1

我们在RDS环境中安装了 PowerShell。它目前用于远程管理和App-V虚拟应用程序发布等任务。据我了解,绕过受限执行策略相当容易。

但是,我找不到任何有用的信息来防止绕过执行策略(或使其变得更加困难)。我正在考虑使用文件屏蔽 (AppLocker) 来阻止 PowerShell 文件,但我想攻击者可以只使用附加到 Microsoft Office 文件的 VBA 脚本来执行 PowerShell 脚本。

目前我们专注于监控,但我希望更多地关注预防。

4

2 回答 2

3

你想要达到的目标是没有意义的。有很多方法可以绕过执行策略。事实上,它并不是出于安全原因而设计的。

  1. 随处安装 PS 5+ 并实施脚本块日志记录。您可以将所有日志放在某个共享目录中以分析\摄取它们。
  2. 随处移除 PS2
  3. 阻止来自网络文件的宏
  4. 使用应用程序白名单

这应该是一个很好的起点。

PS:您还可以监视事件 400,以在重新安装 PS2 时检测绕过 PS2(这是您不希望在用户计算机上出现的情况)。

于 2017-03-13T07:41:33.067 回答
0

实际上,有一些方法可以防止滥用 PowerShell(并使绕过执行策略变得毫无用处):

  1. 配置 AppLocker:还有锁定脚本
  2. 将 PowerShell 配置为使用约束模式,因此无法执行 .NET 代码
  3. 对于您自己的应该支持 .NET 代码的脚本,您可以使用代码签名者证书对脚本进行签名(这些将允许在受限模式 + AppLocker 下运行)

除此之外,配置所有 PowerShell 命令的日志记录并通过中心位置发送它们(以便 IDS 可以监控)也是一个很好的做法。

有关如何实现此目的的更多详细信息,请参阅检测进攻性 PowerShell 攻击工具。

于 2017-03-13T08:33:27.680 回答