Der Constrained Language Mode ist eine Einschränkungsstufe in PowerShell, die die Nutzung auf grundlegende Befehle und Datentypen begrenzt. Erweiterte Funktionen wie .NET-Aufrufe, COM-Objekte und benutzerdefinierte Typen werden blockiert.
Im ISMS adressiert Constrained Language Mode die Anforderungen von ISO 27001 Annex A Control A.8.19 (Softwareinstallation) und A.8.1 (User Endpoint Devices). PowerShell ist ein häufig genutztes Werkzeug in Angriffen (Fileless Malware, Post-Exploitation), weil es standardmäßig mächtigen Systemzugriff bietet. Constrained Language Mode reduziert diese Angriffsfläche erheblich. Er wird typischerweise über Windows Defender Application Control (WDAC) oder AppLocker erzwungen. Für Administratoren lässt sich ein separates PowerShell-Profil mit vollem Zugriff einrichten.