ตรวจทาน Windows PowerShell และ AppLocker

เสร็จสมบูรณ์เมื่อ

ในขณะที่นโยบายการดําเนินการสคริปต์ Windows PowerShell มีเครือข่ายความปลอดภัยสําหรับผู้ใช้ที่ไม่มีประสบการณ์ แต่ก็ไม่ยืดหยุ่นมาก เมื่อคุณตั้งค่านโยบายการดําเนินการ คุณสามารถตรวจสอบว่าสคริปต์ถูกดาวน์โหลดและมีการลงชื่อแล้วเท่านั้น

อีกทางเลือกหนึ่งสําหรับการควบคุมการใช้สคริปต์ Windows PowerShell คือ AppLocker ด้วย AppLocker คุณสามารถตั้งค่าข้อจํากัดต่าง ๆ ที่จํากัดการเรียกใช้สคริปต์หรือสคริปต์เฉพาะในตําแหน่งที่ตั้งเฉพาะ นอกจากนี้ ไม่เหมือนกับนโยบายการดําเนินการ ของ AllSigned คือ AppLocker สามารถอนุญาตสคริปต์ที่ลงนามโดยผู้เผยแพร่บางรายเท่านั้น

ใน Windows PowerShell 5.0 ระดับความปลอดภัยใหม่ถูกเพิ่มสําหรับการใช้ AppLocker เพื่อรักษาความปลอดภัยสคริปต์ ถ้ามีการหยุดสคริปต์ที่พร้อมท์แบบโต้ตอบสําหรับวัตถุประสงค์เช่นการดีบัก คําสั่งที่ป้อนในพร้อมท์แบบโต้ตอบอาจถูกจํากัด เมื่อตรวจพบนโยบาย AppLocker ใน อนุญาตโหมด ระบบจะแสดงพร้อมท์แบบโต้ตอบเมื่อเรียกใช้สคริปต์ โหมด ConstrainedLanguage

โหมด ConstrainedLanguage จะช่วยให้ทุกฟังก์ชันการทํางานหลักของ Windows PowerShell เช่น การสร้างสคริปต์ นอกจากนี้ยังอนุญาตให้โหลดโมดูลที่รวมอยู่ใน Windows อย่างไรก็ตาม จะจํากัดการเข้าถึงเพื่อเรียกใช้โค้ดตามอําเภอใจและเข้าถึงวัตถุ Microsoft .NET โหมด ConstrainedLanguage จะบล็อกหนึ่งในเวกเตอร์ที่ผู้โจมตีสามารถใช้เพื่อเรียกใช้โค้ดที่ไม่ได้รับอนุญาต

การอ่านเพิ่มเติม: สําหรับข้อมูลเพิ่มเติมเกี่ยวกับโหมด ของ ConstrainedLanguage โปรดดู about_Language_Modes ในวิธีใช้ Windows PowerShell หรือ เกี่ยวกับโหมดภาษา