NSA が Windows PowerShell 活用を提言:適正な利用により防御側の武器になる!

NSA shares tips on securing Windows devices with PowerShell

2022/06/22 BleepingComputer — 今日、National Security Agency (NSA) とサイバーセキュリティ・パートナー機関はシステム管理者たちに対して、Windows マシン上における悪意のアクティビティ防止/検出に PowerShell の使用を推奨するアドバイザリーを発表した。PowerShell は、サイバー攻撃で頻繁に使用され、主に侵入後の段階で悪用されているが、Microsoft の自動化およびコンフィグレーション・ツールに組み込まれたセキュリティ機能は、防御側のフォレンジック作業やインシデント対応の改善や、反復タスクの自動化にも有効とされる。

NSA/CISA/NZ NCSC/NCSC-UK のサイバー・セキュリティ・センターは、防御能力を低下させる PowerShell の削除や無効化ではなく、サイバー脅威を軽減するために PowerShell を活用するための一連の推奨事項を作成した。

それらの機関は、「PowerShell をブロックすると、それが提供する防御能力が妨げられ、Windows オペレーティング。システムのコンポーネントが正常に動作しなくなる。最新の PowerShell では、機能とオプションが改善され、PowerShell の悪用に対抗するた防御側の支援が可能になる」と述べている。

悪用リスクの低減

脅威アクターによる PowerShell 悪用のリスクを減らすには、PowerShell remoting などのフレームワークの機能を活用する必要がある。PowerShell remoting では、Windows ホスト上でコマンドをリモート実行するときに、プレーン・テキスト資格情報が公開されない。プライベート・ネットワーク上で、この機能を有効にした管理者は、Windows ファイアウォールに全ての接続を許可する、新しいルールが自動的に追加されがことに注意する必要がある。

なお、Windowsファイアウォールをカスタマイズし、信頼できるエンドポイントやネットワークからの接続のみを許可するようにすると、攻撃者による横方向の動きを失敗させる可能性が高まる。

リモート接続には、PowerShell 7 でサポートされている Secure Shell プロトコル (SSH) を使用し、公開鍵認証の利便性と安全性を付加することが推奨されている。

  • リモート接続に SSL 証明書による HTTPS は必要ない。
  • ドメイン外の WinRM のリモート接続で要求される Trusted Hosts は不要になる。
  • すべてのコマンドと接続で、パスワードが不要な SSH による安全なリモート管理。
  • Windows ホストと Linux ホスト間での PowerShell remoting

もう1つの推奨事項は、AppLocker または Windows Defender Application Control (WDAC) の助けを借りて PowerShell の操作を減らし、それらのツールが Constrained Language Mode (CLM) で機能するよう設定し、管理者が定義したポリシー以外の操作を拒否することである。

Windows 10+では、WDAC/AppLocker を適切に設定することで、驚異アクターによる PowerShell セッション/ホストの完全な制御を防ぐことができる。

PowerShell の悪用を検出する

PowerShell のアクティビティを記録し、ログを監視することで、潜在的な悪用の兆候の発見が促進される可能性がある。NSA などの機関は、Deep Script Block Logging (DSBL)/Module Logging/Over-the-Shoulder Transcription (OTS) 機能をオンにすることを提案している。

最初の2つは、ログの包括的なデータベースを構築し、隠れたアクションやプロセスで使用されたコマンド/スクリプトなど、悪意が疑われる PowerShell アクティビティを探し出すために使用できる。OTS を使用すると、管理者は PowerShell の入出力の全記録を取得し、攻撃者の意図を推測する可能性が生じる。

管理者は、以下の表を使って、それそれの PowerShell バージョンが提供する機能を確認し、自身の環境の防御を改善するために活用できる。


今日、NSA が発表した文書では、「PowerShell は、Windowsオペレーティングシステムの安全性を確保するために不可欠である」と述べられており、特に、以前の制限を取り払った新しいバージョンでは、その傾向が顕著である。適切に設定/管理された PowerShell は、システム・メンテナンス/フォレンジック/自動化/セキュリティのための信頼できるツールとなる。

この、Keeping PowerShell: Security Measures to Use and Embrace と題された文書 [PDF] をダウンロードし、活用してほしい。

このところ、悪用の事例ばかり目につく PowerShell ですが、適正な利用により防御側の武器になるという、なかなか頼もしい NSA からの提言です。なお、上記の PDF は CISA から発行され、簡単にダウンロードできるものなので、ご興味のある方は、ご利用ください。また、よろしければ、PowerShell で検索も、ご利用ください。

%d bloggers like this: