PowerShell ist ein mächtiges Tool für die Systemverwaltung und lässt sich daher auch für böswillige Aktivitäten nutzen. Um ihren Missbrauch zu erschweren und unsichere Scripts zu vermeiden, bietet PowerShell integrierte Security-Mechanismen. Zusätzlichen Schutz erreicht man durch ein zentrales Script- und Credentials-Management.
PowerShell bietet fast unbegrenzten Zugriff auf die Ressourcen eines Windows-Rechners. Benutzer sind dabei nicht auf die zahlreichen Module und Cmdlets beschränkt, sondern können auch .NET-Klassen, Windows-APIs und COM-Objekte verwenden.
Absichern statt blockieren
Die gängige Praxis, PowerShell zu blockieren, erzielt keinen nennenswerten Gewinn an Sicherheit, weil diese zu tief im System verankert und auch ohne powershell.exe nutzbar ist. Stattdessen empfiehlt es sich, die integrierten Security-Features einzusetzen.
Dazu zählen der Constrained Language Mode, das Signieren von Scripts, die Execution Policy, Session Configurations, Just Enough Administration, verschlüsseltes Remoting oder das Auditing von PowerShell-Aktionen.
Wenn man die Ausführung von PowerShell-Scripts an nicht-technische User delegieren möchte, dann stellt die Verwaltung von Zugangsdaten eine besondere Herausforderung dar. Die Benutzer selbst verfügen meist nicht über die nötigen Rechte und Admin-Passwörter möchte ihnen die IT-Abteilung aber nicht geben.
Eine relativ neue Komponente stellt in diesem Zusammenhang das Modul SecretManagement dar, das einen einfachen Passwort-Manager implementiert bzw. Schnittstellen zu solchen Produkten bietet.
Viel weiter gehen hingegen die Möglichkeiten einer umfassenden Script-Management-Lösung wie ScriptRunner. Damit lassen sich Zugangsdaten zentral hinterlegen und die erforderlichen Berechtigungen wesentlich einfacher zuweisen. Zudem starten die User die Scripts aus einem Web-Portal.
Themen des Webinars
Das Webinar "Automatisieren mit PowerShell - aber sicher!" geht auf sowohl auf die integrierten Sicherheitsmechanismen als auch auf die erweiterten Möglichkeiten durch ScriptRunner ein. Zur Sprache kommen:
- Wie Sie das PowerShell-Modul SecretManagement verwenden
- Mit Execution Policies arbeiten
- Sicheres Credential Management
- Integration des Passwort-Servers
- Delegation einzelner parametrisierbarer PowerShell-Scripts, ohne Administrationsrechte vergeben zu müssen
- Sichere Browser-basierte Ausführung von PowerShell-Scripts
Die Veranstaltung fand bereits statt. Sie können die Aufzeichnung hier abrufen.
*Dies ist ein bezahlter Beitrag der ScriptRunner GmbH.
Weitere Beiträge von diesem Anbieter