トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

PowerShellの悪用 のバックアップ(No.3)


設定対策?

PowerShellの悪用

攻撃評価

戦術分類119 ValuePen Value
初期侵入33

119 Value:Min:1 Max:3 数値が高いほど攻撃実績が多い
Pen Value:Min:1 Max:3 数値が高いほどペネトレーションテストで攻撃が成功しやすい

MITRE 緩和策

コード署名

PowerShell実行ポリシーを設定して、署名されたスクリプトのみを実行します。

V-70637 システムでWindows PowerShell 2.0機能を無効にする必要があります。

機能やプログラムの無効化または削除

不要な場合はシステムからPowerShellを削除することもできますが、多くの正当な目的や管理機能に使用される可能性があるため、環境への影響を評価するためにレビューを実行する必要があります。WinRMサービスを無効化/制限して、リモート実行でPowerShellが使用されないようにします。

特権アカウント管理

PowerShellが必要な場合、PowerShell実行ポリシーを管理者に制限します。環境の構成に応じて、PowerShell実行ポリシーをバイパスする方法があることに注意してください。