Bloqueando execução PowerShell via Group Policy (Contra RANSOMWARE)
Nesse artigo vamos mostrar como podemos bloquear a execução do PowerShell utilizando o Group Policy em um domínio Windows Server. Com o crescimento e novos ataques RANSOMWARE, muitos administradores estão procurando formas de barras os ataques e eliminando buracos de segurança em seus cenários.
O PowerShell é umas das ferramentas mais poderosas e infelizmente cada vez mais utilizadas nos ataques Ransoware. Para diminuir esse risco, você poderá criar GPO, bloqueando a execução do PowerShell para usuários comuns ou até mesmo administradores que não utilizam os recursos. Vamos ver na prática como fazer:
Primeiramente acesse o “Painel de Controle”, “Ferramentas Administrativas” e clique em “Gerenciamento de Política de Grupo”:
Escolha a unidade organizacional que deseja aplicar essa GPO. Essa etapa é muito importante para definir quem são os usuário que não deverão rodar o PowerShell. Clique em “Criar uma GPO neste domínio e fornecer um link…”:
Insira um nome para a sua GPO. Em nosso exemplo escolhemos o nome: “Block PowerShell”:
Encontre a GPO e clique com “Editar”, como mostramos na imagem abaixo:
Siga o caminho “Configurações do Usuário” / “Modelos Administrativos” / “Sistema”. Na raiz de sistemas clique em “Não executar aplicativos do Windows especificados”:
Cliquem em “Habilitado” e depois em “Mostrar”:
Insira os executáveis “PowerShell.exe” e “PowerShell_ise.exe”:
Force a atualização da GPO, para adiantar o processo de replicação utilizando o comando “gpupdate /force” como mostramos na imagem abaixo:
Pronto! Sua GPO será aplicada para a unidade organizacional que você escolheu e os usuários que fazem parte dela não conseguirão executar o PowerShell. Muitos ataques são realizados a partir de usuários comuns ou contas de sistema, portanto, efetue o bloqueio de quem você achar necessário para deixar seu cenário ainda mais seguro. Espero que esse artigo ajude todos os administradores em ITPRO.
Vale Lembrar que na sua regra, se o powershell.exe for renomeado para te_enganei.exe vai rodar normalmente.
Método ineficaz contra Ransomware, regra falha.