Yaptığım araştırmalarda Power Shell Disalke etmek için gpo da aşağıdaki adımları uygulamam gerektiği söyleniyor Seçenekler doğrumudur ayrıca yanlış hatılamıyorsam cmd engellmesi için GPo içerisinden ayarını aktif etmemiz yeterliydi power shell için gpo içerisinde bir alan varmı yoksa görseldeki gibimi ilerlemem gerekiyor.
'balık vermez, nasıl tutulabildiğine yönlendirir' **************************************************************** Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır. *****************************************************************
Hemen uygulayacagım Teşekkürler. İbrahim bey biz client pc lerde powershell ve cmd çalıştırmayı engelliyoruz güvenlik açısından yaptığımız uygulama sizce ne derece doğru tecrübenize dayanaraktan soruyorum ? Client tarafında başka engellememiz gereken bir yer varmıdır windowsta ?
Niçin engelliyorsunuz? Güvenlik, bulaşmalar için ise applocker ile bir whitelist tool mantığı yürütebilirsiniz. https://www.cozumpark.com/applocker/ applocker araştırabilirsin. Yalnız bunun gibi uygulamalar yaptığınız kullanıcılar local admin olmamalı. Nadir de olsa bulaştıktan sonra ör ps devralarak çalıştırabiliyorlar. Application control ü bir av gibi bir çözümle yapmanız daha da iyi olur örneğin şöyle senaryolarla çalışır vssadmin kapatamazsınız shadowları farklı bir .exe silmeye kalkarsa onu kill eder bildirir, bir exe ps script çalıştırmaya çalışıyorsa kill eder gibi.
'balık vermez, nasıl tutulabildiğine yönlendirir' **************************************************************** Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır. *****************************************************************
Niçin engelliyorsunuz? Güvenlik, bulaşmalar için ise applocker ile bir whitelist tool mantığı yürütebilirsiniz. https://www.cozumpark.com/applocker/ applocker araştırabilirsin. Yalnız bunun gibi uygulamalar yaptığınız kullanıcılar local admin olmamalı. Nadir de olsa bulaştıktan sonra ör ps devralarak çalıştırabiliyorlar. Application control ü bir av gibi bir çözümle yapmanız daha da iyi olur örneğin şöyle senaryolarla çalışır vssadmin kapatamazsınız shadowları farklı bir .exe silmeye kalkarsa onu kill eder bildirir, bir exe ps script çalıştırmaya çalışıyorsa kill eder gibi.
İbrahim öncelikle cevabınız için teşekkürler evet güvenlik için client tarfında cmd power shell çalıştırmasını engelledik kullanıcı local admin şifrelerini admin password solution ile merkezileştirdik Cevabınızdan şunu anlıyorum Application control ile white list oluşturup Sadece kullandıkları porgramlara izin vermek dahamı mantıklı rdp gibi excel gibi autocad av uzaktan baplantı 3 parti progamlar gibi veya herhangi başka bir exe gibi ? help desk ekibide sonuçta bağlandığında cihazlara localde yetkili olduklarımdan istediklerini gerçekleştirebilecekler. Anladığım bu yanlışım varsa düzeltin.
Policy ve bu işi yapan uygulamalarda computer olabileceği gibi user bazlı hareket ediliyor. applocker makalelerini okuyun. https://www.cozumpark.com/symantec-endpoint-protection-application-and-device-control/ https://www.cozumpark.com/mcafee-integrity-control/ bu eski verilerin de güncellerini okuyun bu portalda kaynak çok. 2 şekilde de hareket edilebilir Whitelist (bütün .exe'leri yasakla şunlara izin ver), Blacklist (şunları yasakla). Fakat bunların aşım yöntemleri de var. Etkin kontrolü 3rd uygulanın sandbox gibi çözümleriyle faaliyet biçimine bakıyor.
'balık vermez, nasıl tutulabildiğine yönlendirir' **************************************************************** Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır. *****************************************************************
Yaptığım araştırmalarda Power Shell Disalke etmek için gpo da aşağıdaki adımları uygulamam gerektiği söyleniyor Seçenekler doğrumudur ayrıca yanlış hatılamıyorsam cmd engellmesi için GPo içerisinden ayarını aktif etmemiz yeterliydi power shell için gpo içerisinde bir alan varmı yoksa görseldeki gibimi ilerlemem gerekiyor.
Merhabalar,
Yukarıdaki işlemleri gerçekleştirerek PowerShell Disable işlemi gerçekleştirdim yardımlarınız için teşekkürler.
