【Emotet対策】グループポリシー(GPO)でPowerShellの実行を一括で禁止にする方法

本記事では、グループポリシーでPowerShellの実行を禁止する方法を解説します。コンピューターウイルスのEmotetは、PowerShellをマクロから実行させてボットネットを構築するウイルスです。Emotet対策としてマクロを無効化する方法がありますが、マクロを無効化できない場合はPowerShellを無効化するのも対策の一つだと考えられます。

グループポリシー(GPO)の作成と適用手順

「グループポリシーて何?」という方は「グループポリシーの作成と適用手順」Active Directoryをフル活用して端末を完全制御しちゃおう!!で細かい説明をしていますのでご参照ください。実例を用いて説明をしていますので、全くの初心者でもグルーポプリシーが自由に扱えるようになります。

GPOの設定

グループポリシー管理エディターから「指定されたWindowsアプリケーションを実行しない」を開いてください。

・ユーザーの構成
・・ポリシー
・・・管理用テンプレート
・・・・システム

未構成を有効にして、「実行を許可しないアプリケーション一覧」をクリックしてください

値に(powershell.exe)と入力してください

<詳細説明>

このポリシー設定で指定したプログラムが Windows で実行されないようにします。

このポリシー設定を有効にした場合、ユーザーは実行を許可しないアプリケーションの一覧に追加されたプログラムを実行できません。

このポリシー設定を無効にした場合、または構成しなかった場合、ユーザーは任意のプログラムを実行できます。

このポリシー設定は、エクスプローラーのプロセスによって起動されるプログラムをユーザーが実行できないようにするだけです。ユーザーは、システム プロセスやその他のプロセスによって起動されるプログラム (タスク マネージャーなど) は実行できます。 また、ユーザーがコマンド プロンプト (Cmd.exe) にアクセスできる場合は、このポリシー設定が有効になっていても、ユーザーはエクスプローラーによる起動が禁止されているプログラムをコマンド ウィンドウから起動できます。

注: Windows 2000 以降の証明書を持つ Microsoft 以外のアプリケーションは、このポリシー設定に従う必要があります。

注: 許可するアプリケーションの一覧を作成するには、[表示] をクリックします。 [内容の表示] ダイアログ ボックスの [値] 列に、アプリケーションの実行可能ファイル名 (例: Winword.exe、Poledit.exe、Powerpnt.exe) を入力します。

PowerShellが実行できないことの検証

GPOを適用してPowerShellを起動してみましょう。

下図の通り「このコンピューターの制限により、処理は取り消されました。システム管理者に問い合わせてください」とアラートが出てPowerShellの実行ができなくなりました。

GPOでWordのマクロを無効化する方法

グループポリシーでEmotetの元凶であるWordのマクロを無効化する場合は、以下の記事をご参照ください

グループポリシー(GPO)でMicrosoft Word のマクロを無効にする方法