How to – Windows PowerShell deaktivieren

Grundlegendes zur Windows PowerShell

Die Windows PowerShell ist ein leistungsstarkes Verwaltungstool, das standardmäßig auf Windows-Betriebssystemen installiert ist.

Obwohl sie viele legitime Anwendungsfälle hat und von Systemadministratoren für die Automatisierung von Aufgaben und die Verwaltung von Windows-Systemen genutzt wird, können auch einige Gefahren von ihr ausgehen. Diese Anleitung erläutert, wie du die Windows PowerShell deaktivieren kannst.

Mit der Windows PowerShell ist es natürlich auch möglich diese für Hacking Angriffe zu verwenden. Z. B. gibt es auf GitHub eine ganze Reihe an open source Skripten. Hierzu zählen z. B. die Modulsammlungen PowerSploit, PowerShell Empire Nishang oder PowerUp.

Strafbare Handlungen nach dem Hackerparagraph

Beim Einsatz und verwenden der obigen Tools solltest du immer beachten, dass du dich dabei nach § 202c StGB – Hackerparagraph strafbar machen kannst.

Um diese Gefahren zu minimieren, sollten Organisationen bewährte Sicherheitspraktiken implementieren. Hierzu zähle u. a. folgende:

Beschränkung der Ausführung von PowerShell-Skripten auf vertrauenswürdige Quellen
Verwendung von digitalen Signaturen zur Überprüfung der Integrität von Skripten
Überwachung der PowerShell-Aktivitäten auf verdächtige Vorgänge

Mögliche Gefahren durch die Windows PowerShell

  • Missbrauch durch Malware: Bösartige Software (Malware) kann die Windows PowerShell nutzen, um schädliche Aktionen auf einem infizierten System auszuführen. Dies kann dazu führen, dass die PowerShell für bösartige Aktivitäten, wie Datendiebstahl, Verschlüsselung von Dateien oder das Erstellen von Backdoors, verwendet wird.
  • Privilege Escalation: Wenn ein Angreifer Zugriff auf die Windows PowerShell auf einem System mit begrenzten Berechtigungen erhält, kann er versuchen, die Berechtigungen zu eskalieren und vollen Zugriff auf das System zu erlangen. Dies könnte durch die Ausführung von Skripten oder das Ausnutzen von Schwachstellen erfolgen.
  • Phishing-Angriffe: Angreifer können die PowerShell in Phishing-Angriffen verwenden, um Benutzer zur Ausführung von schädlichem Code auf ihren Systemen zu verleiten. Dies kann dazu führen, dass Benutzer sensible Informationen preisgeben oder bösartige Software auf ihren Computern installieren.
  • Datenlecks: Unsachgemäße Verwendung der PowerShell durch Administratorinnen und Administratoren kann dazu führen, dass sensible Informationen unbeabsichtigt exponiert werden. Dies kann durch das Speichern von Kennwörtern in Skripten oder das unsichere Ausführen von Befehlen geschehen.
  • Eskalation von Rechten: Wenn die PowerShell mit erhöhten Berechtigungen ausgeführt wird, besteht die Gefahr, dass Angreifer diese nutzen, um auf kritische Systemkomponenten oder vertrauliche Daten zuzugreifen.

Windows PowerShell deaktivieren – per Gruppenrichtlinien

Möchte man als Unternehmen oder als Privatperson auf Nummer sicher gehen, so kann man natürlich auch sämtliche PowerShell Skripte verbieten und dessen Ausführung deaktivieren.

Für die Deaktivierung der Windows PowerShell eignen sich am besten die Gruppenrichtlinien. Als Erstes öffnet man diese am einfachsten über den Befehl gpedit.msc. Natürlich benötigt man hierfür administrative Rechte.

Folgender Pfad ist jetzt nötig:

Benutzerkonfiguration -> Administrative Vorlagen -> System ->Angegebene Windows-Anwendungen nicht ausführen

Jetzt müssen dort die Anwendungen angeben werden, welche der Benutzer nicht ausführen darf. Hierzu zählen folgende:

powerShell.exe
powerShell_ise.exe
openconsole.exe
WindowsTerminal.exe
wt.exe
cmd.exe

Windows PowerShell deaktivieren

Möchte man noch weitere Befehle sperren, so kann man diese suchen und entsprechend auch oben in die Liste eintragen. Die meisten Befehle befinden sich im übrigen unter dem Verzeichnis c:\Windows\System32.

Grundsätzlich ist die Windows PowerShell ein sehr nützliches Werkzeug, aber wie bei allen leistungsstarken Tools muss sie verantwortungsbewusst und sicher verwendet werden, um Risiken zu minimieren.

Fazit

Sollte man im Unternehmen oder auch privat auf Nummer sichergehen wollen, so kann es Sinn ergeben, die Windows PowerShell oder auch die cmd direkt zu sperren.

Dieser Artikel beinhaltet Partner-Links. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhält IT-Learner eine kleine Provision. Der Preis ändert sich für euch nicht. Danke für eure Unterstützung! Letzte Aktualisierung am 1.04.2024

52b1ccce6a0244ea9622f1104b1cec30
Der Blogbetreiber und Autor: Markus Elsberger

Über den Autor

Mein Name ist Markus Elsberger und ich beschäftige mich mit der Administration von Windows und Linux Systemen sowie mit diversen Themen bzgl. Netzwerktechnik. In meiner Lehrtätigkeit erstelle ich verschiedene Szenarien und teste auch verschiedene Konfigurationen, welche ich in diesem Blog festhalten möchte.


Kostenlose Befehlsreferenzen und E-Books
(Netzwerkanalyse, Benutzerverwaltung, Festplattenkonfiguration, u. v. m.)


Ebook - 10 Schritte nach der Windows Installation

Kostenlose Befehlsreferenzen und

E-Books

FREE

Netzwerkanalyse, Benutzerverwaltung, Festplattenkonfiguration, u. v. m.