mario87
Goto Top

Microsoft Powershell - Aufrufe unterbinden

Hallo zusammen,
ich habe nun Richtlinien definiert, die die Ausführung der Powershell blockieren. (Über Sophos Central)
Nun ist es leider so, dass ich einen Client dabei habe, der ca. alle 20 min. ein Powershell Script aufruft und der User eine dementsprechende Info bekommt im Systemtray, was sehr nervig ist.

Ich habe nur das Problem, dass ich überhaupt nicht weiß, wo der Aufruf initiert wird. Im Autostart, Aufgabenplanung sind keine Hinweise. Die Dienste habe ich schon überprüft und auch schon ein paar deaktiviert. Auch hier habe ich keine Hinweise bekommen auf den Auslöser.

Habt ihr noch weitere Hinweise /Stellen für mich, die ich prüfen kann?

Ich bedanke mich vorab für jede Unterstützung.

Gruß
Mario

Content-Key: 463354

Url: https://administrator.de/contentid/463354

Ausgedruckt am: 29.03.2024 um 11:03 Uhr

Mitglied: emeriks
Lösung emeriks 18.06.2019 um 08:16:22 Uhr
Goto Top
Hi,
Du könntest für diesen Client diese Richtlinien wieder entfernen und erstmal aufzeichnen, welches Script bzw. welche Kommandos da ausgeführt werden. Das geht z.B. mit PROCMON. Über diese Info könntest Du dann der Quelle auf die Spur kommen.

E.
Mitglied: mario87
mario87 18.06.2019 um 11:23:26 Uhr
Goto Top
Hat super geholfen. Hat sofort geholfen.
Vielen Dank!
Mitglied: colinardo
Lösung colinardo 18.06.2019 aktualisiert um 15:59:56 Uhr
Goto Top
Servus Mario,
für sowas auch immer sehr hilfreich wenn Procmon nicht gerade verfügbar ist, ist das Powershell-Operation-Log:
Zu finden in der Ereignisanzeige in den Anwendungs- und Dienstprotokollen
Microsoft\Windows\Powershell\Operational
Dort werden sämtliche Operationen und ausgeführte Skripte detailliert geloggt.

Grüße Uwe