Отдел безопасности поручил нашему IT-отделу отключить PowerShell на некоторых компьютерах. Пользователям необходимо запретить запуск интерактивной консоли PowerShell и запуск PowerShell-скриптов. При этом скрипты, запускаемые через GPO при входе в систему, и задачи PowerShell в Планировщике задач (которые выполняются от имени SYSTEM), должны оставаться разрешёнными. В этой статье мы рассмотрим несколько способов отключения PowerShell на компьютерах, которые можно централизованно реализовать через групповую политику (GPO).
По умолчанию Windows PowerShell Execution Policy стоит в положении Restricted, что предотвращает запуск только скриптов с расширением *.PS1 (задать эту политику можно через параметр GPO Turn on Script Execution в разделе Computer Configuration -> Administrative Templates -> Windows Components -> Windows PowerShell). Однако, этот уровень политики не запрещает пользователям доступ к интерактивной консоли powershell.exe.
В редакторе групповой политики есть встроенный параметр, который позволяет запретить запуск определенных исполняемых файлов. Эта политика — Don’t run specified Windows applications в разделе User Configuration -> Administrative Templates -> System. Активируйте политику, нажмите кнопку Show и добавьте имя исполняемого файла (powershell.exe), который нужно заблокировать.
После обновления настроек GPO на клиентском устройстве при попытке запуска powershell.exe появится сообщение об ошибке:
Ограничения Эта операция была отменена из-за действующих на этом компьютере ограничений. Обратитесь к системному администратору.
Однако такая политика недостаточно надёжна и безопасна. Например, она не блокирует запуск Windows Terminal с открытым PowerShell-сеансом.
- x86 и x64 версии
powershell.exeиpowershell_ise.exeв папках%SystemRoot%\System32\WindowsPowerShell\v1.0\и%SystemRoot%\SysWOW64\WindowsPowerShell\v1.0\ - Если на компьютере установлена новая версия PowerShell Core, также следует запретить запуск
pwsh.exe. Например, в моём случае путь к немуC:\Program Files\PowerShell\7\pwsh.exe(узнать путь можно с помощью командыGet-Command pwsh.exe)
Для более гибкого ограничения запуска исполняемых файлов можно использовать Software Restriction Policies (SRP).
- Создайте новую GPO в домене AD с помощью консоли
gpmc.msc - Перейдите в User Configuration -> Policies -> Windows Settings -> Security Settings -> Software Restriction Policies
- Выберите New Software Restriction Policy
- Перейдите в раздел Additional Rules и добавьте путь:
%SystemRoot%\System32\WindowsPowerShell\v1.0\powershell.exe - Установите для уровня безопасности значение Disallowed.
- Примените политику к нужному OU
После применения политики пользователи не смогут запустить PowerShell.exe.
Это приложение заблокировано вашим администратором
Данная политика SRP также блокирует запуск процесса PowerShell.exe через Windows Terminal.
[error 2147943660 (0x800704ec) при запуске `%SystemRoot%\System32\WindowsPowerShell\v1.0\powershell.exe']
Эта программа заблокирована групповой политикой. Для получения дополнительной информации обратитесь к вашему системному администратору.
Вы можете сделать исключение из этой политики и разрешить определённым пользователям запуск PowerShell. В моём примере я создал в Active Directory группу безопасности AllowPowerShell, в которую включил администраторов, которым разрешён запуск PowerShell.
Далее откройте вкладку Delegation в свойствах политики в консоли GPMC. Я добавил эту группу с правом чтения, но запретил применение политики для неё, установив Apply Group Policy -> Deny.
Таким образом, мы запретили запуск PowerShell для неадминистраторов, но сделали исключение для администраторов. Аналогично, данная политика не должна применяться к учётной записи SYSTEM. Это позволит запускать скрипты при загрузке и задания планировщика PowerShell.
Чтобы проверить, что политика GPO не применяется к администраторам, используйте командуgpresult /r.
Однако, начиная с Windows 10 версии 1803 и Windows Server 2019, Software Restriction Policies считаются устаревшими. Взамен рекомендуется использовать политику ограничения Windows Defender Application Control (WDAC) или AppLocker.
Далее рассмотрим как использовать AppLocker для запрета запуска powershell.exe. Изначально политики AppLocker можно было применять только в Enterprise-редакции Windows. Но начиная с Windows 10 2004 и новее, AppLocker доступен для Pro версий Windows 10 и 11.
- Для применения политики AppLocker на клиентских устройствах необходимо включить автозапуск службы Application Identity (Computer Configuration -> Windows Settings -> Security Settings -> System Services)
- Перейдите в Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Application Control Policies -> AppLocker. Откройте свойства и активируйте опцию Configured в разделе Executable rules. Установите режим в значение Enforce rules.
- Щелкните правой кнопкой по разделу Executable rules и выберите Create Default rules.
- В правиле «Все файлы, расположенные в папке Windows» добавьте исключение Publisher для файла
powershell.exe. - Выделите этот исполняемый файл и переместите ползунок в положение File name.
- Это правило запретит пользователям запуск данного файла.
- Чтобы разрешить администратору запуск powershell.exe, необходимо создать отдельное правило разрешения для этой группы пользователей с указанием запуска только этого файла.
- По умолчанию политики AppLocker запрещают запуск любых исполняемых файлов, кроме тех, которые расположены в папках Windows и Program Files. Поэтому, чтобы запретить запуск только PowerShell.exe, требуется добавить правило, разрешающее всё для доменных пользователей, кроме PowerShell.exe (укажите
*в поле пути)
Для просмотра итоговых настроек политики AppLocker на клиенте, можно экспортировать её в XML-файл:
Get-AppLockerPolicy -Effective -XML > C:\temp\applocker_result_policy.xml
Когда пользователь попытается запустить PowerShell.exe на клиентском компьютере, появится сообщение о блокировке приложения администратором.
При этом следует заблокировать запуск как x86, так и x64 версий файлов powershell.exe, powershell_ise.exe и pwsh.exe.