Forum

Ad Ortamında Power ...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Ad Ortamında Power Shell Disable

7 Yazılar
2 Üyeler
0 Reactions
2,515 Görüntüleme
(@ozgurdaghanci)
Gönderiler: 262
Reputable Member
Konu başlatıcı
 

Herkese merhabalar.

 

Yaptığım araştırmalarda Power Shell Disalke etmek için gpo da aşağıdaki adımları uygulamam gerektiği söyleniyor Seçenekler doğrumudur ayrıca yanlış hatılamıyorsam cmd engellmesi için GPo içerisinden ayarını aktif etmemiz yeterliydi power shell için gpo içerisinde bir alan varmı yoksa görseldeki gibimi ilerlemem gerekiyor.

 

 

 

image
 
Gönderildi : 28/02/2020 14:22

ibrahim yildiz
(@ibrahimyildiz)
Gönderiler: 4557
Co-Helper
 

Evet doğru.
https://community.spiceworks.com/topic/1183987-disabling-powershell-with-group-policy

'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 28/02/2020 16:21

(@ozgurdaghanci)
Gönderiler: 262
Reputable Member
Konu başlatıcı
 
Gönderen: @ibrahimyildiz

Evet doğru.
https://community.spiceworks.com/topic/1183987-disabling-powershell-with-group-policy

Hemen uygulayacagım Teşekkürler. İbrahim bey biz client pc lerde powershell ve cmd çalıştırmayı engelliyoruz güvenlik açısından yaptığımız uygulama sizce ne derece doğru tecrübenize dayanaraktan soruyorum ? Client tarafında başka engellememiz gereken bir yer varmıdır windowsta ?

 
Gönderildi : 28/02/2020 18:07

ibrahim yildiz
(@ibrahimyildiz)
Gönderiler: 4557
Co-Helper
 

Niçin engelliyorsunuz? Güvenlik, bulaşmalar için ise applocker ile bir whitelist tool mantığı yürütebilirsiniz.
https://www.cozumpark.com/applocker/
applocker araştırabilirsin. 
Yalnız bunun gibi uygulamalar yaptığınız kullanıcılar local admin olmamalı. Nadir de olsa bulaştıktan sonra ör ps devralarak çalıştırabiliyorlar.
Application control ü bir av gibi bir çözümle yapmanız daha da iyi olur örneğin şöyle senaryolarla çalışır vssadmin kapatamazsınız shadowları farklı bir .exe silmeye kalkarsa onu kill eder bildirir, bir exe ps script çalıştırmaya çalışıyorsa kill eder gibi.

'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 28/02/2020 18:40

(@ozgurdaghanci)
Gönderiler: 262
Reputable Member
Konu başlatıcı
 
Gönderen: @ibrahimyildiz

Niçin engelliyorsunuz? Güvenlik, bulaşmalar için ise applocker ile bir whitelist tool mantığı yürütebilirsiniz.
https://www.cozumpark.com/applocker/
applocker araştırabilirsin. 
Yalnız bunun gibi uygulamalar yaptığınız kullanıcılar local admin olmamalı. Nadir de olsa bulaştıktan sonra ör ps devralarak çalıştırabiliyorlar.
Application control ü bir av gibi bir çözümle yapmanız daha da iyi olur örneğin şöyle senaryolarla çalışır vssadmin kapatamazsınız shadowları farklı bir .exe silmeye kalkarsa onu kill eder bildirir, bir exe ps script çalıştırmaya çalışıyorsa kill eder gibi.

İbrahim öncelikle cevabınız için teşekkürler evet güvenlik için client tarfında cmd power shell çalıştırmasını engelledik  kullanıcı local admin şifrelerini admin password solution ile merkezileştirdik  Cevabınızdan şunu anlıyorum Application control ile white list oluşturup  Sadece kullandıkları porgramlara izin vermek dahamı mantıklı rdp gibi excel gibi autocad av uzaktan baplantı 3 parti progamlar gibi veya herhangi başka bir exe gibi ? help desk ekibide sonuçta bağlandığında cihazlara localde yetkili olduklarımdan istediklerini gerçekleştirebilecekler. Anladığım bu yanlışım varsa düzeltin.

 
Gönderildi : 29/02/2020 11:36

ibrahim yildiz
(@ibrahimyildiz)
Gönderiler: 4557
Co-Helper
 

Policy ve bu işi yapan uygulamalarda computer olabileceği gibi user bazlı hareket ediliyor. applocker makalelerini okuyun.
https://www.cozumpark.com/symantec-endpoint-protection-application-and-device-control/
https://www.cozumpark.com/mcafee-integrity-control/
bu eski verilerin de güncellerini okuyun bu portalda kaynak çok. 2 şekilde de hareket edilebilir Whitelist (bütün .exe'leri yasakla şunlara izin ver), Blacklist (şunları yasakla). Fakat bunların aşım yöntemleri de var. Etkin kontrolü 3rd uygulanın sandbox gibi çözümleriyle faaliyet biçimine bakıyor.

'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 29/02/2020 14:36

(@ozgurdaghanci)
Gönderiler: 262
Reputable Member
Konu başlatıcı
 
Gönderen: @ozgurdaghanci

Herkese merhabalar.

 

Yaptığım araştırmalarda Power Shell Disalke etmek için gpo da aşağıdaki adımları uygulamam gerektiği söyleniyor Seçenekler doğrumudur ayrıca yanlış hatılamıyorsam cmd engellmesi için GPo içerisinden ayarını aktif etmemiz yeterliydi power shell için gpo içerisinde bir alan varmı yoksa görseldeki gibimi ilerlemem gerekiyor.

 

 

 

image

Merhabalar,

 

Yukarıdaki işlemleri gerçekleştirerek PowerShell Disable işlemi gerçekleştirdim yardımlarınız için teşekkürler.

 
Gönderildi : 09/03/2020 11:42

Paylaş: