Wenz Cursos

Nesse artigo vamos mostrar como podemos bloquear a execução do PowerShell utilizando o Group Policy em um domínio Windows Server. Com o crescimento e novos ataques Ransoware, muitos administradores estão procurando formas de barras os ataques e eliminando buracos de segurança em seus cenários.

O PowerShell é umas das ferramentas mais poderosas e infelizmente cada vez mais utilizadas nos ataques RANSOMWARE. Para diminuir esse risco, você poderá criar GPO, bloqueando a execução do PowerShell para usuários comuns ou até mesmo administradores que não utilizam os recursos. Vamos ver na prática como fazer:

Primeiramente acesse o "Painel de Controle", "Ferramentas Administrativas" e clique em "Gerenciamento de Política de Grupo": 

Escolha a unidade organizacional que deseja aplicar essa GPO. Essa etapa é muito importante para definir quem são os usuário que não deverão rodar o PowerShell. Clique em "Criar uma GPO neste domínio e fornecer um link...": 

Insira um nome para a sua GPO. Em nosso exemplo escolhemos o nome: "Block PowerShell":

Encontre a GPO e clique com "Editar", como mostramos na imagem abaixo:

Siga o caminho "Configurações do Usuário" / "Modelos Administrativos" / "Sistema". Na raiz de sistemas clique em "Não executar aplicativos do Windows especificados": 

Cliquem em "Habilitado" e depois em "Mostrar": 

Insira os executáveis "PowerShell.exe" e "PowerShell_ise.exe": 

Force a atualização da GPO, para adiantar o processo de replicação utilizando o comando "gpupdate /force" como mostramos na imagem abaixo: