Jump to content

PS: Skript aus Netlogon wird trotz ByPass nicht ausgeführt


Go to solution Solved by cj_berlin,

Recommended Posts

@ALL

 

Per Aufgabenplanung möchte ich ein PowerShell-Skript ausführen, welches in der NETLOGON-Freigabe abgelegt und zusätzlich signiert ist. Die Aktion der Aufgabe habe ich ich wie folgt angegeben.

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoProfile -NoExit -ExecutionPolicy ByPass -File \\meine_domäne.de\netlogon\myscript.ps1 -Path \\server\freigabe

(Parameter -NoExit NUR für Testzwecke)

 

Die PowerShell-Konsole gibt mir folgende Sicherheitswarnung aus: Führen Sie ausschließlich vertrauenswürdige Skripts aus. Skripts aus dem Internet .... Wenn Sie diesem Skript vertrauen, lassen Sie mit dem CmdLet "Unblock-File" die .... Möchten Sie "\\meine_domäne.de\netlogon\myscript.ps1" ausführen? ....

 

Unblock-File habe ich für das Skript ausgeführt. Get-Item myscript.ps1 -Stream 'zone.identifierr' -ErrorAction SilentlyContinue gibt mir auch nichts zurück.

 

 

Die Auflistung der Ausführungsrichtlinien für die unterschiedlichen Bereiche sieht wie folgt aus:

  • MachinePolicy  -> Unrestricted
  • UserPolicy -> Undefined
  • Process -> ByPass
  • CurrentUser -> Undefined
  • LocalMachine -> RemoteSigned

 

Die effektive Ausführungsrichtlinie wäre dem nach Unrestricted.

 

Wie kann ich das Skript per Aufgabenplanung aus der NETLOGON-Freigabe ohne Bestätigungsaufforderung ausführen? Für eine Lösung wäre ich sehr dankbar.

 

 

 

 

 

Link to comment
  • Solution

Moin,

 

nein, LocalMachine überschreibt MachinePolicy, somit ist Deine resultierende Policy RemoteSigned, was Du auch lt. PowerShell-Ausgabe erlebst. Und hier beißt Dich etwas, was tatsächlich kontraintuitiv ist: Wenn Execution Policy über GPO gesetzt ist, kann sie nicht an der Kommandozeile übersteuert werden, auch wenn die GPO eine schwächere Einstellung hat als die resultierende Policy.

 

Check mal, warum etwas, was aus einem UNC-Pfad aufgerufen wird, als "Remote" angesehen wird - by default sind UNC-Pfade Teil der Zone "Lokales Intranet". Vielleicht wurde das Skript bereits bei der Übertragung NACH NETLOGON als "Remote" markiert...  vergiss es, habe es jetzt gelesen.

 

Alternative wäre, das signierende Skript zu "Trusted Publishers" hinzuzufügen.

EDIT: Das hinzufügen von "meine_domäne.de" zu der LocalIntranet-Zone scheint zu helfen.

Edited by cj_berlin
Link to comment
vor 1 Stunde schrieb cj_berlin:

nein, LocalMachine überschreibt MachinePolicy, somit ist Deine resultierende Policy RemoteSigned, was Du auch lt. PowerShell-Ausgabe erlebst. Und hier beißt Dich etwas, was tatsächlich kontraintuitiv ist: Wenn Execution Policy über GPO gesetzt ist, kann sie nicht an der Kommandozeile übersteuert werden, auch wenn die GPO eine schwächere Einstellung

hat als die resultierende Policy.

Ja. Das verwirrt mich immer wieder. Ich dachte immer, dass Get-ExecutionPolicy ohne Parameter die effektive Ausführungsrichtlinie anzeigt.

 

vor einer Stunde schrieb cj_berlin:

EDIT: Das hinzufügen von "meine_domäne.de" zu der LocalIntranet-Zone scheint zu helfen.

