NSA与网络安全机构提醒管理员利用PowerShell提升安全性

重点提示

• 国家安全局(National Security Agency, NSA)与网络安全与基础设施安全局(Cybersecurity and Infrastructure Security Agency, CISA)及新西兰和英国的网络安全中心发出警告，建议系统管理员利用PowerShell进行恶意Windows机器活动的检测与预防。
• 启用PowerShell远程访问以保护明文凭证，限定Windows防火墙中仅信任的端点，以降低侧向移动风险。
• 应配置Windows Defender应用程序控制或AppLocker，以防止PowerShell会话的潜在利用。

根据的报道，NSA和CISA机构建议系统管理员做好以下安全防护措施：

安全措施 | 描述
—|—
启用PowerShell远程访问 | 保护明文凭证，确保安全性
限制Windows防火墙端点 | 仅允许信任的端点，以降低侧向移动风险
使用Secure Shell协议 | 在PowerShell 7中进行远程连接
配置Windows Defender应用程序控制 | 防止PowerShell会话的潜在利用

这些机构指出，”阻止PowerShell会削弱当前版本所提供的防御能力，并妨碍Windows操作系统组件的正常运行。近期版本的PowerShell具备改进的功能和选项，可以帮助防御者抵御PowerShell的滥用。”
此外，管理员应积极关注PowerShell的使用方式，以保护系统免受潜在威胁。