powershell 실행 정책을 우회하지 못하도록 방지

Question

Powershell을 RDS 환경에 설치했습니다. 현재 원격 관리 및 App-V 가상 응용 프로그램 게시와 같은 작업에 사용되고 있습니다. 내 이해를 위해 제한된 실행 정책을 무시하는 것이 매우 쉽습니다.

그러나 실행 정책을 우회하는 것을 방지하거나 더 어렵게 만드는 것에 대한 유용한 정보를 찾을 수는 없습니다. ps 파일을 차단하기 위해 파일 스크리닝 (applocker)을 사용하려고 생각했지만 공격자가 office 파일에 첨부 된 VBA 스크립트를 사용하여 powershell 스크립트를 실행할 수 있습니다.

지금은 모니터링에 초점을 맞추고 있지만 예방에 더 관심을 둡니다.

Answer 1

실제로 Powershell의 오용을 방지 할 수있는 방법이 있습니다.

1. 구성은 AppLocker : 꽤 쓸모없는 실행 정책을) 우회 또한 스크립트
2. 구성 PowerShell을 너무 .NET 코드가 가 지원해야 자신의 스크립트
3. 을 실행할 수 없습니다 모드를 제한된 사용하려면 잠 그려면. NET 코드를 사용하면 sc에 서명 할 수 있습니다. 코드 서명자 인증서 ripts가 PowerShell 명령 모든 로깅을 구성하고 중앙 위치를 통해 그들을 전송, 그 외에

(이러한 제한된 모드 + AppLocker를 가진 실행이 허용됩니다) (그래서 IDS는이를 모니터링 할 수 있습니다) 또한 좋은 연습입니다.

자세한 내용은 https://adsecurity.org/?p=2604을 참조하십시오.

Answer 2

달성하려는 목표는 무의미하며 실행 정책을 우회하는 수십 가지 방법이 있습니다. 사실 보안상의 이유로 설계되지 않았습니다.

1. 사방 PS를 5+ 설치 스크립트 블록 로깅을 구현, 당신은 분석 할 곳 공유 디렉토리에있는 모든 로그를 배치 할 수 있습니다 \ 웹에서 그들에게 파일에서
2. 제거 PS2 사방
3. 블록 매크로를 섭취
4. 응용 프로그램 사용 허용 목록 사용

시작하기 좋은 장소 여야합니다.
ps. PS2를 다시 재설치 할 때 이벤트 400을 모니터링하여 PS2 (사용자 컴퓨터에 설치하고 싶지 않은 것)를 감지 할 수도 있습니다.