Leider funktioniert es nicht. Die Domäne hatte ich bereits in der Zonenzuweisung eingetragen. Es ist doch richtig unter Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet-Explorer\Internetsystemsteuerung\Sicherheitsseite\Liste der Site zu Zonenzuweisungen

 

Vielleicht sind die Einträge verkehrt? Dort steht:

\\meine_domäne.de -> 1

file://meine_domäne.de -> 1

\\server -> 1

file://server -> 1

 

Danke schon mal.

 

Link to comment
vor 16 Stunden schrieb EmmKay:

Vielleicht sind die Einträge verkehrt? Dort steht:

\\meine_domäne.de -> 1

file://meine_domäne.de -> 1

\\server -> 1

file://server -> 1

Ja, sind verkehrt... Die 2 mit "file://" funktionieren, helfen hier aber nicht. Die zwei mit "\\" funktionieren nicht.

https://evilgpo.blogspot.com/2016/03/internet-explorer-site-zu.html

Und 1 ist auch falsch, das sollte 2 sein (lokales Intranet).

Link to comment
vor 22 Stunden schrieb cj_berlin:

Versuch's nur mit dem Domänen-FQDN, ohne Protokoll. So hat's hier auf Anhieb funktioniert.

 

vor 6 Stunden schrieb daabm:

Ja, sind verkehrt... Die 2 mit "file://" funktionieren, helfen hier aber nicht. Die zwei mit "\\" funktionieren nicht.

https://evilgpo.blogspot.com/2016/03/internet-explorer-site-zu.html

Und 1 ist auch falsch, das sollte 2 sein (lokales Intranet).

Bei funktioniert es leider nicht. FQDN der Domäne (meine_domäne.de) mit dem Wert 2 in die Gruppenrichtlinie eingetragen. Die Zonenzuweisung wurde erfolgreich auf dem Testsystem aktualisiert.

 

Evtl. hilft dieser Eintrag aus dem Anwendungs- und Dienstprotokoll Microsoft/Windows/PowerShell weiter:

image.png.f3a84b47a0bf28358be4cb86005cbee0.png

 

Wo wurde festgelegt, dass das Skript nicht ausgeführt werden kann. Ist damit die Ausführungsrichtlinie gemeint?

 

Vielen Dank.

 

 

Link to comment

Behandeln von Fehlern bei der Internet Explorer-Zonemapping bei der Verarbeitung von Gruppenrichtlinien - Browsers | Microsoft Learn

Zitat

Die Richtlinie "Site to Zone Assignment List"

Das Format der Richtlinie für die Website-Zu-Zonen-Zuweisungsliste wird in der Richtlinie beschrieben. Mit dieser Richtlinieneinstellung können Sie eine Liste von Websites verwalten, die Sie einer bestimmten Sicherheitszone zuordnen möchten. Diese Zonennummern weisen Sicherheitseinstellungen auf, die für alle Websites in der Zone gelten.

Internet Explorer verfügt über vier Sicherheitszonen, die von dieser Richtlinieneinstellung verwendet werden, um Websites zonen zuzuordnen. Sie werden nummeriert 1 und 4 in absteigender Reihenfolge von am wenigsten vertrauenswürdig definiert:

  1. Zone "Lokales Intranet"
  2. Zone der vertrauenswürdigen Sites
  3. Zone „Internet“
  4. Zone eingeschränkter Sites

 

Als Hilfestellung.

Link to comment
vor einer Stunde schrieb cj_berlin:

Wieso 2? Ich dachte, 1 wäre Local Intranet?

 

Bring ich ständig durcheinander, bitte hilf mir über die Straße :-)

vor 2 Stunden schrieb EmmKay:

Die Zonenzuweisung wurde erfolgreich auf dem Testsystem aktualisiert.

 

Und wirkt sie auch? Dazu Internet Explorer starten, eine beliebige Datei auf dem Share öffnen (txt oder Dummy-html) und in den Eigenschaften nachschauen, in welche Zone die einsortiert wurde. Ist der einfachste mir bekannte Weg...

