防止绕过powershell执行策略

Question

我们在RDS环境中安装了Powershell。它目前用于远程管理和App-V虚拟应用程序发布等任务。根据我的理解，绕过受限执行政策相当容易。

但是，我无法找到有关防止绕过执行策略的任何有用信息（或使其变得更加困难）。我正在考虑使用文件筛选（applocker）来阻止ps文件，但我想攻击者可以使用附加到office文件的VBA脚本来执行powershell脚本。

目前我们专注于监控，但我希望更多关注预防。

Answer 1

您要实现的目标毫无意义，有许多方法可以绕过执行策略，实际上它并非出于安全考虑而设计。

1. 在任何地方安装PS 5+并实施脚本块日志记录，您可以将所有日志放在某个共享目录中以分析\摄取它们
2. 到处删除PS2
3. 阻止来自网络文件的宏
4. 使用应用程序白名单

这应该是一个很好的起点 PS。您还可以监视事件400，以便在重新安装PS2的情况下检测绕过PS2（这是您不希望在用户计算机上使用的东西）

Answer 2

实际上，有一些方法可以防止滥用Powershell（并绕过执行政策毫无用处）：

1. 配置Applocker：也是锁定脚本
2. 将Powershell配置为使用约束模式，因此.NET代码无法使用 执行
3. 对于您自己应该支持.NET代码的脚本，您可以签名 带有代码签名者证书的脚本（这些将被允许 使用约束模式+ applocker运行）

除此之外，配置所有Powershell命令的记录并通过中心位置发送它们（因此IDS可以监控它）也是一种很好的做法。

有关如何实现此目的的更多详细信息，请参阅https://adsecurity.org/?p=2604。