wir handhabt ihr es mit der Powershell Security?

nikolasv · 22. Mai 2019

wir hatten gestern zufällig einen Workshop besucht bei dem auch gezeigt wurde wie inzwischen Ransomware mittels Powershell verteilt wird bzw. mittels Powershell lokale Adminrechte erschlichen werden. Echt schlimm.

Man könnte ja mittels GPO die CurrentUser und LocalMaschine auf Restricted setzen und wenn wir intern etwas ausführen müssen vorher ein unrestricted duchführen? Oder habt ihr bessere Ansätze.

NobbyausHB · 22. Mai 2019

Moin,

willkommen an Board - schön, das du uns gefunden hast!

Das kann man m.E. pauschal nicht beantworten.

Wenn "etwas" bis zur Maschine kommt, hat man vorher schon was falsch gemacht.

Was wurde denn da gezeigt, über welchen Exchange reden wir?

NorbertFe · 22. Mai 2019

Powershell security per gpo zu setzen ist aber afaik auch eher „Augen zuhalten und denken dich sieht niemand“.

RobertW · 22. Mai 2019

Das BSI sieht "All signed" vor.

Bei Exchange ist im Betrieb "Remote signed" eingestellt, bei CU-Updates muss auch "unrestricted" umgestellt werden. Wir nach dem Updates aber automatisch wieder auf "Remote Signed" gestellt.

Aber wie Norbert schon schreibt, ist auch das keine schlussendliche Sicherheit. Die User-Policy lässt sich mit "-bypass" problemlos umgehen.

Ist immer die Frage, welche Sicherheit man erreichen will. Die meisten Schadsoftware heutzutage kommt ohne Admin-Rechte aus (Ransomware).

Teilen