BTW: Applocker ist nicht zufällig auch noch beteiligt?

 

Am 12.11.2024 um 14:52 schrieb EmmKay:

Get-Item myscript.ps1 -Stream 'zone.identifierr'

Das doppelte r hinten ist hoffentlich nur ein Tippfehler im Forum?

Link to comment
vor 15 Stunden schrieb daabm:
vor 17 Stunden schrieb EmmKay:

Die Zonenzuweisung wurde erfolgreich auf dem Testsystem aktualisiert.

 

Und wirkt sie auch? Dazu Internet Explorer starten, eine beliebige Datei auf dem Share öffnen (txt oder Dummy-html) und in den Eigenschaften nachschauen, in welche Zone die einsortiert wurde. Ist der einfachste mir bekannte Weg...

Die Werte unterhalb von HLM\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings werden entsprechend gesetzt. Zusätzlich habe ich in der Gruppenrichtlinie den Einstellung Sicherheitszonen: Nur Computereinstellungen verwenden aktiviert. (Der Wert Security_HKLM_only i.d. o.g Schlüssel wurde auf 1 gesetzt.) Leider alles ohne Erfolg. Die geöffnete Dummyhtmlseite von NETLOGON wurde der Zone Internet zugeordnet.

Nachdem ich die Gruppenrichtlinie wieder deaktiviere habe, um die Domäne manuell zur Zone Lokales Intranet hinzufügen, wird das Skript anstandslos ausgeführt und die Dummyhtmlseite auch der Zone Lokales Intranet zugeordnet.

 

vor 15 Stunden schrieb daabm:

BTW: Applocker ist nicht zufällig auch noch beteiligt?

Der Dienst Application Identity läuft nicht.

 

vor 15 Stunden schrieb daabm:

Das doppelte r hinten ist hoffentlich nur ein Tippfehler im Forum?

Ja. Das war ein Tippfehler im Forum. 

 

Vielen Dank.

Link to comment
vor 2 Stunden schrieb EmmKay:

Die Werte unterhalb von HLM\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings werden entsprechend gesetzt. Zusätzlich habe ich in der Gruppenrichtlinie den Einstellung Sicherheitszonen: Nur Computereinstellungen verwenden aktiviert. (Der Wert Security_HKLM_only i.d. o.g Schlüssel wurde auf 1 gesetzt.) Leider alles ohne Erfolg. Die geöffnete Dummyhtmlseite von NETLOGON wurde der Zone Internet zugeordnet.

Nachdem ich die Gruppenrichtlinie wieder deaktiviere habe, um die Domäne manuell zur Zone Lokales Intranet hinzufügen, wird das Skript anstandslos ausgeführt und die Dummyhtmlseite auch der Zone Lokales Intranet zugeordnet.

 

Dann ist wohl "irgendwas" in deinen Zonenzuordnungen nicht in Ordnung. Was, weiß ich nicht.

Link to comment
vor 3 Stunden schrieb EmmKay:

Nachdem ich die Gruppenrichtlinie wieder deaktiviere habe, um die Domäne manuell zur Zone Lokales Intranet hinzufügen, wird das Skript anstandslos ausgeführt und die Dummyhtmlseite auch der Zone Lokales Intranet zugeordnet.

Dann solltest Du jetzt in der Registy Details sehen und das so nachbauen können.

Link to comment

Peinlicherweise habe ich den Fehler gefunden; Internet Explorer Enhanced Security Configuration war aktiviert.

 

Zum Deaktivieren von Internet Explorer ESC habe ich bisher keine Einstellung in den Gruppenrichtlinien gefunden. Es doch richtig, dass ich die entsprechende Registierungseinträge per GPP setzen muss?

 

Danke nochmal für Eure Hilfe.

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...