Anasayfa » Forum

Ad Ortamında Power ...
 
Bildirimler

[Çözüldü] Ad Ortamında Power Shell Disable  

  RSS
Ozgur Daghanci
(@ozgurdaghanci)
Üye

Herkese merhabalar.

 

Yaptığım araştırmalarda Power Shell Disalke etmek için gpo da aşağıdaki adımları uygulamam gerektiği söyleniyor Seçenekler doğrumudur ayrıca yanlış hatılamıyorsam cmd engellmesi için GPo içerisinden ayarını aktif etmemiz yeterliydi power shell için gpo içerisinde bir alan varmı yoksa görseldeki gibimi ilerlemem gerekiyor.

 

 

 

image
Alıntı
Gönderildi : 28/02/2020 14:22
ibrahim yildiz
(@ibrahimyildiz)
Tecrübeli Üye

Evet doğru.
https://community.spiceworks.com/topic/1183987-disabling-powershell-with-group-policy

CevapAlıntı
Gönderildi : 28/02/2020 16:21
Ozgur Daghanci
(@ozgurdaghanci)
Üye
Gönderen: @ibrahimyildiz

Evet doğru.
https://community.spiceworks.com/topic/1183987-disabling-powershell-with-group-policy

Hemen uygulayacagım Teşekkürler. İbrahim bey biz client pc lerde powershell ve cmd çalıştırmayı engelliyoruz güvenlik açısından yaptığımız uygulama sizce ne derece doğru tecrübenize dayanaraktan soruyorum ? Client tarafında başka engellememiz gereken bir yer varmıdır windowsta ?

CevapAlıntı
Gönderildi : 28/02/2020 18:07
ibrahim yildiz
(@ibrahimyildiz)
Tecrübeli Üye

Niçin engelliyorsunuz? Güvenlik, bulaşmalar için ise applocker ile bir whitelist tool mantığı yürütebilirsiniz.
https://www.cozumpark.com/applocker/
applocker araştırabilirsin. 
Yalnız bunun gibi uygulamalar yaptığınız kullanıcılar local admin olmamalı. Nadir de olsa bulaştıktan sonra ör ps devralarak çalıştırabiliyorlar.
Application control ü bir av gibi bir çözümle yapmanız daha da iyi olur örneğin şöyle senaryolarla çalışır vssadmin kapatamazsınız shadowları farklı bir .exe silmeye kalkarsa onu kill eder bildirir, bir exe ps script çalıştırmaya çalışıyorsa kill eder gibi.

CevapAlıntı
Gönderildi : 28/02/2020 18:40
Ozgur Daghanci
(@ozgurdaghanci)
Üye
Gönderen: @ibrahimyildiz

Niçin engelliyorsunuz? Güvenlik, bulaşmalar için ise applocker ile bir whitelist tool mantığı yürütebilirsiniz.
https://www.cozumpark.com/applocker/
applocker araştırabilirsin. 
Yalnız bunun gibi uygulamalar yaptığınız kullanıcılar local admin olmamalı. Nadir de olsa bulaştıktan sonra ör ps devralarak çalıştırabiliyorlar.
Application control ü bir av gibi bir çözümle yapmanız daha da iyi olur örneğin şöyle senaryolarla çalışır vssadmin kapatamazsınız shadowları farklı bir .exe silmeye kalkarsa onu kill eder bildirir, bir exe ps script çalıştırmaya çalışıyorsa kill eder gibi.

İbrahim öncelikle cevabınız için teşekkürler evet güvenlik için client tarfında cmd power shell çalıştırmasını engelledik  kullanıcı local admin şifrelerini admin password solution ile merkezileştirdik  Cevabınızdan şunu anlıyorum Application control ile white list oluşturup  Sadece kullandıkları porgramlara izin vermek dahamı mantıklı rdp gibi excel gibi autocad av uzaktan baplantı 3 parti progamlar gibi veya herhangi başka bir exe gibi ? help desk ekibide sonuçta bağlandığında cihazlara localde yetkili olduklarımdan istediklerini gerçekleştirebilecekler. Anladığım bu yanlışım varsa düzeltin.

CevapAlıntı
Gönderildi : 29/02/2020 11:36
ibrahim yildiz
(@ibrahimyildiz)
Tecrübeli Üye

Policy ve bu işi yapan uygulamalarda computer olabileceği gibi user bazlı hareket ediliyor. applocker makalelerini okuyun.
https://www.cozumpark.com/symantec-endpoint-protection-application-and-device-control/
https://www.cozumpark.com/mcafee-integrity-control/
bu eski verilerin de güncellerini okuyun bu portalda kaynak çok. 2 şekilde de hareket edilebilir Whitelist (bütün .exe'leri yasakla şunlara izin ver), Blacklist (şunları yasakla). Fakat bunların aşım yöntemleri de var. Etkin kontrolü 3rd uygulanın sandbox gibi çözümleriyle faaliyet biçimine bakıyor.

CevapAlıntı
Gönderildi : 29/02/2020 14:36
Ozgur Daghanci
(@ozgurdaghanci)
Üye
Gönderen: @ozgurdaghanci

Herkese merhabalar.

 

Yaptığım araştırmalarda Power Shell Disalke etmek için gpo da aşağıdaki adımları uygulamam gerektiği söyleniyor Seçenekler doğrumudur ayrıca yanlış hatılamıyorsam cmd engellmesi için GPo içerisinden ayarını aktif etmemiz yeterliydi power shell için gpo içerisinde bir alan varmı yoksa görseldeki gibimi ilerlemem gerekiyor.

 

 

 

image

Merhabalar,

 

Yukarıdaki işlemleri gerçekleştirerek PowerShell Disable işlemi gerçekleştirdim yardımlarınız için teşekkürler.

CevapAlıntı
Gönderildi : 09/03/2020 11:42
Paylaş: