28. Februar 2019 Susan Bradley* und Julia Krokoszinski

So installieren Sie PowerShell 5 auf Windows 7

Haben ältere Windows-Systeme in Ihrem Netzwerk? Es gibt beispielsweise die Möglichkeit, auch auf Windows 7 die Ereignisprotokollierungsfunktion von PowerShell 5 einzusetzen. Wir zeigen Ihnen wie. [...]

Powershell 5 lässt sich auch ganz bequem auf älteren Systemen einrichten (c) Pixabay.com

Man könnte meinen, dass etwas so grundlegendes wie PowerShell, ein Framework zur Aufgabenautomatisierung und Konfigurationsverwaltung von Microsoft, nicht aktualisiert werden muss. Immerhin kommt es mit dem Betriebssystem, richtig? Windows 7 bietet jedoch kaum Möglichkeiten, PowerShell einzusetzen, während die PowerShell-Version von Windows 10 wesentlich stabiler ist.

Was ist aber, wenn Sie nicht bereit sind, Windows 10 netzweit einzuführen? Alles ist dabei nicht verloren. Sie können beispielsweise auf Ihren Windows 7 Systeme ein Update auf PowerShell 5 durchführen. Tatsächlich wird empfohlen, verdächtige Skriptblockprotokolle hinzuzufügen, die nicht in der auf Windows 7 mitgelieferten Version von PowerShell enthalten sind.

Für die Installation von PowerShell 5 auf Windows 7 müssen einige Voraussetzungen erfüllt sein:

Aktivieren Sie als Nächstes die Protokollierung durch Group Policy, indem Sie sie wie folgt konfigurieren:

Wechseln Sie zu ‚Administrative Templates‘, dann zu ‚Windows Components‘ und anschließend zu ‚Windows PowerShell‘. Dort werden Sie nun einige Einstellungen vornehmen.

Fügen Sie PowerShell Script Block-Loggin hinzu (c) Microsoft

Als erstes aktivieren Sie die ‚Modulprotokollierung‘; dabei werden Teile von Skripts und entstelltem Code aufgezeichnet, und die Ereignisse unter der Ereignis-ID 4103 im Windows PowerShell-Protokoll aufgezeichnet. Legen Sie fest, welche Module verfolgen möchten. Verwenden Sie zum Abrufen einer Liste von Modulen das Get-Module -ListAvailable PowerShell cmdlet, und fügen Sie dann die zu überwachenden Module hinzu. Alternativ können Sie * eingeben, um alle Module zu protokollieren. Verwenden Sie das Stellvertretersymbol, um die Protokollierung zunächst einzurichten.

Das nächste einzurichtende Protokollierungselement ist  ‚Aktivieren der Protokollierung von PowerShell-Skriptblöcken‘. Dies zeichnet auf, wann Codeblöcke ausgeführt wurden, und erfasst somit den von einem Angreifer ausgeführten Code, einschließlich Skripts und Befehle. Es wird nicht empfohlen, das Starten und Stoppen von Skriptblöcken zu aktivieren, da dies zu einer großen Anzahl von Protokollierungsereignissen führt. Durch das Hinzufügen von Skriptblockprotokollen können Sie bereits einiges an Details erfassen.

Wenn Sie sich Sorgen über Angriffe und das Erfassen von Kennwörtern machen, kann die Protokollierung von PowerShell Transcription sehr effektiv bei der Identifizierung von Skripts sein, die von Angreifern dahingehend ausgeführt werden. Dies enthält eine Aufzeichnung der PowerShell-Sitzung sowie Eingabe und Ausgabe, genau so, wie sie in der Sitzung angezeigt wird. Auf diese Weise können auch PowerShell-Befehle für seitliche Bewegungen erfasst werden.

Vergewissern Sie sich schließlich, dass das PowerShell-Ereignisprotokoll auf 1 Gigabyte erhöht wird (oder eben entsprechend Ihrer Umgebungsbeschaffenheit erhöht wird), und erwägen Sie eine Protokollierungslösung, die diese Dateien von den Computern zur späteren Überprüfung entfernt, wenn Sie sich in einer vertraulichen und sicheren Umgebung bewegen.

Nachdem Sie die Protokollierung eingerichtet haben, können Sie im PowerShell-Ereignisprotokoll nach den Ereignissen suchen. Beispielsweise sehen Sie unten sogar das gutartige PowerShell-Skript, in dem lediglich aufgezeigt wird, dass laufende Dienste in den Ereignisprotokollen ausgeführt werden.

Beispiel für einen PowerShell-Befehl (c) Microsoft

Wie Sie unten sehen können, können Sie die Ergebnisse des PowerShell-Skripts im Überwachungsprotokoll anzeigen und anschließend überprüfen.

Nachweis, dass ein PowerShell-Befehl ausgeführt wird (c) Microsoft

Sie können jetzt in den PowerShell-Protokollen nachsehen, welche Aktivitäten zuvor auf dem System ausgeführt wurden. Dies kann dazu beitragen, schädliche PowerShell-Aktivitäten schnell zu identifizieren. Wie in einem Fireeye-Blogbeitrag erwähnt, können böswillige PowerShell-Skripts durch die Base64-Kodierung weiter verschleiert werden. Angreifer stellen oft sicher, dass solche Skripts im Hintergrund ausgeführt werden. Auch wenn Sie nicht alle Details des PowerShell-Skripts überprüfen können, können Sie nach diesen Verschleierungstechniken suchen und die erfassten Ereignisse mit den in Ihrem Netzwerk verwendeten Skripts vergleichen. Wenn Sie sicherstellen können, dass die Protokollierung aktiviert ist, bevor ein Ereignis eintritt, können Sie damit im Nachhinein untersuchen, was innerhalb Ihrer Systeme passiert.

*Susan Bradley ist Redakteurin bei CSO.com


Mehr Artikel

News

KI ist das neue Lernfach für uns alle

21. November 2024 Andrea Wörrlein *

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

21. November 2024

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

21. November 2024 Wolfgang Franz

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

News

Risiken beim Einsatz von GenAI in vier Schritten senken

20. November 2024

Die Themen Datenschutz und Modellverwaltung sind in der Datenwissenschaft zwar nicht neu, doch GenAI hat ihnen eine neue Dimension der Komplexität verliehen, die Datenschutzbeauftragte vor neue Herausforderungen stellt. Die Data-Science-Spezialisten von KNIME haben die Potenziale und Risiken der KI-Nutzung beim Einsatz bei der Datenarbeit zusammengefasst und empfehlen vier Schritte zur Risikominimierung. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*