Bloqueando execução PowerShell via Group Policy (Contra RANSOMWARE)

​Nesse artigo vamos mostrar como podemos bloquear a execução do PowerShell utilizando o Group Policy em um domínio Windows Server. Com o crescimento e novos ataques RANSOMWARE, muitos administradores estão procurando formas de barras os ataques e eliminando buracos de segurança em seus cenários.

O PowerShell é umas das ferramentas mais poderosas e infelizmente cada vez mais utilizadas nos ataques Ransoware. Para diminuir esse risco, você poderá criar GPO, bloqueando a execução do PowerShell para usuários comuns ou até mesmo administradores que não utilizam os recursos. Vamos ver na prática como fazer:

Primeiramente acesse o “Painel de Controle”“Ferramentas Administrativas” e clique em “Gerenciamento de Política de Grupo”:

Escolha a unidade organizacional que deseja aplicar essa GPO. Essa etapa é muito importante para definir quem são os usuário que não deverão rodar o PowerShell. Clique em “Criar uma GPO neste domínio e fornecer um link…”:

Insira um nome para a sua GPO. Em nosso exemplo escolhemos o nome: “Block PowerShell”:

Encontre a GPO e clique com “Editar”, como mostramos na imagem abaixo:

Siga o caminho “Configurações do Usuário” / “Modelos Administrativos” / “Sistema”. Na raiz de sistemas clique em “Não executar aplicativos do Windows especificados”:

Cliquem em “Habilitado” e depois em “Mostrar”:

Insira os executáveis “PowerShell.exe” e “PowerShell_ise.exe”:

Force a atualização da GPO, para adiantar o processo de replicação utilizando o comando “gpupdate /force” como mostramos na imagem abaixo:

Pronto! Sua GPO será aplicada para a unidade organizacional que você escolheu e os usuários que fazem parte dela não conseguirão executar o PowerShell. Muitos ataques são realizados a partir de usuários comuns ou contas de sistema, portanto, efetue o bloqueio de quem você achar necessário para deixar seu cenário ainda mais seguro. Espero que esse artigo ajude todos os administradores em ITPRO.