(16.07.2017, 12:30)M napisał(a):[Aby zobaczyć linki, zarejestruj się tutaj]
Zrobiłem krótki test. Hard_Configurator przy no Powershell exec ustawionym na on ustawia na sztywno execution policy i nie pozwala zmienić w żaden prosty sposób, ani ominąć przez parametr przy uruchomieniu PS. Niestety, wciąż można umieścić komendę jako wartość skrótu i odpalić w ten sposób komendę.
...
1. Czerwone znaczki oznaczają, że próba uruchomienia skryptu Powershell została w rzeczywistości zablokowana! Opcja <No Powershell Exec.> nie blokuje Powershell, blokuje tylko uruchamianie skryptów poza konsolą Powershell. Oznacza to, że malware nie może wykorzystać komend, skrótów itp. z plikami wykonywalnymi Powershell (tj.: powershell.exe lub powershell_ise.exe). Natomiast użytkownik może wykorzystywać nadal konsolę Powershell jeśli wpisuje komendy ręcznie.
2. Jeśli ktoś używa Hard_Configuratora z aktywnymi SRP (Software Restriction Policies) w Windows 10, to większość skryptów będzie blokowana nawet gdy opcja <No PowerShell Exec> jest wyłączona. Wtedy domyślnie są włączone :
ExecutionPolicy = Restricted (domyślne ustawienie Windows 10, łatwo je ominąć)
Constrained Language mode (SRP włącza je domyślnie w PowerShell 5.0+).
3. Hard_Configurator w domyślnych ustawieniach, pozwala na odpalanie skrótów tylko w kilku wybranych katalogach (m.inn. w katalogu 'Pulpit'). W pozostałych katalogach, np. w katalogu 'Pobrane' dowolny skrót zostanie zablokowany. Oczywiście jeśli ktoś chce, to może ustawić SRP aby wszędzie blokowały uruchamianie skrótów .
Pozdrawiam.
P.S.
Jeśli jesteś zainteresowany testowaniem zabezpieczeń PowerShell, to pomocny będzie wątek, który otworzyłem swojego czasu na forum Malwaretips:
[Aby zobaczyć linki, zarejestruj się tutaj]
Testowałem tam m.inn. zabezpieczenia programu VoodooShield.