防止繞過PowerShell執行策略

Question

我們在RDS環境中安裝了PowerShell。 它目前用於遠程管理和App-V虛擬應用程序發布等任務。 據我了解，繞過受限執行政策相當容易。

但是，我無法找到有關防止繞過執行策略的任何有用信息（或使其變得更加困難）。 我正在考慮使用文件篩選（AppLocker）來阻止PowerShell文件，但我想攻擊者可以使用附加到Microsoft Office文件的VBA腳本來執行PowerShell腳本。

目前我們專注於監控，但我希望更多關注預防。

Answer 1

你想要實現的目標是毫無意義的。 有許多方法可以繞過執行策略。 實際上，它不是出於安全原因而設計的。

1. 在任何地方安裝PS 5+並實現腳本塊日志記錄。 您可以將所有日志放在某個共享目錄中以分析\\攝取它們。
2. 隨處刪除PS2
3. 阻止來自Web的文件中的宏
4. 使用應用程序白名單

這應該是一個很好的起點。

PS：您還可以監視事件400，以便在重新安裝PS2時檢測繞過PS2（這是您不希望在用戶的計算機上進行的操作）。

Answer 2

實際上，有一些方法可以防止濫用PowerShell（並繞過執行策略毫無用處）：

1. 配置AppLocker：也是鎖定腳本
2. 將PowerShell配置為使用約束模式，以便無法執行.NET代碼
3. 對於應該支持.NET代碼的腳本，您可以使用代碼簽名者證書對腳本進行簽名（允許這些腳本使用約束模式+ AppLocker運行）

除此之外，配置所有PowerShell命令的日志記錄並通過中心位置發送它們（因此IDS可以監控它）也是一種很好的做法。

有關如何實現此目的的更多詳細信息，請參閱檢測攻擊性PowerShell攻擊工具 。