Как отключить powershell в windows 10 навсегда. Отключаем ненужные элементы системы Windows для ее ускорения

Мы рады сообщить о выходе новой версии AVAST 2015. Новый порядковый номер получили флагманские продукты Avast Free (бесплатен только для домашних ПК), Avast Pro, Avast Internet Security и Avast Premier.

Что нового?:

Сканирование HTTPS-трафика

Теперь мы можем сканировать на вирусы сайты с защищённым TLS/SSL трафиком с помощью встроенного компонента фильтрации веб-контента. Мы используем собственные специальные сертификаты, которые добавляются в хранилище корневых сертификатов Windows, а также в основные браузеры установленные на ПК. Данный функционал защитит вас от вирусов, которые проникают через HTTPs-трафик, а также добавит совместимость для SPDY+HTTPS / HTTP 2.0 трафика. Данный компонент можно настроить или отключить в настройках.

AVAST NG

Решение, основанное на аппаратной виртуализации, полностью интегрировано в вашу операционную систему, позволяющее запускать каждый процесс Windows в автономной безопасной виртуальной машине (VM). Каждый процесс выполняется в своей собственной VM, что означает полную изоляцию от других приложений. Это решение в дополнение компонентам avast! DeepScreen, Sandbox и SafeZone, которое обеспечивает улучшенную проверку от неизвестных программ.

SecureDNS (эта функция доступна только в платных версиях)

Мы представляем новую услугу, которая способна защитить от перехвата DNS (DNS hijack) на маршрутизаторе/клиенте (включая незащищенные, общественные сети и др.).

Защита домашней сети

Просканируйте вашу домашнюю сеть на наличие уязвимостей (статуса wifi, подключенных устройств, настроек маршрутизатора, пароли по умолчанию и т.д. и т.п.). Это принципиально новый подход к безопасности, Аваст выявляет потенциальные проблемы, которые связаны не только с определенным устройством, но и во всей сети устройств, которые вы используете или с помощью которых выходите в интернет.

Интеллектуальное сканирование

Интегрированное сканирование, включающее в себя различные типы проверок (антивирусный скан, обновление установленного ПО, сканирование домашней сети, оптимизация операционной системы). Одно сканирование с разносторонними результатами и рекомендациями.

GrimeFighter Free

GrimeFighter теперь предлагает бесплатную очистку от ненужных файлов и оптимизацию настроек системы. Другие функции остаются платными и официально платная версия не поставляется в РФ, имейте это в виду.

Новая система техподдержки

Улучшено обслуживание клиентов платных версий. В созданный «тикет» автоматически добавляется вся необходимая информация. Улучшена база знаний для пользователей бесплатной версией. Добавилась онлайн-поддержка - можно обратиться в техподдержку прямо из интерфейса Аваст.

Остальные изменения

Улучшена стабильность и производительность всех компонентов (но основное внимание, как обычно, было уделено компонентам сети и антивирусного движка).

На данный момент текущая версия Windows PowerShell - 5 . PowerShell по умолчанию предустановлен в Windows 10 и заменяет командную строку в меню пользователя Win X .

PowerShell 5 - стабильная версия, работающая в вашей системе, однако старая версия PowerShell 2.0 по-прежнему включена, и представляет угрозу безопасности вашей системе, которая может использоваться для запуска вредоносных скриптов. Даже если вы получаете последние обновления безопасности для Windows 10, это не значит, что PowerShell 2.0 удален для всех пользователей. Он может быть все еще включен в вашей системе.

Вот как вы можете проверить, какую версию вы используете и как отключить Windows PowerShell 2.0.

Проверить PowerShell 2.0

От имени администратора и выполните следующую команду.

Get-WindowsOptionalFeature -Online -FeatureName MicrosoftWindowsPowerShellV2

В результатах, после выполнения этой командой, посмотрите строку State «Состояние». Если она говорит, что это оболочка версии 2.0 «Enabled» (Включена), вам необходимо ее отключить. Если команда возвращает значение «Disabled» (Отключено), вам не нужно ничего делать.

Отключить Windows PowerShell 2.0

Откройте PowerShell с правами администратора и выполните следующую команду;

Disable-WindowsOptionalFeature -Online -FeatureName MicrosoftWindowsPowerShellV2Root

Это отключит оболочку Windows PowerShell 2.0. Вы можете проверить это, выполнив первую команду еще раз. Строка State должна иметь значение «Disabled» (Отключено).

Если вы нехотите выполнять команду в PowerShell, вы можете отключить эту функцию с помощью Панели управления . Откройте «Проводник» и введите в адресной строке следующее:

Панель управления\Программы

Нажмите «Включение или отключение компонентов Windows» . Это откроет новое окно «Компоненты Windows». Может потребоваться некоторое время, чтобы загрузить список функций, которые вы можете включить / отключить. После загрузки списка прокрутите список до середины и найдите Windows PowerShell 2.0. Снимите флажок и нажмите «ОК».

