Image : Getty Au lieu de cela, disent-ils dans un rapport récemment publié, une configuration et une surveillance appropriées réduiront le risque que des acteurs malveillants l’utilisent inaperçus après avoir accédé au réseau de la victime. “Le blocage de PowerShell interfère avec les capacités défensives fournies par les versions actuelles de PowerShell”, indique l’avis, “et empêche les composants du système d’exploitation Windows de fonctionner correctement. Les versions récentes de PowerShell avec des fonctionnalités et des options améliorées peuvent aider les défenseurs à lutter contre les abus de PowerShell. » Les administrateurs Windows doivent d’abord installer PowerShell 7.2 s’ils ne l’ont pas déjà fait. Sur Windows 10+, avec une configuration appropriée, la version 7.2 peut pleinement intégrer et accéder à tous les composants conçus pour la version 5.1 (fournis dans les versions précédentes de Windows 10 et 11), permettant une utilisation continue des scripts, des unités et des commandes existantes. Le rapport exhorte les administrateurs à tirer parti de ces fonctionnalités PowerShell :

Si l’accès à distance est autorisé, utilisez la gestion à distance de Windows (WinRM). Utilise Kerberos ou New Technology LAN Manager (NTLM) comme protocoles d’authentification par défaut. Ces protocoles d’authentification n’envoient pas réellement d’informations d’identification aux hôtes distants, évitant ainsi l’exposition directe des informations d’identification et le risque de vol par le biais d’informations d’identification divulguées.

PowerShell 7 permet des connexions à distance via Secure Shell (SSH) en plus de prendre en charge les connexions WinRM. Cela permet l’authentification par clé publique et rend la gestion des machines à distance via PowerShell pratique et sécurisée, ajoute le rapport. Les nouvelles fonctionnalités de communication à distance SSH de PowerShell peuvent établir des connexions à distance sans nécessiter l’utilisation du protocole de transfert hypertexte sécurisé (HTTPS) avec des certificats Secure Sockets Layer/Transport Layer Security (SSL/TLS). Les règles de pare-feu Windows sur les points de terminaison doivent être configurées de manière appropriée pour contrôler les connexions autorisées. L’activation de la communication à distance PowerShell sur les réseaux privés insère une règle de pare-feu Windows pour accepter toutes les connexions. Les exigences et les règles d’autorisation du pare-feu Windows sont personnalisables pour limiter les connexions aux seuls points de terminaison et réseaux de confiance afin de réduire les opportunités de trafic latéral.

Activez l’interface d’analyse anti-malware (AMSI), qui permet d’analyser le contenu en mémoire et les fichiers dynamiques à l’aide d’un produit antivirus approuvé tel que Windows Defender, McAfee (maintenant Trellix) ou Symantec. Configurez AppLocker ou Windows Defender Application Control (WDAC) pour bloquer les actions sur un hôte Windows. Cela entraînera l’exécution de PowerShell dans un langage restreint (CLM), limitant les fonctionnalités de PowerShell, sauf si les stratégies définies par l’administrateur l’autorisent.

Le rapport note également que la journalisation des activités PowerShell peut enregistrer lorsque les cybermenaces exploitent PowerShell, et la surveillance continue des journaux PowerShell peut détecter et alerter sur les abus potentiels. Malheureusement, l’enregistrement de blocage de profondeur de script, l’enregistrement de module et la transcription par-dessus l’épaule sont désactivés par défaut. Le rapport recommande de les activer lorsque cela est possible. Il existe de nombreuses autres sources d’informations sur la sécurité PowerShell, notamment les conseils du Center for Internet Security et de Microsoft. L’article original est disponible sur Monde informatique Canadaune publication sœur de direction informatique. Lire aussi : Faible maturité en cybersécurité des entreprises canadiennes Une porte dérobée dans le serveur Web IIS de Microsoft, avertissent les chercheurs de Kaspersky Le ver se propage via des clés USB infectées, avertit Microsoft Adaptation et traduction française par Renaud Larue-Langlois Étiquettes : configuration, powershell, sécurité

À propos de Howard Salomon

						Howard Solomon est l’éditeur de ITworldcanada.com.