PowerShell possède plusieurs fonctionnalités conçues pour améliorer la sécurité de votre environnement de script. Cela a été confirmé par les autorités de cybersécurité des États-Unis, de la Nouvelle-Zélande et du Royaume-Uni. Une note des agences recommande une configuration et une surveillance appropriées de PowerShell, par opposition à la suppression ou à la désactivation complète de l’outil.
PowerShell joue un rôle important dans la sécurisation des systèmes Windows
Dans une fiche d’information sur la cybersécurité, les agences de différents pays soulignent l’importance d’utiliser PowerShell pour contrer les abus des cybercriminels. Ces agences recommandent également aux utilisateurs d’utiliser les versions les plus récentes de PowerShell car elles sont équipées de capacités et d’options améliorées qui peuvent aider les défenseurs à contrer les abus de PowerShell.
L’outil de Microsoft utilise la gestion à distance de Windows (WinRM) comme protocole sous-jacent et s’appuie sur les protocoles d’authentification Kerberos ou New Technology LAN Manager (NTLM). Ces protocoles d’authentification n’envoient pas les informations d’identification réelles aux hôtes distants. En tant que tels, ils évitent l’exposition directe des informations d’identification et le risque de vol par le biais d’informations d’identification révélées.
Deuxièmement, PowerShell autorise les connexions à distance via Secure Shell (SSH) en plus de prendre en charge les connexions WinRM. Cela permet l’authentification par clé publique et rend la gestion à distance via PowerShell des machines pratique et sécurisée.
De même, la surveillance continue des journaux PowerShell peut détecter et alerter sur les abus potentiels. Certains des services de l’outil comme Deep Script Block Logging sont désactivés par défaut. Vous devrez l’activer pour enregistrer chaque commande PowerShell dans le journal des événements Windows et les analyser en profondeur.
En somme, PowerShell est un outil indispensable pour sécuriser le système d’exploitation Windows. Le supprimer ou le restreindre n’aidera en aucun cas les administrateurs et les défenseurs à utiliser ses capacités pour aider à la maintenance du système, à l’automatisation et aux opérations de sécurité. Ainsi, il est conseillé de l’adopter et de le configurer correctement pour gérer les capacités d’administration et activer les mesures de sécurité appropriées.
Téléchargez le guide PDF en visitant defense.gov.
