如何使用组策略禁用 PowerShell

在本指南中，我将向您展示如何使用组策略禁用 PowerShell。此外，我将向您展示如何为特定用户（例如管理员）启用它，同时对所有其他用户禁用它。

为什么禁用 PowerShell？

恶意行为者经常使用 PowerShell 在整个网络中传播恶意软件。 Windows 10 上默认为所有用户启用 PowerShell，攻击者可以利用此工具运行恶意命令、访问文件系统、注册表等。勒索软件通常通过 PowerShell 分布在整个网络中。要了解更多信息，我建议阅读本白皮书 -> 安全入门 - Ryuk

使用组策略禁用 PowerShell 的步骤

重要：

此示例阻止了原始 32 位版本的 PowerShell。您的计算机可能安装了不同版本或多个版本（Core 和 5.1）。要阻止所有 PowerShell 版本，您需要创建多个路径规则。

步骤1：找到PowerShell.exe文件路径

默认情况下，PowerShell.exe 位于此文件夹 -> C:\Windows\System32\WindowsPowerShell\v1.0

要在您的计算机上验证这一点，请打开 PowerShell，然后打开任务管理器，转到详细信息选项卡，向下滚动到 powershell.exe，右键单击并选择“打开文件位置”。

Windows 资源管理器将打开到 powershell.exe 的文件夹位置。记下此位置，因为稍后的步骤将需要它。

步骤 2：创建 GPO 以阻止 PowerShell.exe

1.打开组策略管理控制台

现在，创建一个新 GPO 并将其链接到包含您要阻止访问的用户帐户的组织单位。我的所有用户都位于一个名为“ADPRO 用户”的组织部门中，因此我会将其链接到此处。

为新 GPO 命名。我喜欢用名称进行描述，这样很容易理解。

您现在已经创建了一个新的 GPO，下一步是编辑设置。

2. 编辑 GPO 并导航至 -> 用户配置 -> 策略 -> Windows 设置 -> 安全设置 -> 软件限制策略

现在右键单击“软件限制策略”并选择“新软件限制策略”

选择“附加规则”，然后右键单击并选择“新建路径规则”

现在单击浏览按钮并从步骤 1 中的路径中选择 powershell.exe 文件。最常见的路径是 -> C:\Windows\System32\WindowsPowerShell\v1.0。

将安全级别设置为“不允许” 单击“确定”。

提示：另一个选项是使用哈希规则。哈希规则的好处是它会阻止文件，无论其位置如何。例如，如果 PowerShell 尝试从 c:\it\ 运行，它将由于哈希规则而不是文件路径而被阻止。唯一的缺点是每个版本的 PowerShell 都需要一个哈希规则。

接下来，重新启动计算机以使策略生效。现在，当您尝试运行 PowerShell 时，您应该会收到以下消息。

您可以对 PowerShell ISE 或您想要阻止的任何其他应用程序重复这些步骤。

这会阻止您应用 GPO 的 OU 中的任何用户。要为特定用户启用它，请按照以下步骤操作。

步骤 2：允许管理员使用 PowerShell

在本节中，我将向您展示如何为用户阻止 PowerShell，但为管理员保持启用状态。

1. 创建新的 Active Directory 安全组。

随意命名，我喜欢用对象进行描述，以便其他管理员可以快速理解它的用途。我将我的组命名为“GPO - 启用 PowerShell”

现在，将您希望有权运行 PowerShell 的任何用户添加为该组的成员。

2.修改GPO委派

现在返回到您在步骤 1 中创建的 GPO，然后单击“委派”选项卡。

点击“高级”

单击“添加”，然后选择您创建的安全组，其中包含您要为其启用 PowerShell 的用户。单击“确定”。

在权限部分中，确保选择该组并且它仅具有这些权限

• 读取设置为“允许”
• 应用组策略设置为“拒绝”

单击“确定”。

现在，您添加到安全组的任何用户都将被拒绝此策略，并使他们能够运行 PowerShell。

结论

PowerShell 对于管理员来说是一个很棒的工具，但它越来越多地被恶意行为者滥用，在整个网络中传播勒索软件。我建议遵循最小权限原则，并确保用户拥有履行其工作职责所需的最低访问级别。大多数用户不需要 PowerShell，因此建议为这些用户禁用它。确保在全公司范围内推广这些类型的更改之前对其进行测试，并获得批准并提供文档以保护您自己。变更管理非常适合这些类型的系统范围内的变更。