Bloqueando execução PowerShell via Group Policy (Contra RANSOMWARE)

​Nesse artigo vamos mostrar como podemos bloquear a execução do PowerShell utilizando o Group Policy em um domínio Windows Server. Com o crescimento e novos ataques RANSOMWARE, muitos administradores estão procurando formas de barras os ataques e eliminando buracos de segurança em seus cenários.
O PowerShell é umas das ferramentas mais poderosas e infelizmente cada vez mais utilizadas nos ataques Ransoware. Para diminuir esse risco, você poderá criar GPO, bloqueando a execução do PowerShell para usuários comuns ou até mesmo administradores que não utilizam os recursos. Vamos ver na prática como fazer:
Primeiramente acesse o “Painel de Controle”“Ferramentas Administrativas” e clique em “Gerenciamento de Política de Grupo”:

Escolha a unidade organizacional que deseja aplicar essa GPO. Essa etapa é muito importante para definir quem são os usuário que não deverão rodar o PowerShell. Clique em “Criar uma GPO neste domínio e fornecer um link…”:

Insira um nome para a sua GPO. Em nosso exemplo escolhemos o nome: “Block PowerShell”:

Encontre a GPO e clique com “Editar”, como mostramos na imagem abaixo:

Siga o caminho “Configurações do Usuário” / “Modelos Administrativos” / “Sistema”. Na raiz de sistemas clique em “Não executar aplicativos do Windows especificados”:

Cliquem em “Habilitado” e depois em “Mostrar”:

Insira os executáveis “PowerShell.exe” e “PowerShell_ise.exe”:

Force a atualização da GPO, para adiantar o processo de replicação utilizando o comando “gpupdate /force” como mostramos na imagem abaixo:

Pronto! Sua GPO será aplicada para a unidade organizacional que você escolheu e os usuários que fazem parte dela não conseguirão executar o PowerShell. Muitos ataques são realizados a partir de usuários comuns ou contas de sistema, portanto, efetue o bloqueio de quem você achar necessário para deixar seu cenário ainda mais seguro. Espero que esse artigo ajude todos os administradores em ITPRO.

Share

    Comments

    1. Vale Lembrar que na sua regra, se o powershell.exe for renomeado para te_enganei.exe vai rodar normalmente.

      Método ineficaz contra Ransomware, regra falha.

    Deixe um comentário

    O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

    © 2019 All Rights Reserved. Cooperati. 

    %d blogueiros gostam disto: