Изучение Windows PowerShell и AppLocker
Хотя политика выполнения скриптов Windows PowerShell предоставляет безопасную сеть для неопытных пользователей, значит, она недостаточно гибкая. При настройке политики выполнения можно проверить только загрузку скрипта и его подписывание.
Еще одной альтернативой для контроля и использования скриптов Windows PowerShell является AppLocker. С помощью AppLocker можно задать различные запреты, ограничивающие выполнение определенных скриптов или скриптов в определенных расположениях. Кроме того, в отличие от политики выполнения AllSigned AppLocker может разрешать сценарии, подписанные только конкретными издателями.
В Windows PowerShell 5.0 добавлен новый уровень безопасности, который позволяет использовать AppLocker для защиты скриптов. Если скрипт остановлен в интерактивном запросе для такой цели, как отладка, то команды, введенные в интерактивной строке, также могут быть ограничены. При обнаружении политики AppLocker в режиме Разрешение интерактивные запросы при выполнении скриптов ограничены режимом LimitedLanguage.
Режим ConstrainedLanguage позволяет использовать все основные функциональные возможности Windows PowerShell, такие как конструкции для написания скриптов. Он также позволяет загружать модули, содержащиеся в Windows. Однако он ограничивает доступ к выполняемому произвольному коду, а также доступ к объектам Microsoft .NET. Режим ConstrainedLanguage блокирует один из векторов, которые злоумышленник может использовать для выполнения несанкционированного кода.
Дополнительные сведения. Дополнительные сведения о режиме ConstrainedLanguage см. в разделе about_Language_Modes справки Windows PowerShell или в разделе Сведения о режимах Azure Cognitive Service для языковой службы.