Get Windows Scripting Host info with PowerShell
German:
Hallo, wir möchten den Windows Script Host auf allen unseren VMs im Netzwerk deaktivieren. Da wir derzeit jedoch nicht wissen, welche Skripte noch vom WSH ausgeführt werden, und sie nicht auf jedem Server manuell überprüfen möchten / können, benötigen wir ein Skript, das die folgenden Eigenschaften für jedes System bereitstellt:
Ist WSH aktiviert?
Hat WSH kürzlich ein Skript ausgeführt?
Welches Skript wurde ausgeführt?
Wann wurde es durchgeführt?
Leider konnte ich im Internet nichts Passendes finden.
Vielen Dank für die Hilfe!
English:
Hello, we want to deactivate the Windows Script Host on all of our VMs in the network. However, since we currently do not know which scripts are still being executed by the WSH and do not want to / cannot check them manually on each server, we need a script which provides the following properties for each system:
Is WSH activated?
Has WSH been running a script recently?
Which script was executed?
When was it carried out?
Unfortunately, I couldn't find anything suitable on the Internet.
Many thanks for the help!
Hallo, wir möchten den Windows Script Host auf allen unseren VMs im Netzwerk deaktivieren. Da wir derzeit jedoch nicht wissen, welche Skripte noch vom WSH ausgeführt werden, und sie nicht auf jedem Server manuell überprüfen möchten / können, benötigen wir ein Skript, das die folgenden Eigenschaften für jedes System bereitstellt:
Ist WSH aktiviert?
Hat WSH kürzlich ein Skript ausgeführt?
Welches Skript wurde ausgeführt?
Wann wurde es durchgeführt?
Leider konnte ich im Internet nichts Passendes finden.
Vielen Dank für die Hilfe!
English:
Hello, we want to deactivate the Windows Script Host on all of our VMs in the network. However, since we currently do not know which scripts are still being executed by the WSH and do not want to / cannot check them manually on each server, we need a script which provides the following properties for each system:
Is WSH activated?
Has WSH been running a script recently?
Which script was executed?
When was it carried out?
Unfortunately, I couldn't find anything suitable on the Internet.
Many thanks for the help!
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 648126
Url: https://administrator.de/forum/get-windows-scripting-host-info-with-powershell-648126.html
Ausgedruckt am: 25.04.2025 um 10:04 Uhr
1 Kommentar
Unter
oder für den aktuellen User
Den DWORD LogSecuritySuccesses anlegen und auf 1 setzen.
Details zu weiteren Settings zum WSH siehe (ab Seite 40)
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/SiS ...
Dann wird das Ausführen eines Skriptes im System-Eventlog mit der Quelle Windows Script Host mit der ID 1001 geloggt.
Das kannst du dann mit Get-Eventlog oder Get-WinEvent in der Powershell auswerten.
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsScriptHost\Settings\oder für den aktuellen User
HKEY_CURRENT_USER\Software\Microsoft\WindowsScriptHost\Settings\Den DWORD LogSecuritySuccesses anlegen und auf 1 setzen.
Details zu weiteren Settings zum WSH siehe (ab Seite 40)
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/SiS ...
Dann wird das Ausführen eines Skriptes im System-Eventlog mit der Quelle Windows Script Host mit der ID 1001 geloggt.
Das kannst du dann mit Get-Eventlog oder Get-WinEvent in der Powershell auswerten.
1
