi versi 5.1 dikirimkan dengan Windows 10 dan yang lebih baru. Versi terbaru adalah 7.2, yang mencakup langkah-langkah keamanan baru seperti pencegahan, deteksi, dan otentikasi.

Pihak berwenang merekomendasikan “menonaktifkan dan mencopot pemasangan” PowerShell 5.1, tetapi mereka tidak menyarankan penggunaan versi PowerShell di Linux dan macOS.

Lihat juga: Mengapa keamanan cloud penting dan mengapa Anda tidak dapat mengabaikannya

Mereka juga memberikan saran tentang perlindungan jaringan, AMSI, dan mengonfigurasi AppLocker/Windows Defender Application Control (WDAC) untuk mengonfigurasi PowerShell guna mencegah penyerang mendapatkan kendali penuh atas sesi PowerShell.

Agensi ini menyoroti fitur yang tersedia di PowerShell versi terbaru, seperti log blok skrip yang dalam, transkripsi lintas bahu, autentikator, dan akses jarak jauh melalui Secure Shell (SSH)

“PowerShell sangat penting untuk mengamankan sistem operasi Windows, terutama karena versi baru mengatasi keterbatasan sebelumnya dan masalah dengan pembaruan dan peningkatan,” kata NSA.

“Menghapus atau membatasi PowerShell secara tidak benar akan mencegah administrator dan pembela dari memanfaatkan PowerShell untuk membantu pemeliharaan sistem, forensik, otomatisasi, dan keamanan. PowerShell dan kemampuan manajemen serta langkah-langkah keamanannya harus dikelola dan diadopsi dengan benar.”

Ngademin Pegiat Teknologi

Simpan hingga 10 TB file di cloud dengan paket…

StackCommerce Konten berikut dipersembahkan oleh mitra ZDNet. Kami mungkin menerima komisi afiliasi atau kompensasi lain jika Anda membeli produk yang ditampilkan di sini. Menghapus...
Ngademin
1 min read