Tipps, Tricks und Tools

»Standardmäßig blockiert die PowerShell unter Windows Server 2016 und 2019 Skripte – nicht selten wird diese Einstellung im laufenden Betrieb aber geändert. Wie sollten wir Ihrer Meinung nach auf gehärteten Servern verfahren?«

Auf sicheren Servern sollten Sie in jedem Fall die Einstellungen so setzen, dass nur signierte oder keine Skripte ausführbar sind. Müssen Sie ein nicht signiertes Skript starten, schalten Sie die Ausführungsrichtlinie aus und danach wieder ein. Sie ändern die Ausführungsrichtlinie mit dem »Cmdlet Set-ExecutionPolicy« , mit »Get-ExecutionPolicy« zeigen Sie sie an. Sie können folgende Einstellungen vornehmen:

-Restricted: Keine Skripte erlaubt. Das ist die empfohlene Einstellung für hochsichere Server.

-AllSigned: Nur signierte Skripte sind erlaubt. Das ist die empfohlene Einstellung für sichere Server, auf denen Sie regelmäßig bestimmte Skripte ausführen.

-RemoteSigned: Bei dieser Einstellung müssen Sie Skripte durch eine Zertifizierungsstelle signieren lassen. Hierbei handelt es sich um die Standardeinstellung in Windows Server 2016.

- Unrestricted: Mit dieser Einstellung funktionieren alle Skripte.

Nach der Eingabe von »Set-ExecutionPolicy unrestricted« müssen Sie die Ausführung noch bestätigen. Anschließend funktionieren selbst geschriebene Skripte. Für hochsichere Server sollten Sie »Set-ExecutionPolicy restricted« nutzen. Beachten Sie jedoch, dass dieses Sicherheitsfeature lediglich vor dem versehentlichen Ausführen von PowerShell-Skripten schützt. Angreifer, die in der Lage sind, Skripte auf dem Rechner zu starten, können die Vorgaben mit verschiedenen Methoden umgehen. Dazu gehört das "Bypass"-Flag, das Angreifer in ihrem Skript setzen können.

(ln/dr)

»Wir nutzen Amazon Relational Database Service oder

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.