6
Unsignierte Start- und Anmeldeskripte laufen trotz AllSigned Policy
Guten Morgen,
die Executionpolicy für Powershell ist in meinem Netzwerk ist auf "AllSigned". Trotzdem werden unsignierte Start- und Anmeldeskripte auf allen Maschinen ausgeführt.
Sobald der Benutzer angemeldet ist, lassen sich keine unsignierten Skripte mehr ausführen.
Ist das so gewollt? werden Start- und Anmeldeskripte grundsätzlich vertraut?
Grüße
die Executionpolicy für Powershell ist in meinem Netzwerk ist auf "AllSigned". Trotzdem werden unsignierte Start- und Anmeldeskripte auf allen Maschinen ausgeführt.
Sobald der Benutzer angemeldet ist, lassen sich keine unsignierten Skripte mehr ausführen.
Ist das so gewollt? werden Start- und Anmeldeskripte grundsätzlich vertraut?
Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 449878
Url: https://administrator.de/contentid/449878
Printed on: April 27, 2024 at 13:04 o'clock
6 Comments
Latest comment
Zitat von @sskrubble:
Guten Morgen,
die Executionpolicy für Powershell ist in meinem Netzwerk ist auf "AllSigned". Trotzdem werden unsignierte Start- und Anmeldeskripte auf allen Maschinen ausgeführt.
Sobald der Benutzer angemeldet ist, lassen sich keine unsignierten Skripte mehr ausführen.
Ist das so gewollt? werden Start- und Anmeldeskripte grundsätzlich vertraut?
Nein.Guten Morgen,
die Executionpolicy für Powershell ist in meinem Netzwerk ist auf "AllSigned". Trotzdem werden unsignierte Start- und Anmeldeskripte auf allen Maschinen ausgeführt.
Sobald der Benutzer angemeldet ist, lassen sich keine unsignierten Skripte mehr ausführen.
Ist das so gewollt? werden Start- und Anmeldeskripte grundsätzlich vertraut?
Nach deiner Schilderung hast du die Policy anstatt auf die Computer auf die User angewendet, und das macht natürlich den Unterschied den du gerade siehst.
Gruß wireguard
Nein eben nicht.
Die MachinePolicy steht auf AllSigned.
Ich kann also selbst als Administrator die Policy nicht umgehen. Selbst wenn ich die Process-Policy auf Unrestricted setze, kann ich keine unsignierten Skripte ausführen. Was ja auch mein Ziel ist.
Aber nach wie vor laufen Start- und Anmeldeskripte unsigniert durch.
Die MachinePolicy steht auf AllSigned.
Ich kann also selbst als Administrator die Policy nicht umgehen. Selbst wenn ich die Process-Policy auf Unrestricted setze, kann ich keine unsignierten Skripte ausführen. Was ja auch mein Ziel ist.
Aber nach wie vor laufen Start- und Anmeldeskripte unsigniert durch.
Zitat von @sskrubble:
Nein eben nicht.
Die MachinePolicy steht auf AllSigned.
Ich kann also selbst als Administrator die Policy nicht umgehen. Selbst wenn ich die Process-Policy auf Unrestricted setze, kann ich keine unsignierten Skripte ausführen. Was ja auch mein Ziel ist.
Aber nach wie vor laufen Start- und Anmeldeskripte unsigniert durch.
Dann stimmt mit der Maschine oder der GPO was nicht. Lass dir mal alle Scopes mit Get-Executionpolicy ausgeben sowohl in einer administativen Konsole in einer Session als auch in einem Startskript.Nein eben nicht.
Die MachinePolicy steht auf AllSigned.
Ich kann also selbst als Administrator die Policy nicht umgehen. Selbst wenn ich die Process-Policy auf Unrestricted setze, kann ich keine unsignierten Skripte ausführen. Was ja auch mein Ziel ist.
Aber nach wie vor laufen Start- und Anmeldeskripte unsigniert durch.
Außerdem fehlt jegliche Information zum genutzten OS und der Umgebung
.
Moin,
Doch. Die Standardexecutionpolicy für Logon-/Start-/Logoff- und Stopscripts, die in GPOs eingebunden werden, ist bypass. Alles andere ist falsch. Ich habe noch NIE ein PS-Skript signieren oder sonstwas damit machen müssen, obwohl die Policy auf normalen Maschinen nicht verändert wird und somit auf restricted steht. Das kann man übrigens auch in allen Anleitungen von MS (nicht) nachlesen. Z. B. in dieser Anleitung: https://devblogs.microsoft.com/scripting/using-group-policy-to-deploy-a- ... Da steht nichts von Änderungen an der Policy.
hth
Erik
Zitat von @139708:
Zitat von @sskrubble:
Guten Morgen,
die Executionpolicy für Powershell ist in meinem Netzwerk ist auf "AllSigned". Trotzdem werden unsignierte Start- und Anmeldeskripte auf allen Maschinen ausgeführt.
Sobald der Benutzer angemeldet ist, lassen sich keine unsignierten Skripte mehr ausführen.
Ist das so gewollt? werden Start- und Anmeldeskripte grundsätzlich vertraut?
Nein.Guten Morgen,
die Executionpolicy für Powershell ist in meinem Netzwerk ist auf "AllSigned". Trotzdem werden unsignierte Start- und Anmeldeskripte auf allen Maschinen ausgeführt.
Sobald der Benutzer angemeldet ist, lassen sich keine unsignierten Skripte mehr ausführen.
Ist das so gewollt? werden Start- und Anmeldeskripte grundsätzlich vertraut?
Doch. Die Standardexecutionpolicy für Logon-/Start-/Logoff- und Stopscripts, die in GPOs eingebunden werden, ist bypass. Alles andere ist falsch. Ich habe noch NIE ein PS-Skript signieren oder sonstwas damit machen müssen, obwohl die Policy auf normalen Maschinen nicht verändert wird und somit auf restricted steht. Das kann man übrigens auch in allen Anleitungen von MS (nicht) nachlesen. Z. B. in dieser Anleitung: https://devblogs.microsoft.com/scripting/using-group-policy-to-deploy-a- ... Da steht nichts von Änderungen an der Policy.
hth
Erik
Servus
http://woshub.com/running-powershell-startup-scripts-using-gpo/
Grüße Uwe
Zitat von @erikro:
Doch. Die Standardexecutionpolicy für Logon-/Start-/Logoff- und Stopscripts, die in GPOs eingebunden werden, ist bypass. Alles andere ist falsch.
Korrekt, hier steht's auch nochmal zum Nachlesen.Doch. Die Standardexecutionpolicy für Logon-/Start-/Logoff- und Stopscripts, die in GPOs eingebunden werden, ist bypass. Alles andere ist falsch.
http://woshub.com/running-powershell-startup-scripts-using-gpo/
Grüße Uwe
Alles klar, Danke!