Вам не нужно перезагружать систему, чтобы применить изменения.

В чем заключается риск.

В Windows PowerShell 5 есть функция защиты от вредоносных программ, которая сканирует и предотвращает запуск вредоносных сценариев, но механизм PowerShell 2.0 можно использовать для запуска атаки, которая может обойти проверку на наличие вредоносных программ. В конечном итоге это приведет к запуску вредоносного скрипта PowerShell в вашей системе.

Отключение старой оболочки не должно иметь негативных последствий. Microsoft знает, что некоторые приложения по-прежнему используют PowerShell 2.0, но они работают, над тем, чтобы перенести их в более новую версию. Хотя компонент устарел, он все равно останется частью Windows 10 в обозримом будущем, и пользователи смогут его включить, если они этого захотят.

Hyper-V — система виртуализации в Windows, идущая по умолчанию в наборе системных компонентов. Она присутствует во всех версиях десятки за исключением Home, а ее предназначение — работа с виртуальными машинами. Ввиду определенных конфликтов со сторонними механизмами виртуализации, Hyper-V может потребоваться отключить. Сделать это очень легко.

Есть сразу несколько вариантов отключения технологии, и пользователь в любом случае может без труда включить ее обратно тогда, когда это нужно. И хотя по умолчанию Hyper-V обычно отключен, он мог быть активирован пользователем ранее, в том числе и случайно, либо при установке модифицированных сборок ОС, после настройки Виндовс другим человеком. Далее мы приведем 2 удобных способа отключения Hyper-V.

Способ 1: Компоненты Windows

Так как рассматриваемый элемент является частью системных компонентов, отключить его можно в соответствующем окне.

В последних версиях Виндовс 10 не требует перезагрузки, однако вы можете сделать это при необходимости.

Способ 2: PowerShell/Командная строка

Аналогичное действие можно совершить, используя «cmd» либо его альтернативу «PowerShell» . При этом для обоих приложений команды будут разными.

PowerShell

В «Командной строке» отключение происходит путем задействования хранилища системных компонентов DISM.

Hyper-V не отключается

В некоторых случаях у пользователей возникает проблема в деактивации компонента: он получает уведомление «Нам не удалось завершить компоненты» либо при последующем включении Hyper-V становится снова активен. Устранить эту неполадку можно проверкой системных файлов и хранилища в частности. Осуществляется сканирование через командную строку запуском инструментов SFC и DISM. В другой нашей статье мы уже рассматривали более подробно то, как произвести проверку ОС, поэтому чтобы не повторяться, прикладываем ссылку на полную версию этой статьи. В ней вам потребуется поочередно выполнить Способ 2 , затем Способ 3 .

Как правило, после этого проблема отключения исчезает, если же нет, то причины следует искать уже в стабильности работы ОС, но поскольку спектр ошибок может быть огромным и это не укладывается в рамки и тему статьи.

Мы рассмотрели способы отключения гипервизора Hyper-V, а также основную причину, по которой его не удается деактивировать. Если у вас все равно возникли проблемы, напишите об этом в комментариях.

• Перевод

Кажется не так давно это было, примерно в 2015 году, мы начали слышать о хакерах, не использовавших вредоносных программ внутри периметра атакуемой цели. А использовали они то, что было под рукой – это были различные инструменты, находившиеся на целевом сайте. Это оказалось идеальным способом, чтобы сделать свое «грязное дело» не поднимая лишнего «шума».

Этот подход в наше время набрал обороты и стал мейнстримом, в первую очередь из-за обилия готовых инструментариев хакеров, таких как PowerShell Empire.

Мы уже писали о том, как PowerShell, когда он дополняется PowerView, становится мощным поставщиком информации для хакеров (вся эта мудрость собрана в нашей подборке, которую вы должны прочитать как можно скорее).

Безусловно, любой инструмент может использоваться как для хорошего так и для плохого, так что я и не думаю тут намекать, что PowerShell был создан, чтобы облегчить жизнь хакерам.
Но так же, как вы бы не оставили сверхмощный болторез рядом с навесным замком, вы, вероятно, не захотите разрешить, или хотя бы сделать это максимально более трудным для хакеров получить в свои руки PowerShell.

Это в свою очередь поднимает большую тему в мире кибербезопасности: ограничение доступа к приложениям, также известную как белые и черные списки доступа. Общая идея в том, чтобы операционная система знала и строго контролировала какие приложения могут быть запущены пользователем, а какие – нет.

Например, будучи homo blogus, мне, как правило, нужны некоторые основные инструменты и приложения (а также теплое местечко, где могу спать ночью), и я прекрасно могу прожить без оболочки PowerShell, netcat, psexec, и всех других команд, о которых я рассказывал в предыдущих постах. То же самое относится к большинству работников в компаниях, и поэтому квалифицированный ИТ-специалист должен быть в состоянии составить список приложений, которые являются безопасными для использования.

В мире Windows, возможно использовать правила на выполнение приложений с помощью специальных ограничивающих политик использования программ, а в последнее время и AppLocker.

