MichaTo 10 Geschrieben 9. Dezember 2011 Melden Teilen Geschrieben 9. Dezember 2011 Hallo zusammen, nachdem ich jetzt mein erstest 'richtiges' Powershell-Skript fertiggestellt habe und es so funktioniert wie es soll, hab ich mich riesig gefreut! Nun meine Frage: Ist es bedenklich, dass auf einem Client PC die Windows Powershell installiert ist?! Der Standardnutzer kann die Powershell von seinem Arbeitsplatz ja starten. Jetzt ist die Frage ob jemand mit genug Kentnissen Abfragen bzw. Cmdlets starten und auswerten kann, die nicht im Sinne des Admins wären. Zum Netzwerk: - Wir haben eine Domäne, die die Nutzer via GPO in ihrem Handeln einschränkt - 95% der Rechner arbeiten mit Windows XP; die restlichen sind mit Win7 Prof ausgestattet. - Jeder Nutzer ist mit seinem Domänenkonto in der lokalen Gruppe der Hauptbenutzer aufgenommen. Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 9. Dezember 2011 Melden Teilen Geschrieben 9. Dezember 2011 Welche Comandlets wären das? Mit der Powershell hat man genauso viel machen, wie die Benutzerrechte es zulassen. Zitieren Link zu diesem Kommentar
MichaTo 10 Geschrieben 9. Dezember 2011 Autor Melden Teilen Geschrieben 9. Dezember 2011 Ein Beispiel wäre Get-WMIObject -win32_xyz Hiermit lässt sich ja bekanntlich eine WMI Abfrage durchführen. Ich weiß allerdings nicht, in wiefern der Nutzer damit an Informationen gelangen kann, die für ihn nicht bestimmt sind. Die WMI Abfrage ist auch nur ein Beispiel. Mein Gedanke ist: Wenn der Nutzer WMI Abfragen durchführen kann, wer weiß was er sonst noch mit der Powershell anstellen kann (an den GPO's vorbei) Gruß Micha Zitieren Link zu diesem Kommentar
jarazul 10 Geschrieben 9. Dezember 2011 Melden Teilen Geschrieben 9. Dezember 2011 wmi Queries kann der User auch mit wbemtest oder VBS machen. Wie schon erwähnt, erhält der User beim Ausführen eines PS-Scripts (oder VBScript oder .bat-File) eben nur genau die Rechte, die er eh schon hat. Und jaja, es gab mal vor x Jahren ein Win XP Bug mit dem ein Standarduser per "at" sich System Rechte beschaffen konnte. Wenn du einen Fall hast, der für dich bedenklich ist, dann sperrst du Powershell, VBS und / oder .bat. cheers, Daniel Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 9. Dezember 2011 Melden Teilen Geschrieben 9. Dezember 2011 Wenn der User per Powershell WMI abfragen stellen kann kann er das auch ohne. Welche WMI Abfragen sind denn so gefährlich, dass diese nicht von Usern abgefragt werden dürfen? Wenn du das nicht willst, musst du WMI so konfigurieren, dass die User keine WMI Abfragen stellen darf. Die Powershell umgeht keine Rechte. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.