CryptoLock

Як заблокувати запуск PowerShell через групову політику

5 хв читання

Покрокова інструкція як заборонити запуск PowerShell для звичайних користувачів через gpedit або AppLocker в Windows.

PowerShell — потужний інструмент але і потенційний вектор атаки. Заборона його запуску для звичайних користувачів — стандартна міра безпеки в корпоративному середовищі.

Спосіб 1: Через групову політику (Software Restriction)

Крок 1. Win + Rgpedit.msc → Enter.

Крок 2. Перейди по шляху:

Конфігурація комп'ютера
  → Параметри Windows
    → Параметри безпеки
      → Політики обмеженого використання програм

Крок 3. Якщо бачиш "Немає політик обмеженого використання програм" — натисни правою кнопкою → Створити політику обмеженого використання програм.

Крок 4. Відкрий Додаткові правила → правою кнопкою → Нове правило для шляху.

Крок 5. Додай наступні правила (по одному):

Шлях Рівень безпеки
%SystemRoot%\System32\WindowsPowerShell\* Заборонено
%SystemRoot%\SysWow64\WindowsPowerShell\* Заборонено

Крок 6. Перезавантаж комп'ютер.

Спосіб 2: Через AppLocker (Windows Enterprise)

AppLocker — більш гнучкий інструмент ніж SRP.

Крок 1. gpedit.msc → перейди:

Конфігурація комп'ютера
  → Параметри Windows
    → Параметри безпеки
      → Політики керування додатками
        → AppLocker

Крок 2. Натисни Настроїти застосування правил → постав галочки для Правила для виконуваних файлів → OK.

Крок 3. Відкрий Правила для виконуваних файлів → правою кнопкою → Створити нове правило.

Крок 4. Дія: Заборонити → Користувачі: Усі → Умова: Шлях.

Крок 5. Вкажи шлях:

%SYSTEM32%\WindowsPowerShell\*

Крок 6. Завершіть майстер → перезавантаж.

Спосіб 3: Через реєстр (найпростіший)

Відкрий CMD від адміністратора:

reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell" /v EnableScripts /t REG_DWORD /d 0 /f

Це вимикає виконання скриптів PowerShell. Сам PowerShell запуститься але жоден .ps1 скрипт не виконається.

Спосіб 4: Змінити ExecutionPolicy

Set-ExecutionPolicy -ExecutionPolicy Restricted -Scope LocalMachine -Force

Після цього PowerShell запускається але виконання будь-яких скриптів заборонено.

Перевірка

Після застосування спробуй запустити PowerShell від імені звичайного користувача. Має з'явитись повідомлення про заборону або вікно не відкриється взагалі.

Примітка: адміністратор завжди може обійти ці обмеження. Ці заходи спрямовані проти рядових користувачів і зовнішніх атак через скрипти.

Схожі статті

← Всі статті