GPO ile PowerShell Nasıl Devre Dışı Bırakılır

Merhaba ben Mert ALTUNTAŞ, bugün sizlere PowerShell'i GPO ile nasıl devre dışı bırakacağımızı göstereceğim. Ek olarak, diğer tüm kullanıcılar için devre dışı bırakırken yöneticiler gibi belirli kullanıcılar için nasıl etkinleştireceğinizi de bu yazımda yer vereceğim.

Aklımıza şu soru gelebilir PowerShell'i neden devre dışı bırakmalıyız?

PowerShell, kötü amaçlı yazılımları ağ genelinde yaymak için sıklıkla kullanılmaktadır. PowerShell, tüm kullanıcılar için Windows 10'da varsayılan olarak etkindir, saldırganlar bu aracı kötü amaçlı komutları çalıştırmak, dosya sistemine, kayıt defterine ve daha fazlasına erişmek için kullanabilmektedir. Fidye yazılımı genellikle PowerShell aracılığıyla ağ geneline yayılmaktadır.

Gelelim şimdi GPO ile PowerShell'i devre dışı bırakma adımlarına

Not: PowerShell'in bilgisayarlarınızda farklı bir sürüm veya birden çok sürümü yüklü olabilir, tüm PowerShell sürümlerini engellemek için birden çok yol kuralı oluşturmanız gerekmektedir. (32 bit için farklı 64 bit için farklı)

İlk Adımımız PowerShell.exe dosya yolunu bulmak olacaktır.

PowerShell için varsayılan yol default olarak  C:\Windows\System32\WindowsPowerShell\v1.0 'dir bu yolu kopyala yapıştır yaparak kontrol sağlayabilirsiniz.

Eğer bu yol doğru değilse bilgisayarınızda PowerShell çalıştırıp Görev Yöneticisini açıp detaylar kısmına gidip PowerShell.exe bulup sağ tıklayıp dosya konumunu aç diyebilirsiniz.

Gördüğünüz gibi Windows gezginimiz, powershell.exe'nin klasör konumunu açmaktadır. Daha sonraki adımımızda GPO kuralı oluşturacağımız için yukarıdaki yolu not etmeyi unutmayın.

İkinci adımımız GPO kuralı oluşturup PowerShell.exe'yi engellemektir.

Group Policy Management açılır ve yeni bir Group Policy oluşturulur. İsimlerle açıklayıcı olmayı sevdiğim için ne olduğunu bu policy kısmına yazıyorum bu yüzden anlaşılması daha kolay oluyor.

Tebrikler artık yeni bir GPO oluşturdunuz, bir sonraki adım ayarları düzenlemek olacaktır.

Oluşturduğunuz GPO edit dedikten sonra -> User Configuration -> Policies -> Windows Settings -> Security Settings -> Software Restriction Policies adımlarını takip edin.

Son olarak Additional Rules kısmını açın ve açılan sağ taraftaki panelde New Path Rule yazan (6.adım) tıklayın bu adımdan sonra karşınıza gelen pencerede.

Browse kısmına tıklayın powershell.exe yolunu takip edin ve security leveli disallowed olarak bırakın.

Küçük bir not: Başka bir seçenek de Hash kuralı kullanmaktır. Hash kuralının yararı, konumu ne olursa olsun dosyayı engellemesidir. Örneğin, PowerShell c:\software\ konumunda çalıştırmaya çalışılırsa, dosya yolu yerine Hash kuralı nedeniyle engellenmektedir. Bunun tek dezavantajı, PowerShell'in her sürümü için bir Hash kuralına ihtiyaç duyulmasıdır.

Bu işlemi yaptıktan sonra oluşturduğumuz bu GPO Userlar için Linklememiz gerekmektedir bunun içinde;

GPO üzerinde Userlar OU muza gidip Link an Existing GPO seçeneğine tıklamamız gerekmektedir.

Daha sonrasında karşımıza böyle bir ekran çıkacaktır bu çıkan ekranda oluşturduğumuz GPO bulup onu seçmemiz gerekmektedir bunu seçtikten sonra yeni oluşturduğumuz GPO sadece userlar üzerinde etkili olacaktır daha sonrasında bunu test edebilmek için var olan bir user veya yeni bir tane user oluşturarak bu user ile sign out > sign in diyebilir ya da bilgisayarınızı yeniden başlatabilirsiniz ve ardıdan powershell.exe bu kullanıcı için tekrar test edebilirsiniz kullanıcının doğru domainde olduğunu doğru GPO kurallarıyla açıldığına dikkat etmeyi unutmayın. Bu, GPO'yu uyguladığınız OU'daki herhrangi bir kullanıcı için engeller.

Kullanıcılar tekrar giriş yaptıktan sonra PowerShell çalıştırmayı denediklerinde aşağıdaki bilgilendirme mesajı ile karşı karşıya kalacaklardır.

PowerShell ISE veya engellemek istediğiniz diğer herhangi bir uygulama için bu adımları tekrarlayabilirsiniz.

Buradan sonraki adımlarımızda, PowerShell'i kullanıcılar için nasıl engelleyeceğinizi ancak yöneticiler için nasıl etkinleştireceğinizi göstereceğim. Yeni bir AD security grubu oluşturuyoruz.

Ben oluşturduğum grubun ismini açıklayıcı bırakıyorum ki ben ve benden sonraki gelen insanlar için okunması rahat olsun.

Oluşturduğum bu grubun içerisine bir tane kullanıcıda ekliyorum bunun yönetici olduğunu düşünelim.

Bir sonraki adımımız GPO üzerinde bu gruba izin vermek olacaktır. Öncelikle oluşturduğumuz GPO üzerine geliyoruz ve delegation bölümüne gidiyoruz burada ADD butonuna tıklıyoruz ve grubumuzu buraya ekliyoruz.

Bu adımdan sonra bu grubun özel iznini vermek kalıyor bunun içinde ilgili grubumuza tıklayıp Advanced butonuna basıyoruz bu sayede özel Security sekmemiz açılıyor.

Burada grubumuzun üzerine gelip şu şekilde izin vermemiz gerekmekte: Read hakkı olacak ama Apply Group Policy Deny olucak bu sayede bu kullanıcı grubu bizim Users-Disable-PowerShell GPO muzdan etkilenmeyecek.

Artık güvenlik grubuna eklediğiniz herhangi bir kullanıcı bu ilkeyi reddedecek ve PowerShell'i çalıştırmalarını sağlayacaktır.

Dipnot: PowerShell, yöneticiler için harika bir araçtır, ancak kötü niyetli aktörler tarafından fidye yazılımını ağ genelinde yaymak için giderek daha fazla kötüye kullanılmaktadır. En az ayrıcalık ilkesine bağlı kalmanızı ve kullanıcıların iş görevlerini yerine getirmek için gereken minimum düzeyde erişime sahip olmalarını sağlamanızı öneririm. Çoğu kullanıcının PowerShell'e ihtiyacı yoktur, bu nedenle bu kullanıcılar için devre dışı bırakmanız önerilir. Bu tür değişiklikleri şirket genelinde kullanıma sunmadan önce test ettiğinizden emin olun ve kendinizi kapsayacak belgelerle onay alın, sağlıcakla kalın.