PowerShell安全加固指南：Windows脚本安全配置、JEA与约束语言模式实施

powershell-security-hardening by 404kidwiz/claude-supercode-skills

72 周安装量

63 GitHub Stars

GitHub

安装命令

npx skills add https://github.com/404kidwiz/claude-supercode-skills --skill powershell-security-hardening

自动化系统管理安全

🇨🇳中文介绍

PowerShell 安全加固

目的

提供 Windows 安全加固和 PowerShell 安全配置方面的专业知识。专注于保护自动化脚本安全、实施最小权限管理、实现恰够管理，并确保与企业安全基线保持一致。

使用时机

配置 PowerShell 安全策略时
实施约束语言模式时
设置恰够管理时
启用 PowerShell 日志记录和审计时
保护自动化凭据安全时
应用 CIS/STIG 基线时
防御 PowerShell 攻击时
实施执行策略时

快速开始

在以下情况调用此技能：

加固 PowerShell 环境时
实施 JEA 或约束语言模式时
配置 PowerShell 日志记录时
保护自动化凭据安全时
应用安全基线时

不要在以下情况调用：

常规 Windows 管理 → 使用 /windows-infra-admin
PowerShell 开发 → 使用 /powershell-7-expert
Active Directory 安全 → 使用 /ad-security-reviewer
网络安全 → 使用 /network-engineer

广告位招租

在这里展示您的产品或服务

触达数万 AI 开发者，精准高效

联系我们

1. PowerShell 日志记录设置

通过 GPO 启用脚本块日志记录
为关键模块启用模块日志记录
将转录配置到安全位置
设置受保护的事件日志转发
为可疑模式创建警报
使用示例脚本测试日志记录

定义角色能力文件
指定允许的 cmdlet 和参数
创建会话配置
注册 JEA 端点
使用受限用户账户测试
记录角色分配

3. 约束语言模式

评估应用程序需求
创建 AppLocker/WDAC 策略
为不受信任的脚本启用 CLM
将所需脚本加入白名单
测试应用程序功能
监控绕过尝试

在所有系统上启用脚本块日志记录
使用 JEA 而非完全管理员权限
将凭据存储在安全保险库中
应用 AMSI 进行恶意软件检测
对脚本进行签名并使用 AllSigned 策略
定期审计 PowerShell 使用日志

反面模式	问题	正确方法
凭据存储在脚本中	暴露风险	SecretManagement 保险库
禁用日志记录	无可见性	启用所有日志记录
绕过执行策略	安全假象	AppLocker/WDAC
自动化使用完全管理员权限	权限过高	使用最小权限的 JEA
忽略 AMSI	恶意软件盲点	保持 AMSI 启用

🇺🇸English

PowerShell Security Hardening

Purpose

Provides expertise in Windows security hardening and PowerShell security configuration. Specializes in securing automation scripts, implementing Just Enough Administration (JEA), enforcing least privilege, and aligning with enterprise security baselines.

When to Use

Configuring PowerShell security policies
Implementing Constrained Language Mode
Setting up Just Enough Administration (JEA)
Enabling PowerShell logging and auditing
Securing automation credentials
Applying CIS/STIG baselines
Protecting against PowerShell attacks
Implementing execution policies

Quick Start

Invoke this skill when:

Hardening PowerShell environments
Implementing JEA or constrained language mode
Configuring PowerShell logging
Securing automation credentials
Applying security baselines

Do NOT invoke when:

General Windows administration → use /windows-infra-admin
PowerShell development → use /powershell-7-expert
Active Directory security → use /ad-security-reviewer
Network security → use /network-engineer

Decision Framework

Security Requirement?
├── Script Execution Control
│   ├── Basic → Execution Policy
│   └── Strict → AppLocker/WDAC
├── Language Restriction
│   └── Constrained Language Mode
├── Privilege Reduction
│   └── JEA (Just Enough Administration)
└── Auditing
    └── Script Block Logging + Transcription

Core Workflows

1. PowerShell Logging Setup

Enable Script Block Logging via GPO
Enable Module Logging for key modules
Configure transcription to secure location
Set up protected event log forwarding
Create alerts for suspicious patterns
Test logging with sample scripts

2. JEA Configuration

Define role capabilities file
Specify allowed cmdlets and parameters
Create session configuration
Register JEA endpoint
Test with limited user account
Document role assignments

3. Constrained Language Mode

Assess application requirements
Create AppLocker/WDAC policy
Enable CLM for untrusted scripts
Whitelist required scripts
Test application functionality
Monitor for bypass attempts

Best Practices

Enable script block logging on all systems
Use JEA instead of full admin rights
Store credentials in secure vault (not scripts)
Apply AMSI for malware detection
Use signed scripts with AllSigned policy
Regularly audit PowerShell usage logs

Anti-Patterns

Anti-Pattern	Problem	Correct Approach
Credentials in scripts	Exposure risk	SecretManagement vault
Disabled logging	No visibility	Enable all logging
Bypass execution policy	Security theater	AppLocker/WDAC
Full admin for automation	Over-privileged	JEA with minimal rights
Ignoring AMSI	Malware blind spot	Keep AMSI enabled

Weekly Installs

Repository

404kidwiz/claud…e-skills

GitHub Stars

First Seen

Jan 24, 2026

Security Audits

Gen Agent Trust HubWarn SocketPass SnykWarn

Installed on

opencode43

claude-code42

codex40

gemini-cli39

cursor36

github-copilot34

通过 LiteLLM 代理让 Claude Code 对接 GitHub Copilot 运行 | 高级变通方案指南

46,900 周安装