Cómo deshabilitar PowerShell usando la Política de grupo

En esta guía, le mostraré cómo deshabilitar PowerShell usando la Política de grupo. Además, le mostraré cómo habilitarlo para ciertos usuarios, como administración, dejándolo deshabilitado para todos los demás usuarios.

¿Por qué deshabilitar PowerShell?

Los atacantes suelen utilizar PowerShell para propagar malware a través de una red. PowerShell está habilitado de forma predeterminada en Windows 10 para todos los usuarios, los atacantes pueden usar esta herramienta para ejecutar comandos maliciosos, acceder al sistema de archivos, registro y más. El ransomware a menudo se distribuye a través de la red a través de PowerShell. Para obtener más información, recomiendo leer este documento técnico -> Cartilla de seguridad - Ryuk

Índice
  • Pasos para deshabilitar PowerShell usando la Política de grupo
  • Paso 2: habilitar PowerShell para administradores
  • Conclusión
  • Pasos para deshabilitar PowerShell usando la Política de grupo

    Paso 1: encuentre la ruta al archivo PowerShell.exe

    El PowerShell.exe predeterminado está en esta carpeta -> C:WindowsSystem32WindowsPowerShellv1.0

    Para probar esto en su ordenador, abra Powershell, luego abra el Administrador de tareas, vaya a la pestaña Detalles, desplácese hacia abajo hasta powershell.exe fino, haga clic con el botón derecho y seleccione "abrir ubicación de archivo".

    El Explorador de Windows se abrirá en la carpeta powershell.exe. Anote este lugar, ya que será útil en el siguiente paso.

    Paso 2: Cree un GPO para bloquear PowerShell.exe

    1. Abra la Consola de administración de políticas de grupo

    Ahora cree y vincule un nuevo GPO a una unidad organizativa que tenga las cuentas de los usuarios a los que desea bloquear el acceso. Tengo a todos mis usuarios en una unidad organizativa llamada "Usuarios ADPRO", así que los vincularé allí.

    Asigne un nombre al nuevo GPO. Me gusta ser descriptivo con los títulos para que sea fácil de entender.

    Ahora que ha creado un nuevo GPO, el siguiente paso será editar la configuración.

    2. Edite el GPO y vaya a -> Configuración de usuario -> Políticas -> Configuración de Windows -> Configuración de seguridad -> Política de restricción de software

    Ahora haga clic con el botón derecho en "Políticas de restricción de software" y seleccione "Nuevas políticas de restricción de software".

    Seleccione "Reglas adicionales", luego haga clic derecho y seleccione "Nueva regla de ruta"

    Ahora haga clic en el botón de exploración y seleccione el archivo powershell.exe de la ruta en el paso 1. La ruta más común es> C: Windows System32 WindowsPowerShell v1.0.

    Establezca el nivel de seguridad en "Prohibido". Haga clic en Aceptar.

    Ahora reinicie su ordenador para que la política surta efecto. Ahora, si está intentando ejecutar PowerShell, debería recibir el siguiente mensaje.

    Puede repetir estos pasos para PowerShell ISE o cualquier otra aplicación que desee bloquear.

    Esto lo bloquea para cualquier usuario de la unidad organizativa al que haya aplicado el GPO. Para habilitarlo para usuarios específicos, siga estos pasos:

    Paso 2: habilitar PowerShell para administradores

    En esta sección, le mostraré cómo habilitar la Política de grupo para usuarios específicos, como los administradores.

    1. Cree un nuevo grupo de seguridad de Active Directory.

    Llámelo como quiera, me gusta ser descriptivo con los objetos para que otros administradores puedan entender rápidamente para qué se utiliza. Llamé a mi grupo "GPO - Habilitar PowerShell"

    Ahora agregue a cualquier usuario como miembro de este grupo para el que desee tener permiso para ejecutar PowerShell.

    2. Cambiar la delegación de GPO

    Ahora regrese al GPO que creó en el paso 1 y haga clic en la pestaña de delegación.

    Haga clic en "Avanzado"

    Haga clic en "Agregar" y luego seleccione el grupo de seguridad que creó que tiene los usuarios para los que desea habilitar PowerShell. Haga clic en Aceptar.

    En la sección Permisos, asegúrese de que el grupo esté seleccionado y tenga solo esos permisos

    • La lectura está configurada en "permitir"
    • Aplicar directiva de grupo establecida en Denegar

    Haga clic en Aceptar.

    Ahora, a cualquier usuario que agregue al grupo de seguridad se le negará esta política y se le permitirá ejecutar PowerShell.

    Conclusión

    PowerShell es una gran herramienta para los administradores, pero las entidades malintencionadas abusan cada vez más de ella para difundir la idea del rescate en línea. Recomiendo seguir el principio de privilegio mínimo y brindar a los usuarios el nivel mínimo de acceso requerido para realizar sus responsabilidades laborales. La mayoría de los usuarios no requieren PowerShell, por lo que se recomienda que lo deshabilite para estos usuarios. Asegúrese de probar este tipo de cambios antes de distribuirlos a nuestra empresa y obtenga la aprobación con la documentación para cubrirse. La gestión de cambios es excelente para este tipo de cambios en todo el sistema.

    Artículos de interés

    Subir