Revoir Windows PowerShell et AppLocker
Bien que la stratégie d’exécution de script Windows PowerShell offre un filet de sécurité aux utilisateurs inexpérimentés, elle n’est pas très flexible. Quand vous définissez une stratégie d’exécution, vous pouvez uniquement vérifier que le script a été téléchargé et qu’il est signé.
AppLocker offre un autre moyen de contrôler l’utilisation de scripts Windows PowerShell. Avec AppLocker, vous pouvez définir différentes restrictions qui limitent l’exécution de scripts spécifiques ou de scripts situés à des emplacements spécifiques. En outre, contrairement à la stratégie d’exécution AllSigned, AppLocker peut autoriser les scripts signés uniquement par des éditeurs spécifiques.
Dans Windows PowerShell 5.0, un nouveau niveau de sécurité a été ajouté pour l’utilisation d’AppLocker en vue de sécuriser les scripts. Si un script est arrêté à une invite interactive à des fins de débogage, par exemple, les commandes entrées dans l’invite interactive peuvent également être limitées. Quand une stratégie AppLocker en mode Autoriser est détectée, les invites interactives pendant l’exécution de scripts sont limitées au mode ConstrainedLanguage.
Le mode ConstrainedLanguage autorise toutes les fonctionnalités Windows PowerShell de base telles que les constructions de script. Il permet également le chargement des modules inclus dans Windows. Toutefois, il limite la possibilité d’exécuter du code arbitraire et d’accéder aux objets Microsoft .NET. Le mode ConstrainedLanguage bloque l’un des vecteurs qu’un attaquant peut utiliser pour exécuter du code non autorisé.
Lecture supplémentaire : Pour plus d’informations sur le mode ConstrainedLanguage, consultez about_Language_Modes dans l’aide Windows PowerShell ou À propos des modes linguistiques.