最近看別處有中標又是被惡意程序利用PowerShell入侵關閉微軟功能
之前講過工具WindowsHybridHardening Light
有簡易對PowerShell 權限設置。
實際測試連卡巴安裝好都關不了內建防毒(開選項2以上)接管，會建議用內建防毒適度設置限制
(之前有假防毒利用這個關閉內建防護)

有三個模式如下
選項 < 1 >：僅封鎖腳本檔案 (.ps1)
作用： 透過系統原則禁止執行 .ps1 檔案。
優點： 駭客無法直接執行下載的惡意 PowerShell 腳本。
缺點： PowerShell 視窗（控制台）仍可打開。這意味著如果有人（或惡意程式）手動將指令貼進視窗，或透過命令列參數執行指令，依然可以運作。
適用對象： 需要手動輸入指令，但不希望執行任何腳本的人。

選項 < 2 >：封鎖 PowerShell 執行檔 (powershell.exe)
作用： 使用軟體限制原則 (SRP) 直接阻擋 powershell.exe 的啟動。
分級：
High (高)： 完全禁用。無論是管理員還是普通用戶都打不開 PowerShell。
Standard (標準)： 管理員可以打開，但一般用戶權限下會被阻擋。
缺點： 如果只選這項，可能還是可以透過其他方式執行腳本內容（雖然機率較低）。

選項 < 3 >：最強限制（1 + 2 的組合）
作用： 同時封鎖 .ps1 腳本檔案 且 限制 powershell.exe 的執行。
效果： 這是最嚴格的防禦。在「標準 (Standard)」模式下，平時會完全阻擋 PowerShell 以防止中毒；只有當你明確使用「以管理員身份執行」時，才能打開控制台，但即便打開了，依然不能運行 .ps1 腳本。

選項3以後你升級win11版要記得先改回來，不然也可能升級失敗
這項是最嚴格，直接幹趴所有企圖修改。


另外我前面講過的智慧型應用控制(SAC)也有對部分PowerShell 不認識腳本會判別做限制
若不會用那工具，會建議開啟SAC也能達到部分防護被惡意關閉防毒入侵效果

惡意程式用腳本關掉個人版微軟防毒這個就是一過直接變成你被幹趴，ASR規則，資料夾防護都被關掉，還可能給你把惡意病毒執行檔加白名單
看過巴哈屁孩問為何看安全中心防毒那邊有被加奇怪白名單就是那樣，無聲無息都可能。