PowerShell病毒防治（無文件勒索）

一、建立AppLocker Rule

1. 選擇計算機配置->Windows配置->安全設置->應用程序控制策略->AppLocker
   

2. 右鍵佔擊「可執行規則」，選擇「建立新規則」
   
3. 單擊「建立新規則」後，打開以下窗口，單擊「下一步」：
   
4. 操做選擇選擇「拒絕」，併爲此規則選擇合適的用戶或用戶組，這裏配置EveryOne，並擊進下一步。
   
5. 這裏選擇」路徑「，而後點擊下一步：
   
6. 選擇PowerShell程序的路徑（默認地址：c:\Windows\System32\WindowsPowerShell\v1.0\），而後下一步：
   
7. 爲新的規則指定名稱，而後點擊「建立」：
   
8. 出現以下提示框選擇「是」：
   
9. 右鍵選擇AppLocker並單擊屬性，而後在「可執行規則「下，選擇」強制規則「，複選」已配置「。
   
   注意：
   一、確保Application Identify服務啓動，且設置爲開機自啓動。如該服務沒有正常啓動則Applocker Rule也沒法正確運行。
   二、添加好策略後，執行Gpupdate進行更新組策略便可。