PowerShell病毒防治（无文件勒索）

Posted 2020-11-29

1、创建AppLocker Rule

1. 选择计算机配置->Windows配置->安全设置->应用程序控制策略->AppLocker
   

2. 右键占击“可执行规则”，选择“创建新规则”
   
3. 单击“创建新规则”后，打开如下窗口，单击“下一步”：
   
4. 操作选择选择“拒绝”，并为此规则选择合适的用户或用户组，这里配置EveryOne，并击进下一步。
   
5. 这里选择”路径“，然后点击下一步：
   
6. 选择PowerShell程序的路径（默认地址：c:WindowsSystem32WindowsPowerShellv1.0），然后下一步：
   
7. 为新的规则指定名称，然后点击“创建”：
   
8. 出现如下提示框选择“是”：
   
9. 右键选择AppLocker并单击属性，然后在“可执行规则“下，选择”强制规则“，复选”已配置“。
   
   注意：
   1、确保Application Identify服务启动，且设置为开机自启动。如该服务没有正常启动则Applocker Rule也无法正确运行。
   
   2、添加好策略后，执行Gpupdate进行更新组策略即可。