nachdem ich jetzt mein erstest 'richtiges' Powershell-Skript fertiggestellt habe und es so funktioniert wie es soll, hab ich mich riesig gefreut!
Nun meine Frage:
Ist es bedenklich, dass auf einem Client PC die Windows Powershell installiert ist?!
Der Standardnutzer kann die Powershell von seinem Arbeitsplatz ja starten. Jetzt ist die Frage ob jemand mit genug Kentnissen Abfragen bzw. Cmdlets starten und auswerten kann, die nicht im Sinne des Admins wären.
Zum Netzwerk:
- Wir haben eine Domäne, die die Nutzer via GPO in ihrem Handeln einschränkt
- 95% der Rechner arbeiten mit Windows XP; die restlichen sind mit Win7
Prof
ausgestattet.
- Jeder Nutzer ist mit seinem Domänenkonto in der lokalen Gruppe der
Hauptbenutzer aufgenommen.
Ein Beispiel wäre Get-WMIObject -win32_xyz
Hiermit lässt sich ja bekanntlich eine WMI Abfrage durchführen. Ich weiß allerdings nicht, in wiefern der Nutzer damit an Informationen gelangen kann, die für ihn nicht bestimmt sind.
Die WMI Abfrage ist auch nur ein Beispiel.
Mein Gedanke ist: Wenn der Nutzer WMI Abfragen durchführen kann, wer weiß was er sonst noch mit der Powershell anstellen kann (an den GPO's vorbei)
wmi Queries kann der User auch mit wbemtest oder VBS machen. Wie schon erwähnt, erhält der User beim Ausführen eines PS-Scripts (oder VBScript oder .bat-File) eben nur genau die Rechte, die er eh schon hat. Und jaja, es gab mal vor x Jahren ein Win XP Bug mit dem ein Standarduser per "at" sich System Rechte beschaffen konnte.
Wenn du einen Fall hast, der für dich bedenklich ist, dann sperrst du Powershell, VBS und / oder .bat.
