PowerShell病毒防治（无文件勒索）

一、建立AppLocker Rule

1. 选择计算机配置->Windows配置->安全设置->应用程序控制策略->AppLocker
   

2. 右键占击“可执行规则”，选择“建立新规则”
   
3. 单击“建立新规则”后，打开以下窗口，单击“下一步”：
   
4. 操做选择选择“拒绝”，并为此规则选择合适的用户或用户组，这里配置EveryOne，并击进下一步。
   
5. 这里选择”路径“，而后点击下一步：
   
6. 选择PowerShell程序的路径（默认地址：c:\Windows\System32\WindowsPowerShell\v1.0\），而后下一步：
   
7. 为新的规则指定名称，而后点击“建立”：
   
8. 出现以下提示框选择“是”：
   
9. 右键选择AppLocker并单击属性，而后在“可执行规则“下，选择”强制规则“，复选”已配置“。
   
   注意：
   一、确保Application Identify服务启动，且设置为开机自启动。如该服务没有正常启动则Applocker Rule也没法正确运行。
   二、添加好策略后，执行Gpupdate进行更新组策略便可。