Jump to content

Powershell interactive mode deaktivieren?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

 

lässt sich der  Powershell interactive mode für User irgendwie  deaktivieren?

 

Hintergrund: Man hat festgestellt, dass man irgendwo eine Verknüpfung anlegen kann und dort als Ziel manuell die Powershell.exe aus  dem Windows-Ordner eintragen kann.

Damit lässt sich die Powershell auch als User im interactive mode starten und der User kann auf Laufwerk C: zugreifen,  obwohl es ausgeblendet ist. Die entsprechende Richtlinie für die  CMD.EXE (mit  der  geht es nicht) greift leider  bei  der  Powershell.exe nicht.

 

Powershell per SRP ganz  blockieren können wir nicht (mehr)

 

-Zahni

 

 

Link zu diesem Kommentar

Moin,

 

im Kern stehst du hier vor dem Problem, dass "Ausblenden" kein Sicherheitsfeature ist. Es bezieht sich immer nur auf bestimmte Komponenten des Systems. Kann eine andere Komponente zugreifen, dann geht das eben.

 

Dein eigentliches Problem wirst du also nur über Sicherheitsmechanismen in den Griff kriegen, hier also wohl über Berechtigungen. Willst du verhindern, dass ein User an bestimmte Stellen im Dateisystem kommt, dann musst du die Berechtigungen passend setzen. Sonst bleibt es immer Stückwerk.

 

Was würdest du etwa tun, wenn der User ein anderes Stück Software ausführt, das sich auch nicht um das Ausblenden schert?

 

Gruß, Nils

Link zu diesem Kommentar

Hi Nils,

 

darum geht  es nicht  im Speziellen. Unsere  Richtlinien sind ausreichend rigide.

Es geht nur um den Fakt, dass man die Powershell.exe interaktiv starten kann.

Der User  kann damit eigentlich nicht kaputt machen. Höchstens in seinem Profil.

Das Problem ist ein Audit, die das bemängelt haben (die müssen halt irgendwas finden ;) )

Daher meine Frage: Kann  man, so wie bei der CMD.EXE (DisableCMD), die  Powershell.exe interaktiv  sperren?

Wenn wir die Powershell.exe global sperren (das  bekommen  wir  hin), kann sie auch nicht mehr in Anmeldeskripten u.ä. verwendet werden.

Leider erlaubt  der  Windows-Explorer die  Erstellung einer Verknüpfung auf eine EXE aus C:\windows..., obwohl Laufwerk C: ausgeblendet ist. 

 

 

-Zahni

Link zu diesem Kommentar

Ne, dem sage ich das nicht. Ist eine bekannte Fa. in dem Bereich ;)

 

Fremde Programme können unsere User nicht ausführen. Da haben wir ziemlich lange an GPO & Co rumgefummelt.

Also keins der genannten Beispiele ;)

Main Kollege hat jetzt irgendwas gebastelt. Muss ihn nochmal fragen was er gemacht hat. Irgendwas in der Richtig keine LNK-Dateien auf Netzlaufwerken. Man muss die Leute doch glücklich  machen.

 

Das SP3 vom SQL2008 auf einem Server wurde auch für anfällig befunden. Da hat er aber die letzen bei Stellen im Build des SQL-Servers übersehen ;)

Link zu diesem Kommentar

Moin,

 

wäre mir nicht bekannt, dass es sowas gibt. Und als Antwort für die Auditoren: Das hat mit Sicherheit herzlich wenig zu tun. Die Execution Policy ist viel sinnvoller, und dazu gibt es in CMD kein Pendant.

 

Gruß, Nils

 

rechte Maustaste auf die Skriptdatei -> Ausführen mit Powershell , dann interessiert Windows herzlich wenig, was in der Executionpolicy steht. Richtige Sicherheit finde ich das auch nicht.

 

blub

Link zu diesem Kommentar

...was ja auch die richtige Grundeinstellung ist :)

 

Für das konkrete Problem hilft das natürlich nicht, und ich gebe zu: Mir fällt nicht wirklich was Praktikables ein. irgendwo hat der User immer Schreibrechte und kann sich da einen Shortcut erstellen, der "irgendwohin" zeigt.

 

BTW: Die ExecutionPolicy halte ich auch für Schlangenöl, weil die nur auf die IE-Zonen zurückgreift. Das hätten sie sich sparen können... Kopiere das File lokal, mach den ADS "Zone.Identifier" weg und die ExecutionPolicy ist sinnlos.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...