Anwendungsfall 1: Starten von PowerShell verhindern

Szenario: Sie wollen verhindern, dass bei der Verwendung eines Browsers (hier Internet Explorer) beim Benutzer Powershell gestartet wird und womöglich Schadsoftware auf den Agenten-Computern einspielt.

1. Geben Sie auf dem Reiter Allgemein eine eindeutige Beschreibung ein und fügen ggf. einen Kommentar hinzu. Da es sich um eine relativ allgemeine 'Regel' handelt, geben Sie in diesem Fall eine niedrige Priorität an. Durch das Häkchen ist die Regel aktiv.

2. Auf dem Reiter Filter geben Sie folgendes an:

   • Als Ausführende Anwendung wird hier im Beispiel der gesamte Pfad zur iexplore.exe angegeben. Alternativ könnten Sie hier auch eine Anwendungsliste verwenden, in der Sie verschiedene Browser angegeben haben.
   • Setzen Sie ein Häkchen bei An untergeordnete Prozesse vererben, um zu verhindern, dass der Browser die Powershell.exe von der Kommandozeile (cmd.exe) aus aufrufen kann (hierbei handelt es sich um einen untergeordneten Prozess).
   • Weil Sie verhindern wollen, dass Powershell vom Internet Explorer aus ausgeführt wird, geben Sie als Zugriffsmodus Ausführen an.
   • Unter Aufgerufene Anwendung oder Pfadangabe wählen Sie hier entweder eine Datei oder einen Ordner aus, z.B. hier als Dateiname powershell.exe.

   Bei Blockier-Regeln ist es sinnvoll nur den Dateinamen anzugeben, um alle Vorkommnisse einschließen zu können. Bei der Angabe des vollen Pfades müssen Sie beachten, dass teilweise mehrere Versionen eines Programms existieren, z.B. könnte die powershell.exe in zwei verschiedenen Verzeichnissen liegen C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe oder in C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe.

3. Auf dem Reiter Reaktion geben Sie folgendes an:

   • Als Maßnahme wollen Sie den Aufruf Blockieren.
4. Bei allen anderen Optionen lassen Sie die Standardeinstellungen.

Fazit: Immer wenn die Datei iexplore.exe aufgerufen wird und dabei versucht, PowerShell zu starten, wird es geblockt.