Uma boa medida de segurança para evitar movimentações laterais e tentativas de escalação de privilégios em um ambiente é fazer bloqueio de alguns aplicativos. Um deles e muito utilizado para isso é o Powershell.

Essa linguagem de programação evoluiu muito com o tempo. Hoje ela é muito utilizada em scripts de pós exploração, como o MafiaShell e ADModule e também para diversas outras atividades como brute force, scan de portas etc.

Supondo que em nossa empresa fizemos a implementação de uma GPO para não permitir que o Powershell seja executado. Para isso, fizemos o bloqueio dos aplicativos correspondentes ao Powershell.
Ou seja, powershell.exe e powershell_ise.exe.

Bloqueio dos aplicativos powershell.exe e powershell_ise.exe.

Se tentarmos executar o Powershell agora vamos receber a mensagem abaixo, informando que o processo não é permitido por uma política.

Mensagem de bloqueio após tentativa de executar o powershell.

Porém, se o comando abaixo for utilizado, vamos conseguir executar o byPass desse bloqueio.

echo !powershell > ftpcommands.txt && ftp -s:ftpcommands.txt
ByPass da GPO que estava tentando fazer o bloqueio do powershell.exe.

Isso quer dizer que a GPO não foi muito efetiva. Vamos tentar melhorar essa política inserido também o caminho absoluto do Powershell.

Nova GPO com a inclusão do path absoluto do Powershell.

Tudo certo, vamos novamente tentar executar o comando e verificar se o byPass ainda é possível.

Permissão negada.

Finalmente foi possível executar o bloqueio do byPass. Problema solucionado.

Mas, e se for possível mover toda a pasta onde os scripts do Powershell estão, ainda sim a GPO vai conseguir fazer o bloqueio? Vamos copiar toda a pasta onde ficam os scripts do Powershell e coloca-la no Desktop e tentar rodar pelo Prompt de comando.

O Powershell fica em: “C:\Windows\System32\WindowsPowerShell\v1.0“.

Powershell rodando fora do seu path padrão.

Infelizmente neste local não foi possível para a GPO executar um bloqueio.
O que fazer para resolver isso? Remover a placa de rede dos computadores e servidores.