Dmitry Nikolaev - Fotolia

Die Sicherheit der PowerShell per Gruppenrichtlinie optimieren

Die Windows PowerShell ist ein mächtiges Werkzeug für Admin-Aufgaben. Mit ihren Fähigkeiten und Möglichkeiten ist sie ungebremst aber auch ein Risiko.

Die interaktive Kommandozeilen-Umgebung PowerShell wurde unter anderem entwickelt, um IT-Profis und Admins die Automatisierung von Betriebssystem- und Anwendungsaufgaben zu erleichtern. Die PowerShell eignet sich so trefflich fürs System-Management, weil sie auf Systemebene tiefgehende Eingriffe erlaubt.

Nahezu alles, was man mit Management-Tools in der grafischen Benutzeroberfläche regeln kann, lässt sich auch einfach per PowerShell abbilden. Einige Verwaltungsaufgaben – Stichwort DSC (Desired State Configuration) – lassen sich sogar ausschließlich in der PowerShell ausführen. Dies gilt insbesondere für einige Serverprodukte wie etwa Microsoft Exchange.

Und gerade weil die PowerShell unter Windows so systemnah agiert, ist das Thema Sicherheit von großer Bedeutung. Daher hat Microsoft entsprechende Schutzmaßnahmen vorgesehen. So unterliegt die PowerShell denselben Berechtigungen und Beschränkungen wie die Management-Tools unter Windows. Sprich, fehlt einem Benutzer dort eine bestimmte Berechtigung für eine Aktion, dann kann er diese auch nicht mit der PowerShell ausführen.

Die PowerShell-Ausführungsrichtlinie

Dreh- und Angelpunkt in Sachen Sicherheit und PowerShell ist die Ausführungsrichtlinie, die Microsoft implementiert hat. Mit Hilfe der Ausführungsrichtlinie behält man die Kontrolle über die Ausführung von PowerShell-Skripten. So kann der Administrator beispielsweise festlegen, dass nur Skripte ausgeführt werden dürfen, die digital signiert wurden.

Unter Windows können Sie mit dem Cmdlet Get-ExecutionPolicy den aktuellen Status der Ausführungsrichtlinie abrufen. Mit Hilfe des Cmdlet Set-ExecutionPolicy kann man die Ausführungsrichtlinie zuweisen. Soll die Ausführungsrichtlinie zum Beispiel den Status Eingeschränkt (Restricted) erhalten, dann erfolgt dies mit folgendem Befehl:

Set-ExecutionPolicy Restricted

Ausführungsrichtlinie per Gruppenrichtlinie

Die Konfiguration der Ausführungsrichtlinie per Cmdlet funktioniert zweifelsohne ganz problemlos. Bequemer lässt sich dies jedoch per Gruppenrichtlinieneinstellung regeln. Öffnen Sie hierfür den Editor für Gruppenrichtlinien.

Per Ausführungsrichtlinie für die PowerShell lässt sich beispielsweise festlegen, dass externe Skripte aus dem Internet signiert sein müssen.
Abbildung 1. Per Ausführungsrichtlinie für die PowerShell lässt sich beispielsweise festlegen, dass externe Skripte aus dem Internet signiert sein müssen.

Navigieren Sie zu Computerkonfiguration und Administrative Vorlagen. Dort findet sich unter den Windows-Komponenten der Punkt Windows PowerShell. Öffnen Sie per Doppelklick den Punkt Skriptausführung aktivieren.

Wenn Sie diese Richtlinie aktivieren, stehen drei Optionen zur Auswahl:

  • Nur signierte Skripts zulassen – hier werden nur Skripte ausgeführt, die von einem vertrauenswürdigen Herausgeber signiert sind.
  • Lokale Skripts und remote signierte Skripts zulassen – es werden alle lokalen Skripte ausgeführt. Diejenigen aus dem Internet müssen von einem vertrauenswürdigen Herausgeber signiert sein.
  • Alle Skripts zulassen – alle Skripte werden ausgeführt.

Indem man festgelegt, dass alle externe Skripte signiert sein müssen, erreicht man einen passablen Kompromiss in Sachen Sicherheit.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Tipps zur Konfiguration der PowerShell-Ausführungsrichtlinie

Kostenloses E-Handbook zu den wichtigsten neuen Cmdlets der PowerShell 5.0

System und Anwendungen gegen Attacken schützen

Windows-Sicherheit verbessern: Ein gehärtetes Windows-10-Image anlegen

Artikel wurde zuletzt im Mai 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über IT-Sicherheit: Policies, Prozeduren und Richtlinien

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close