Корпорація Майкрософт застаріла PowerShell 2.0 в Windows 10 Творці Fall Update

Якщо ви все ще покладаєтеся на PowerShell 2.0, слід подумати про оновлення коду для роботи з PowerShell 5.0. Починаючи з Windows 10 Падіння Творці Оновлення, Microsoft більше не буде підтримувати PowerShell 2.0. У цьому Попросіть адміністратораЯ розповім, чому PowerShell 2.0 створює ризик для безпеки і як його видалити Windows 10.

Якщо ви думали, що PowerShell 2.0 було вбито давно, ви можете бути здивовані, дізнавшись, що він встановлений за замовчуванням сьогодні в Windows 10. Це збирається змінитися в Оновлення Творців Падіння. Корпорація Майкрософт вирішила знехтувати її і рекомендує організаціям забезпечити сумісність сценаріїв з PowerShell 5.0.

Як я нещодавно обговорював у Росії Захист від шкідливого програмного забезпечення шляхом застосування обмеженого мовного режиму PowerShell on Петрі, хакери використовують рамки PS> Attack та Mimikatz для експлуатації Windows, в першу чергу, для компрометації облікових даних користувачів. Це не означає, що PowerShell є вразливою сама по собі. Як і в будь-якій іншій технології, корпорація Майкрософт рекомендує запускати останню версію, щоб отримувати вигоду від останніх покращень безпеки, таких як ведення журналу блокування скриптів та можливість застосовувати обмежений режим мовлення.

Проблема з PowerShell 2.0

Нові функції безпеки в PowerShell 5.0 роблять хакерів значно важчим розкривати облікові дані користувачів, використовуючи такі рамки, як Mimikatz, якщо ви дотримуєтеся найкращих практик безпеки.

Інтерфейс сканування зловмисного програмного забезпечення

Інтерфейс Anti-Malware Scan Interface (AMSI) інтерфейс Windows 10, який підтримується Windows Defender і доступний іншим продуктам захисту від шкідливих програм, може виконувати глибоке сканування заплутаного коду PowerShell. Це код, який був закодований спеціально з метою уникнення виявлення. Якщо хакеру вдається примусити використання PowerShell 2.0, то AMSI не в змозі зняти з коду код.

Обмежений мовний режим

У PowerShell 5.0 адміністратори можуть застосовувати обмежений мовний режим для захисту пристроїв від зловмисних дій. Це допомагає запобігти хакерів завантажувати COM-об'єкти, бібліотеки та класи в сеанси PowerShell.

Щоб отримати додаткові відомості про обмеження, встановлені обмеженим режимом мовлення, перегляньте веб-сайт Microsoft тут. Режим обмеженої мови можна застосувати за допомогою AppLocker або Device Guard, для чого вам знадобиться Windows 10 Підприємство. Для отримання додаткових відомостей про те, як застосувати обмежений мовний режим, зверніть увагу на стаття від Петрі що згадувалося вище.

Журнал блокування скриптів

Журнал реєстрації блоків скриптів був введений в PowerShell 5.0 і може бути доданий до 4.0 Windows Management Framework (WMF) з KB3000850. Запис журналу блокування скриптів важливий, оскільки розробники шкідливих програм ускладнюють свої товари, щоб уникнути виявлення.

Але коли ввімкнено журналювання блоків скриптів, він записує де-обфусований код PowerShell до журналу подій. Ви можете точно побачити, що відбувається. Більше не ховається за Base64. Щоб скористатися протоколом реєстрації блоків скриптів, вам потрібно буде централізувати збір журналів за допомогою рішення для захисту інформації та керування події (SIEM). Журнал блокування сценарію можна ввімкнути в груповій політиці за допомогою Увімкніть PowerShell Transcription встановлення під Компоненти Windows -> Адміністративні шаблони -> Windows PowerShell.

Відключити PowerShell 2.0

Якщо ви не хочете чекати або не плануєте оновити оновлення Fall Creators Update, як тільки це стане доступним, ви можете відключити PowerShell 2.0 за допомогою Відключити-WindowsOptionalFeature cmdlet із піднятої підказки PowerShell. Крім того, ви можете переконатися, що PowerShell 2.0 вимкнено у своєму золотому зображенні з "готового".

Disable-WindowsOptionalFeature -Online -FeatureName MicrosoftWindowsPowerShellV2

У цій статті я обговорював, чому корпорація Майкрософт знецінює PowerShell 2.0 в наступному оновленні Windows 10. Я також обговорював деякі покращення безпеки в PowerShell 5.0, які залишають PowerShell 2.0 вразливою.

Повідомлення Корпорація Майкрософт застаріла PowerShell 2.0 в Windows 10 Творці Fall Update вперше з'явився на Петрі.

залишити коментар

Цей сайт використовує Akismet для зменшення спаму. Дізнайтеся, як обробляються ваші дані коментарів.