Я создал ограниченную конечную точку powershell и успешно зарегистрировал ее на моей машине с тестовым Windows.Список команд ограничен запросом объектов WMI и других потенциально «безвредных» функций.Я могу подключиться к этой конечной точке, потому что мой тестовый пользователь находится в соответствующей группе, которая была включена в SDDL.Однако я хочу добиться того, чтобы все пользователи во время запуска сеанса powershell на своем компьютере автоматически подключались к этой специальной ограниченной конечной точке, поэтому для них должно быть доступно всего несколько команд.
Я пытался удалить пользователей "INTERACTIVE" из конечных точек microsoft.powershell и microsoft.powershell32.Я даже незарегистрированные конфигурации сеансов для microsoft.powershell и microsoft.powershell32 (на целевой машине клиента Windows).Тем не менее, пользователь может войти в систему, используя учетные данные без прав администратора, затем запустить PowerShell и запустить все, что ему нравится, например invoke-webrequest.