{"id":14363,"date":"2025-07-01T04:14:45","date_gmt":"2025-07-01T04:14:45","guid":{"rendered":"https:\/\/newestek.com\/?p=14363"},"modified":"2025-07-01T04:14:45","modified_gmt":"2025-07-01T04:14:45","slug":"powershell-uberwachen-so-gehts","status":"publish","type":"post","link":"https:\/\/newestek.com\/?p=14363","title":{"rendered":"PowerShell \u00fcberwachen \u2013 so geht\u2018s"},"content":{"rendered":"
\n
\n
\n
\n
\n
\n
<\/div>\n<\/section>\n
\n
Wird PowerShell nicht richtig \u00fcberwacht, ist das Security-Debakel meist nicht weit.<\/figcaption><\/figure>\n

rsooll | shutterstock.com<\/p>\n<\/div>\n

Kriminelle Hacker setzen mitunter auf raffinierte Techniken, um sich \u00fcber ausgedehnte Zeitr\u00e4ume in den Netzwerken von Unternehmen einzunisten<\/a> und still und heimlich sensible Daten oder Logins abzugreifen. Dabei missbrauchen die Cyberkriminellen in vielen F\u00e4llen auch vom jeweiligen Zielunternehmen freigegebene Tools, um sich initial Zugang zu verschaffen und ihre Aktivit\u00e4ten so gut wie m\u00f6glich zu verschleiern. Die \u201cBadPilot\u201d-Angriffskampagne<\/a> ist dabei nur eines von zahlreichen Beispielen.<\/p>\n

Umso wichtiger ist es f\u00fcr Security-Teams, Workstations besser vor malizi\u00f6sen Skripten und missbr\u00e4uchlich verwendeten Remote-Access-Tools zu sch\u00fctzen. Im Fall von Windows-agnostischen Unternehmen empfiehlt es sich dazu insbesondere, die PowerShell-Aktivit\u00e4ten zu protokollieren und zu \u00fcberwachen \u2013 auch und gerade auf Ger\u00e4ten, die beispielsweise von externen Beratern genutzt werden. In diesem Artikel lesen Sie, wie das geht.<\/p>\n

So protokollieren Sie PowerShell-Befehle<\/h2>\n

Im ersten Schritt sollten Sie grundlegende Detection-Funktionen auf Ihren Workstations aktivieren. Im Fall von nativen Windows-Workstations hei\u00dft das: Stellen Sie sicher, dass PowerShell-Befehle protokolliert werden.<\/p>\n

Gruppenrichtlinie<\/strong><\/p>\n

Wenn Sie herk\u00f6mmliche Active-Directory-Tools verwenden, aktivieren Sie die PowerShell-Protokollierung \u00fcber die Gruppenrichtlinie. Dazu rufen Sie die entsprechende Management-Konsole auf und erstellen ein neues Gruppenrichtlinienobjekt \u2013 oder bearbeiten ein bereits existierendes. Lokalisieren Sie anschlie\u00dfend die Einstellung \u201cPowerShell Script Block Logging<\/strong>\u201d und aktivieren Sie diese:<\/p>\n

\n
<\/figure>\n

Susan Bradley \/ CSO<\/p>\n<\/div>\n

Das gew\u00e4hrleistet, dass Sie den Inhalt aller ausgef\u00fchrten Skripte, inklusive Befehle und Funktionen, erfassen k\u00f6nnen.<\/p>\n

Intune<\/strong><\/p>\n

Wenn Sie mit Microsoft Intune arbeiten, rufen Sie dessen Admin Center auf und dort \u201cWindows Devices and Configuration\u201d. Hier erstellen Sie eine neue Richtlinie und w\u00e4hlen unter Profiltyp die Option \u201cSettings Catalog\u201d. Diese Policy statten Sie im n\u00e4chsten Schritt mit Einstellungen aus: Suchen Sie nach \u201cPowerShell\u201d und w\u00e4hlen Sie anschlie\u00dfend die Kategorie \u201cAdministrative TemplatesWindows ComponentsWindows PowerShell<\/strong>\u201c. Anschlie\u00dfend k\u00f6nnen Sie wahlweise s\u00e4mtliche Monitoring-Optionen auf einmal oder jede einzeln aktivieren:<\/p>\n

\n
<\/figure>\n

Susan Bradley \/ CSO<\/p>\n<\/div>\n

Microsoft Defender for Cloud<\/strong><\/p>\n

Auch Microsofts Defender for Cloud l\u00e4sst sich speziell auf verd\u00e4chtige PowerShell-Aktivit\u00e4ten ausrichten. Hierbei ist jedoch zu beachten, dass die Warnmeldungen unter Umst\u00e4nden fehlerhaft sind und einen Angriff nahelegen, obwohl keiner stattfindet. Um die Alerts zu aktivieren, rufen Sie \u00fcber die Konsole des Tools den Punkt E-Mail-Benachrichtigungen auf.<\/p>\n

Selbstverst\u00e4ndlich m\u00fcssen Sie auch wissen, welche Remote-Access-Tools in Ihrem Unternehmen zum Einsatz kommen. Erw\u00e4gen Sie au\u00dferdem, Hunting-Befehle<\/a> hinzuzuf\u00fcgen, um nach nicht zul\u00e4ssiger Fernzugriffssoftware suchen zu k\u00f6nnen. Um zu verhindern, dass solche Tools \u00fcberhaupt eingesetzt werden k\u00f6nnen, empfiehlt sich au\u00dferdem, eine entsprechende Restriktionsrichtlinie einzuziehen \u2013 oder Applocker<\/a> einzusetzen.<\/p>\n

In der Praxis sollten Sie insbesondere auf Warnmeldungen achten, die auf Kommunikationsvorg\u00e4nge mit verd\u00e4chtigen Dom\u00e4nen hindeuten. Dazu z\u00e4hlen etwa die Benachrichtigungen \u00fcber:<\/p>\n