防止绕过PowerShell执行策略

Question

我们在我们的PowerShell环境中安装了RDS。它目前用于远程管理和App虚拟应用程序发布等任务。据我所知，绕过受限制的执行策略相当容易。

但是，我找不到任何有用的信息来防止绕过执行策略(或者让它变得更加困难)。我正在考虑使用文件筛选(AppLocker)来阻止PowerShell文件，但我猜攻击者可以使用附加到Microsoft文件的VBA脚本来执行PowerShell脚本。

目前，我们的重点是监测，但我希望更多地关注预防问题。

Answer 1

实际上，有一些方法可以防止滥用PowerShell (并使绕过执行策略变得非常无用)：

1. 配置AppLocker:也是锁定脚本
2. 将PowerShell配置为使用约束模式，以便不能执行.NET代码
3. 对于您自己应该支持.NET代码的脚本，您可以使用代码签名者证书对脚本进行签名(这些脚本将允许在受限模式+AppLocker下运行)

此外，配置所有PowerShell命令的日志并将它们发送到一个中心位置(因此IDS可以监视这些命令)也是一个很好的实践。

有关如何实现这一点的更多详细信息，请参见https://adsecurity.org/?p=2604。

Answer 2

你想要达到的目标是毫无意义的。有许多方法可以绕过执行策略。事实上，它不是出于安全考虑而设计的。

1. 到处安装PS 5+并实现脚本块日志记录。您可以将所有日志放置在某个共享目录中，以便对它们进行分析。
2. 到处删除PS2
3. 阻止来自web文件的宏
4. 使用应用程序白名单

这应该是个好的开始。

PS:您还可以监视事件400，以检测PS2的旁路(这是您不希望出现在用户机器上的东西)，当某些东西重新安装PS2时。