3
Microsoft Powershell - Aufrufe unterbinden
Hallo zusammen,
ich habe nun Richtlinien definiert, die die Ausführung der Powershell blockieren. (Über Sophos Central)
Nun ist es leider so, dass ich einen Client dabei habe, der ca. alle 20 min. ein Powershell Script aufruft und der User eine dementsprechende Info bekommt im Systemtray, was sehr nervig ist.
Ich habe nur das Problem, dass ich überhaupt nicht weiß, wo der Aufruf initiert wird. Im Autostart, Aufgabenplanung sind keine Hinweise. Die Dienste habe ich schon überprüft und auch schon ein paar deaktiviert. Auch hier habe ich keine Hinweise bekommen auf den Auslöser.
Habt ihr noch weitere Hinweise /Stellen für mich, die ich prüfen kann?
Ich bedanke mich vorab für jede Unterstützung.
Gruß
Mario
ich habe nun Richtlinien definiert, die die Ausführung der Powershell blockieren. (Über Sophos Central)
Nun ist es leider so, dass ich einen Client dabei habe, der ca. alle 20 min. ein Powershell Script aufruft und der User eine dementsprechende Info bekommt im Systemtray, was sehr nervig ist.
Ich habe nur das Problem, dass ich überhaupt nicht weiß, wo der Aufruf initiert wird. Im Autostart, Aufgabenplanung sind keine Hinweise. Die Dienste habe ich schon überprüft und auch schon ein paar deaktiviert. Auch hier habe ich keine Hinweise bekommen auf den Auslöser.
Habt ihr noch weitere Hinweise /Stellen für mich, die ich prüfen kann?
Ich bedanke mich vorab für jede Unterstützung.
Gruß
Mario
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 463354
Url: https://administrator.de/contentid/463354
Ausgedruckt am: 22.11.2024 um 10:11 Uhr
3 Kommentare
Neuester Kommentar
Hi,
Du könntest für diesen Client diese Richtlinien wieder entfernen und erstmal aufzeichnen, welches Script bzw. welche Kommandos da ausgeführt werden. Das geht z.B. mit PROCMON. Über diese Info könntest Du dann der Quelle auf die Spur kommen.
E.
Du könntest für diesen Client diese Richtlinien wieder entfernen und erstmal aufzeichnen, welches Script bzw. welche Kommandos da ausgeführt werden. Das geht z.B. mit PROCMON. Über diese Info könntest Du dann der Quelle auf die Spur kommen.
E.
1
Hat super geholfen. Hat sofort geholfen.
Vielen Dank!
Vielen Dank!
Servus Mario,
für sowas auch immer sehr hilfreich wenn Procmon nicht gerade verfügbar ist, ist das Powershell-Operation-Log:
Zu finden in der Ereignisanzeige in den Anwendungs- und Dienstprotokollen
Dort werden sämtliche Operationen und ausgeführte Skripte detailliert geloggt.
Grüße Uwe
für sowas auch immer sehr hilfreich wenn Procmon nicht gerade verfügbar ist, ist das Powershell-Operation-Log:
Zu finden in der Ereignisanzeige in den Anwendungs- und Dienstprotokollen
Microsoft\Windows\Powershell\OperationalDort werden sämtliche Operationen und ausgeführte Skripte detailliert geloggt.
Grüße Uwe
1
