forum.khd.ru

Вернуться   Форум ХДС > Hard'n'Soft > Windows, Программы
Windows, Программы Все о настройке и использовании Windows и ПО

Ответ
19.10.2016, 14:41   #1
Vitokhv

Генерал-майор
 
Аватар для Vitokhv
 
Сообщений: 406
Сказал(а) спасибо: 95
Поблагодарили 185 раз(а) в 129 сообщениях
Вес репутации: 10
Репутация: 5



Отправить сообщение для Vitokhv с помощью ICQ

Exclamation Заблокировать, отключить, удалить - PowerShell

Каким способом можно заблокировать, отключить, удалить PowerShell, чтобы при обращении к файлу powershell.exe скрипт не смог запуститься.

Должен ведь быть способ запретить/отключить PowerShell в реестре...
Vitokhv вне форума Ответить с цитированием
19.10.2016, 16:04   #2
Saifer

не ХДС
 
Аватар для Saifer
 
Сегмент ХДС: Центральный
Адрес: ех 46.8.131.22 ex 10.3.65.23
Сообщений: 3,687
Сказал(а) спасибо: 369
Поблагодарили 845 раз(а) в 656 сообщениях
Вес репутации: 13
Репутация: 94




По умолчанию Re: Заблокировать, отключить, удалить - PowerShell

по умолчанию выполнение скриптов отключено.

варианты решения:
- powershell.exe удалить, не?
- GPO
- HKEY_CURRENT_USER\Software\Microsoft\PowerShell\1\ ShellIds\Microsoft.PowerShell
там парамерт executionPolicy крутить-вертеть.
варианты:
Restricted – эта политика выполнения по умолчанию. Допускает отдельные команды, но сценарии выполнять нельзя.
AllSigned – здесь выполнение сценариев разрешено, но необходимо наличие цифровой подписи надежного издателя на всех сценариях и файлах конфигураций, включая сценарии, написанные на локальном компьютере. Также при такой политике запрашивают подтверждение перед выполнением сценариев надежных издателей. Однако при этом существует опасность того, что подписанные, но вредоносные сценарии выполняются.
RemoteSigned – при таком статусе политики выполнение сценариев также разрешено. Необходимо наличие цифровой подписи надежного издателя на всех сценариях и файлах конфигураций, загруженных из Интернета (включая электронную почту и программы мгновенного обмена сообщениями). Нет необходимости в цифровых подписях на сценариях, запускаемых с локального компьютера. Не запрашивают подтверждения перед выполнением сценариев надежных издателей. Подписанные, но вредоносные сценарии также выполняются.
Unrestricted – самая демократичная политика, позволяет запускать неподписанные сценарии. Сценарии и файлы конфигурации, загруженные из Интернета (включая Microsoft Outlook, Outlook Express и Windows Messenger), выполняются после предупреждения, что данный файл был загружен из Интернета. Как и следовало ожидать, при таком статусе также возможно выполнение вредоносных сценариев. Думаю, использование данного статуса политики выполнения возможно только на тестовых машинах, так как в реальных сетях это крайне небезопасно.

зы: было бы хорошо, если бы еще версия винды указывалась )))
в каком-нибудь сервер-2016 реестр другой )))
Saifer вне форума Ответить с цитированием
Пользователь сказал cпасибо:
Vitokhv (19.10.2016)
19.10.2016, 20:20   #3
Vitokhv

Генерал-майор
 
Аватар для Vitokhv
 
Сообщений: 406
Сказал(а) спасибо: 95
Поблагодарили 185 раз(а) в 129 сообщениях
Вес репутации: 10
Репутация: 5



Отправить сообщение для Vitokhv с помощью ICQ

По умолчанию Re: Заблокировать, отключить, удалить - PowerShell

Спасибо за ветку реестра, покручу-поверчу

Windows XP (вроде как не установлен в нем PowerShell но есть искючения)
Windows 7
Windows 8
Windows 8.1
Windows 10

Вроде как и сервера защитить нужно:
Windows Server 2008 R2
Windows Server 2012
Vitokhv вне форума Ответить с цитированием
19.10.2016, 21:01   #4
Vitokhv

Генерал-майор
 
Аватар для Vitokhv
 
Сообщений: 406
Сказал(а) спасибо: 95
Поблагодарили 185 раз(а) в 129 сообщениях
Вес репутации: 10
Репутация: 5



Отправить сообщение для Vitokhv с помощью ICQ

По умолчанию Re: Заблокировать, отключить, удалить - PowerShell

Удалить нельзя так как этого просто нет, или не там ищу (Winodws 7+ и XP).
Попробовал манипуляции с веткой реестра, не помогло.

Чтобы понять почему не помогает, по желанию посмотрите топик: http://safezone.cc/threads/fixrun-fi...-7#post-237401
Так как вся суть, в скрипте .JS который содержит внутри себя команды PowerShell
Vitokhv вне форума Ответить с цитированием
Ответ


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Текущее время: 16:05. Часовой пояс GMT +11.
Яндекс.Метрика