Однако, прежде чем мы перейдем к этим передовым идеям, давайте попробуем два очень простых решения, а затем посмотрим, что с ними не так.

ACL и другие упрощения

Мы часто думаем о списках доступа ACL Windows, что они используются для управления доступом к читабельному содержимому. Но они также могут быть применены и к исполняемым файлам - то есть.ехе, .vbs, .ps1 и остальным.

Я вернулся в облако Amazon Web Services, где у меня находится домен Windows для мифической и некогда легендарной компании Acme и там проделал работу с ACL, дабы продемонстрировать некоторые ограничения доступа.

PowerShell .exe, любой системный администратор сможет без труда сказать вам, находится в C:\Windows\System32\WindowsPowerShell\v1.0. Я перешел в эту папку, вызвал ее свойства и моментально ограничил права выполнения PowerShell на 2 основные группы: «Администраторов домена» и «Acme-SnowFlakes”, группы опытных пользователей Acme.

Я перезашел на сервер, как Боб, мой амплуа в компании Acme, и попытался вызвать PowerShell. Результаты ниже.

На практике, вы могли бы, наверняка, придумать скрипт - почему бы не использовать PowerShell чтобы автоматизировать этот процесс настройки ACL для всех ноутбуков и серверов в небольших и средних по размеру компаниях.

Это не плохое решение.

Если вам не нравится идея изменения ACL на исполняемых файлах, PowerShell предлагает свои собственные средства ограничения. Как пользователь с админ-правами, можно использовать, все что угодно, но проще всего встроенный командлет Set-ExecutionPolicy.

Это уже не настолько «топорное» решение, как установка ACL. Например, вы сможете ограничить PowerShell для работы только в интерактивном режиме – с помощью параметра Restricted - так что он не будет выполнять PS-скрипты, которые могут содержать вредоносные программы хакеров.

Однако, это также заблокирует и скрипты PowerShell, запускаемые вашими ИТ-специалистами. Чтобы разрешить одобренные скрипты, но отключить скрипты злобных хакеров, используйте параметр RemoteSigned. Теперь PowerShell будет запускать только подписанные скрипты. Администраторам, конечно, придется создать их собственные сценарии и затем подписать их с использованием проверенных учетных данных.

Я не буду вдаваться в подробности, как это сделать, в основном потому, что это так легко обойти. Кое-кто тут в блоге описал аж 15 способов обхода ограничений безопасности в PowerShell.

Самый простой – это с помощью параметра Bypass в самом PowerShell. Да! (см.ниже).

Похоже на дыру в безопасности, а?

Так что в PowerShell есть несколько основных уязвимостей. Это кстати и понятно, так как это, в конце концов, всего лишь программная оболочка.

Но даже подход ограничений на уровне ACL имеет свои фундаментальные проблемы.
Если хакеры ослабят свою философию, то они смогут запросто скачать, скажем, с помощью трояна удаленного доступа (RAT) - их собственную копию PowerShell.ехе. А затем запустить его напрямую, с легкостью избежав ограничений с разрешениями с локальным PowerShell.

Политики Ограничения Использования Программ

Эти основные дыры в безопасности (как и многие другие) всегда сопровождают потребительский класс операционных систем. Это навело исследователей ОС на мысль придумать безопасную операционную систему, которая бы имела достаточно силы, чтобы контролировать то, что может быть запущено.

В мире Windows, эти силы известны как политики ограничения использования программ (SRP) - для ознакомления, посмотрите это - они настраиваются через редактор Групповых политик.
С их помощью вы сможете контролировать, какие приложения могут быть запущены на основании расширения файла, имен путей, и было ли приложение подписано цифровой подписью.

Самый эффективный, хоть и самый болезненный подход, это запретить все, а потом добавлять туда приложения, которые вам действительно нужны. Это известно как внесение в „белый список“.

Мы разберем это более подробно в следующей части.

В любом случае, вам потребуется запустить редактор политик, gpEdit и перейдите к политике Local Computer Policy>Windows Settings>Security Settings>Software Restriction Polices>Security Levels. Если Вы нажмете на “Запретить (Disallowed)”, то вы можете сделать это политикой безопасности по-умолчанию - не запускать любые исполняемые файлы!

Белый список: запретить по-умолчанию, а затем добавить разрешенные приложения в “Дополнительные правила (Additional Rules)”.

Это больше похоже на тактику выжженной земли. На практике, потребуется ввести “дополнительные правила”, чтобы добавить обратно разрешенные приложения (с указанием их наименования и пути). Если вы выходите из оболочки PowerShell, то вы фактически отключаете этот инструмент на месте.

К сожалению, вы не можете подстроить правила политик ограничения использования программ на основании отдельных групп или пользователей. Блин!

И теперь это логично приводит нас к последнему достижению безопасности Microsoft, известному как AppLocker, который имеет свои уникальные особенности, чтобы разрешить открыть приложение. Поговорим об этом в следующий раз.