zahni 554 Geschrieben 25. Februar 2015 Melden Teilen Geschrieben 25. Februar 2015 Hi, lässt sich der Powershell interactive mode für User irgendwie deaktivieren? Hintergrund: Man hat festgestellt, dass man irgendwo eine Verknüpfung anlegen kann und dort als Ziel manuell die Powershell.exe aus dem Windows-Ordner eintragen kann. Damit lässt sich die Powershell auch als User im interactive mode starten und der User kann auf Laufwerk C: zugreifen, obwohl es ausgeblendet ist. Die entsprechende Richtlinie für die CMD.EXE (mit der geht es nicht) greift leider bei der Powershell.exe nicht. Powershell per SRP ganz blockieren können wir nicht (mehr) -Zahni Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 25. Februar 2015 Melden Teilen Geschrieben 25. Februar 2015 Moin, im Kern stehst du hier vor dem Problem, dass "Ausblenden" kein Sicherheitsfeature ist. Es bezieht sich immer nur auf bestimmte Komponenten des Systems. Kann eine andere Komponente zugreifen, dann geht das eben. Dein eigentliches Problem wirst du also nur über Sicherheitsmechanismen in den Griff kriegen, hier also wohl über Berechtigungen. Willst du verhindern, dass ein User an bestimmte Stellen im Dateisystem kommt, dann musst du die Berechtigungen passend setzen. Sonst bleibt es immer Stückwerk. Was würdest du etwa tun, wenn der User ein anderes Stück Software ausführt, das sich auch nicht um das Ausblenden schert? Gruß, Nils Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 25. Februar 2015 Autor Melden Teilen Geschrieben 25. Februar 2015 Hi Nils, darum geht es nicht im Speziellen. Unsere Richtlinien sind ausreichend rigide. Es geht nur um den Fakt, dass man die Powershell.exe interaktiv starten kann. Der User kann damit eigentlich nicht kaputt machen. Höchstens in seinem Profil. Das Problem ist ein Audit, die das bemängelt haben (die müssen halt irgendwas finden ;) ) Daher meine Frage: Kann man, so wie bei der CMD.EXE (DisableCMD), die Powershell.exe interaktiv sperren? Wenn wir die Powershell.exe global sperren (das bekommen wir hin), kann sie auch nicht mehr in Anmeldeskripten u.ä. verwendet werden. Leider erlaubt der Windows-Explorer die Erstellung einer Verknüpfung auf eine EXE aus C:\windows..., obwohl Laufwerk C: ausgeblendet ist. -Zahni Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 25. Februar 2015 Melden Teilen Geschrieben 25. Februar 2015 Doch genau darum geht es. Wenn du mir den Weg über die Verknüpfung nimmst, dann nehme ich halt einen anderen Weg um an die Powershell zu kommen, Excel, Word etc. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 25. Februar 2015 Autor Melden Teilen Geschrieben 25. Februar 2015 Ich will nur die gleiche Funktionalität: https://technet.microsoft.com/en-us/library/cc787344%28v=ws.10%29.aspx Das kann ein normaler User nicht ohne weiteres umgehen. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 25. Februar 2015 Melden Teilen Geschrieben 25. Februar 2015 Moin, wäre mir nicht bekannt, dass es sowas gibt. Und als Antwort für die Auditoren: Das hat mit Sicherheit herzlich wenig zu tun. Die Execution Policy ist viel sinnvoller, und dazu gibt es in CMD kein Pendant. Gruß, Nils Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 25. Februar 2015 Melden Teilen Geschrieben 25. Februar 2015 Zum Thema "DisableCMD" - das ist Schlangenöl :) Nimm TotalCommander, File Comander, command.com, 4dos/4os2/4winnt, irgendwas anderes, was sich darum nicht schert. Nils hat Recht... Und der betreffende Auditor keine Ahnung. Auch wenn Du ihm das wohl so nicht sagen solltest :D Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 25. Februar 2015 Autor Melden Teilen Geschrieben 25. Februar 2015 Ne, dem sage ich das nicht. Ist eine bekannte Fa. in dem Bereich ;) Fremde Programme können unsere User nicht ausführen. Da haben wir ziemlich lange an GPO & Co rumgefummelt. Also keins der genannten Beispiele ;) Main Kollege hat jetzt irgendwas gebastelt. Muss ihn nochmal fragen was er gemacht hat. Irgendwas in der Richtig keine LNK-Dateien auf Netzlaufwerken. Man muss die Leute doch glücklich machen. Das SP3 vom SQL2008 auf einem Server wurde auch für anfällig befunden. Da hat er aber die letzen bei Stellen im Build des SQL-Servers übersehen ;) Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 25. Februar 2015 Melden Teilen Geschrieben 25. Februar 2015 Moin, wäre mir nicht bekannt, dass es sowas gibt. Und als Antwort für die Auditoren: Das hat mit Sicherheit herzlich wenig zu tun. Die Execution Policy ist viel sinnvoller, und dazu gibt es in CMD kein Pendant. Gruß, Nils rechte Maustaste auf die Skriptdatei -> Ausführen mit Powershell , dann interessiert Windows herzlich wenig, was in der Executionpolicy steht. Richtige Sicherheit finde ich das auch nicht. blub Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 25. Februar 2015 Autor Melden Teilen Geschrieben 25. Februar 2015 Das geht dann bei uns wieder nicht. Weil PS1-Files "Böse" sind und nur von bestimmen (für den User read-only) Ordnern ausgeführt werden dürfen. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 25. Februar 2015 Melden Teilen Geschrieben 25. Februar 2015 ...was ja auch die richtige Grundeinstellung ist :) Für das konkrete Problem hilft das natürlich nicht, und ich gebe zu: Mir fällt nicht wirklich was Praktikables ein. irgendwo hat der User immer Schreibrechte und kann sich da einen Shortcut erstellen, der "irgendwohin" zeigt. BTW: Die ExecutionPolicy halte ich auch für Schlangenöl, weil die nur auf die IE-Zonen zurückgreift. Das hätten sie sich sparen können... Kopiere das File lokal, mach den ADS "Zone.Identifier" weg und die ExecutionPolicy ist sinnlos. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.