Я ищу информацию о любых изменениях, которые могли быть внесены в сценарии входа в систему GPO в Windows 10 по сравнению с Windows 7.

У меня есть сценарий входа в систему (powershell), настроенный через GPO для Windows 7. При тестировании образа Windows 10 этот скрипт сначала копируется во временную папку моего локального профиля (c:\users\myaccount\appdata\local\temp) со случайной строкой для имени (dyyxi3ra.i2u.ps1) до того, как казнены. Это проблема, потому что программное обеспечение для управления, которое мы используем, блокирует его с помощью установленного правила. Правило было в силе, и только что обнаружил это на моем тестовом образе Windows 10 (7 все еще гудит).

Кто-нибудь знает, это ожидаемое поведение и это изменение от Windows 7? Google не помог, и TechNet был похож на поиск иголки в стоге сена, но я не уверен, что стог сена еще существует.

Заранее спасибо.

ETA: Это кажется нормальным поведением. При повторном входе в систему я получил похожее сообщение о том, что скрипт был заблокирован, и другая случайная строка .ps1. Он снова пытался запустить из временной папки локального профиля.

Я собираюсь протестировать, подписав свой скрипт, но сначала мне нужно обновить сертификат подписи кода. Я надеюсь, что проблема связана с политикой выполнения, и это решит проблему.

ETA2: В моем тестировании выяснилось, что каждый раз, когда выполняется удаленно сохраненный скрипт, он что-то копирует (сам скрипт?) временный файл в локальной папке профиля профиля. Сценарии входа включены. Если бы кто-нибудь мог указать мне на некоторые документы по этому вопросу, я был бы признателен.

ETA3: Обновленная информация о результатах пока ...

Похоже, это некоторое изменение между powershell V4 и более ранними версиями и V5. Я установил WMF5 на свое устройство Windows 7, и после этого я могу повторить то же поведение, которое я наблюдаю на устройстве Windows 10.

Я нашел статью, которая объясняет нечто похожее на то, что я вижу, но они используют AppLocker.

https://www.sysadmins.lv/blog-en/powershell-50-and-applocker-when-security-doesnt-mean-security.aspx

Я подумал, что, возможно, Bit9 обнаруживает языковой режим powershell и запускает его, но изменение режима с FullLanguage на ConstrainedLanguage, похоже, не имеет никакого значения в моей среде.

https://technet.microsoft.com/en-us/library/dn433292.aspx

Я не знаю, вызывает ли это что-либо у кого-либо в голове, но командная строка Powershell запускает уведомление Bit9, а Powershell ISE - нет. Я запустил get-module в обоих, чтобы увидеть, какие модули загружаются, и сравнил их между устройствами. По крайней мере, одно из устройств не загружает никаких модулей при запуске, поэтому я исключаю модуль как виновника. В чем разница между powershell.exe и ISE, которые могут вызывать запуск приложения из белого списка приложений?

1 ответ1

0

Одним словом, для совместимости с AppLocker, Microsoft встроила в powershell v5 запись файла .ps1 (и, возможно, .psm1) в% temp% при запуске, чтобы определить, в каком языковом режиме запускаться.

Рекомендуется следить за сценариями, запускаемыми из% temp%. К сожалению, если вы используете для этого приложение из белого списка приложений (например, Bit9 или AppLocker) и создаете правило для отслеживания сценариев powershell, использующих этот каталог на основе расширения файла, есть хороший шанс, что каждый раз при запуске powershell он запускает это правило.

По крайней мере, в моем случае это означает, что всякий раз, когда файл .ps1 запускается в контексте пользователя (например, сценарий входа в систему powershell), он будет запускать уведомление из приложения, включенного в белый список, и потенциально блокировать сценарий. Подписание сценария и настройка политики выполнения не имели значения в моем тестировании.

Некоторые соответствующие ссылки для получения дополнительной информации:

https://www.sysadmins.lv/blog-en/powershell-50-and-applocker-when-security-doesnt-mean-security.aspx

https://blogs.msdn.microsoft.com/powershell/2015/06/09/powershell-the-blue-team/

https://community.spiceworks.com/topic/1451109-srp-whitelist-causing-odd-behavior-in-powershell-v5

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .