PowerShell Sicherheit - Hardening, Monitoring und Angriffsanalyse

Seminarziel

Nach diesem Workshop können Sie PowerShell sicher, nachvollziehbar und kontrolliert einsetzen.
Sie beherrschen den sicheren Umgang mit sensiblen Daten, Credentials und Zertifikaten und kennen die relevanten Sicherheitsmechanismen innerhalb von PowerShell.
Aus administrativer Sicht wissen Sie, wie Sie PowerShell systemweit absichern und härten - darunter die Einordnung von Execution Policies, Skript-Signaturen, GPO-basierte Absicherung, umfassendes Logging sowie der Einsatz von Just Enough Administration (JEA).
Im dritten Teil lernen Sie typische Angriffsmuster aus einer Red-Team-Analyseperspektive kennen.
Dabei geht es nicht um das Durchführen von Angriffen, sondern um das Verständnis von Denkweisen, Fehlannahmen und Schwachstellen, die in der Praxis ausgenutzt werden.
Sie verstehen, warum bestimmte Schutzmechanismen nicht ausreichen, wie Angriffe erkannt werden können und welche Maßnahmen sie wirksam verhindern.
Damit erhalten Sie ein ganzheitliches Bild moderner PowerShell-Sicherheit aus Sicht von Administration, Hardening und Sicherheitsanalyse.

Inhalt

• Sicherheit IN der PowerShell (Fundament + Kryptografie + Credentials)
  • Fundament, Kryptografie, Umgang mit sensiblen Daten
  • Sichere Zufallszahlen, Passwörter und Token
  • SecureString vs. PSCredential
  • Umgang mit Secrets heute
  • Sensible Daten im Skript
  • PKI & Zertifikate
  • Windows-Zugriffsberechtigungen
    
    
• Sicherheit AN der PowerShell (Angriffsfläche schließen & Logging)
  • Angriffsfläche reduzieren, Nachvollziehbarkeit erhöhen
  • Execution Policy
    • Realität vs. Mythos (kein Sicherheitsfeature)
  • Signieren von Skripten
    • Integrität, Vertrauen, Supply-Chain-Gedanken
  • Code Integrity / Application Control
    • Grundprinzipien (WDAC, AppLocker - Überblick)
  • PowerShell-relevante GPO-Einstellungen
  • PowerShell Logging
    • ScriptBlock Logging
    • Module Logging
    • Transcription Logging
  • Anti-Malware Integration (AMSI)
    • -> Rolle, Funktionsweise, Bedeutung für Defender & EDR
  • PowerShell Remoting sicher betreiben
  • Just Enough Administration (JEA) - Delegation ohne Adminrechte
    
    
• Red-Team-Perspektive (Analyse & Verständnis, kein Angriff)
  • Wie Angreifer denken - damit Admins sich schützen können
  • Hinweis: Dieser Teil dient ausschließlich dem Verständnis von Angriffsmustern

und zeigt keine Werkzeuge, Exploits oder realen Angriffstechniken.

• Typische Angriffsziele aus Sicht eines Angreifers
• Reconnaissance:
  • Rechte & Kontexte analysieren
  • Warum Fehlkonfigurationen kritisch sind
• Codeausführung aus Angreifersicht
  • ScriptBlock-Ausführung: Funktionsweise & Risiken
  • String-basierte Codeausführung: Warum problematisch
• Execution Policy aus Angreifersicht
  • -> Warum sie kein Schutz ist
• Virenscanner & EDR
  • Grundlegende Konzepte der Erkennung
  • Warum AMSI zentral ist
  • Keine Umgehung, sondern Schutzbewertung
• Alternative Ausführungsumgebungen
  • -> Warum PowerShell-Hardening allein nicht reicht
  • Typische Fehlannahmen in Unternehmen
    
    
• Architektur- & Schutzempfehlungen
• Defense-in-Depth für PowerShell
• Zusammenspiel aus
  • Logging
  • AMSI
  • Application Control
  • Least Privilege
• Realistische Schutzmaßnahmen für Admins
• Abgrenzung:
  • Was ist erlaubt, was ist sinnvoll, was ist gefährlich