本記事では、グループポリシーでPowerShellの実行を禁止する方法を解説します。コンピューターウイルスのEmotetは、PowerShellをマクロから実行させてボットネットを構築するウイルスです。Emotet対策としてマクロを無効化する方法がありますが、マクロを無効化できない場合はPowerShellを無効化するのも対策の一つだと考えられます。
グループポリシー(GPO)の作成と適用手順
「グループポリシーて何?」という方は「グループポリシーの作成と適用手順」Active Directoryをフル活用して端末を完全制御しちゃおう!!で細かい説明をしていますのでご参照ください。実例を用いて説明をしていますので、全くの初心者でもグルーポプリシーが自由に扱えるようになります。
GPOの設定
グループポリシー管理エディターから「指定されたWindowsアプリケーションを実行しない」を開いてください。
・ユーザーの構成
・・ポリシー
・・・管理用テンプレート
・・・・システム
未構成を有効にして、「実行を許可しないアプリケーション一覧」をクリックしてください
値に(powershell.exe)と入力してください
<詳細説明>
このポリシー設定で指定したプログラムが Windows で実行されないようにします。
このポリシー設定を有効にした場合、ユーザーは実行を許可しないアプリケーションの一覧に追加されたプログラムを実行できません。
このポリシー設定を無効にした場合、または構成しなかった場合、ユーザーは任意のプログラムを実行できます。
このポリシー設定は、エクスプローラーのプロセスによって起動されるプログラムをユーザーが実行できないようにするだけです。ユーザーは、システム プロセスやその他のプロセスによって起動されるプログラム (タスク マネージャーなど) は実行できます。 また、ユーザーがコマンド プロンプト (Cmd.exe) にアクセスできる場合は、このポリシー設定が有効になっていても、ユーザーはエクスプローラーによる起動が禁止されているプログラムをコマンド ウィンドウから起動できます。
注: Windows 2000 以降の証明書を持つ Microsoft 以外のアプリケーションは、このポリシー設定に従う必要があります。
注: 許可するアプリケーションの一覧を作成するには、[表示] をクリックします。 [内容の表示] ダイアログ ボックスの [値] 列に、アプリケーションの実行可能ファイル名 (例: Winword.exe、Poledit.exe、Powerpnt.exe) を入力します。
PowerShellが実行できないことの検証
GPOを適用してPowerShellを起動してみましょう。
下図の通り「このコンピューターの制限により、処理は取り消されました。システム管理者に問い合わせてください」とアラートが出てPowerShellの実行ができなくなりました。
GPOでWordのマクロを無効化する方法
グループポリシーでEmotetの元凶であるWordのマクロを無効化する場合は、以下の記事をご参照ください
コメント