7
(Mir) Nicht bekanntes PowerShell-Skript im Log aufgetaucht!
Moin an die große Admin-Gemeinde.
Ich habe da mal ein Frage. Bei uns taucht immer häufiger ein Powershell Skript in den Logs auf, welches wir uns nichtr erklären können wo dieser Skript auf den Clients herkommt.
Habt Ihr schon von "set-eventlog.ps1" gelesen oder gehört dass diese von Microsoft verteilt oder genutzt wird?
Ich finde den Skript unter :
\\Domain.local\SYSVOL\Domain.local\Policies\{CDEA2B03-52A2-4C5C-A9A6-49F45D8ED783}\Machine\Scripts\Startup
Der Inhalt erscheint mich nicht als Gefährlich bin mir da aber gerade etwas unsicher
So wie ich den Skript lese passiert da folgendes :
Es konfiguriert die Protokollierungseinstellungen für eine Reihe von Windows-Ereignisprotokollen.
Was mich nur wundert, das Skript würde meiner Meinung nach Admin rechte brauchen. Diese sind in unserem Netzwerk allerdings absolut eingeschränkt (Laps / Tiering usw.) Daher wohl auch in unseren LOGs aufgetaucht.
Warum sollte Microsoft so etwas verbreiten? Da haben die doch ganz andere Möglichkeiten. Von uns Admin kann nur ich ein klein wenig PowerShell, also war das wohl keiner von uns.
Kann ich irgendwie nachvollziehen woher das Ding kommt? Das Verzeichnis ist übrigens schon etwas älter, kann sein dass die verschärften Skript Regeln von Microsoft, dass Ding jetzt auffliegen lassen.
Für jeden "qualifizierten" Hinweis wäre ich Dankbar.
Ich habe da mal ein Frage. Bei uns taucht immer häufiger ein Powershell Skript in den Logs auf, welches wir uns nichtr erklären können wo dieser Skript auf den Clients herkommt.
Habt Ihr schon von "set-eventlog.ps1" gelesen oder gehört dass diese von Microsoft verteilt oder genutzt wird?
Ich finde den Skript unter :
\\Domain.local\SYSVOL\Domain.local\Policies\{CDEA2B03-52A2-4C5C-A9A6-49F45D8ED783}\Machine\Scripts\Startup
Der Inhalt erscheint mich nicht als Gefährlich bin mir da aber gerade etwas unsicher
$LogNames = @( "Microsoft-Windows-LSA/Operational",
"Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational",
"Microsoft-Windows-TerminalServices-LocalSessionManager/Operational",
"Microsoft-Windows-CAPI2/Operational",
"Microsoft-Windows-CodeIntegrity/Operational",
"Microsoft-Windows-GroupPolicy/Operational",
"Microsoft-Windows-Kernel-PnP/Configuration",
"Microsoft-Windows-TaskScheduler/Operational",
"Microsoft-Windows-WMI-Activity/Operational",
"Microsoft-Windows-WinRM/Operational",
"Microsoft-Windows-Windows Firewall With Advanced Security/Firewall",
"Microsoft-Windows-Windows Firewall With Advanced Security/FirewallVerbose",
"Microsoft-Windows-DNS-Client/Operational",
"Microsoft-Windows-SMBClient/Connectivity",
"Microsoft-Windows-SMBClient/Security",
"Microsoft-Windows-SMBClient/Operational",
"Microsoft-Windows-SMBServer/Operational",
"Microsoft-Windows-SMBServer/Security",
"Microsoft-Windows-PowerShell/Operational"
)
$LogNames | Foreach-Object {
C:\Windows\System32\wevtutil.exe set-log $_ /enabled:true
C:\Windows\System32\wevtutil.exe set-log $_ /retention:false
If ($_ -eq "Microsoft-Windows-PowerShell/Operational") {
C:\Windows\System32\wevtutil.exe set-log $_ /maxsize:536870912
} elseif ($_ -eq "Microsoft-Windows-CAPI2/Operational") {
C:\Windows\System32\wevtutil.exe set-log $_ /maxsize:201326592
} elseif ($_ -eq "Microsoft-Windows-DNS-Client/Operational") {
C:\Windows\System32\wevtutil.exe set-log $_ /maxsize:201326592
} else {
C:\Windows\System32\wevtutil.exe set-log $_ /maxsize:33554432
}
}So wie ich den Skript lese passiert da folgendes :
Es konfiguriert die Protokollierungseinstellungen für eine Reihe von Windows-Ereignisprotokollen.
- Es definiert eine Liste von Ereignisprotokollnamen, die konfiguriert werden sollen.
- Für jedes Protokoll in der Liste führt es die folgenden Aktionen aus:
- Es aktiviert das Protokoll, wenn es nicht bereits aktiviert ist.
- Es deaktiviert die Protokollretention, was bedeutet, dass alte Ereignisse überschrieben werden, wenn das Protokoll seine maximale Größe erreicht.
- Es legt die maximale Größe des Protokolls fest. Die Größe variiert je nach Protokoll. Zum Beispiel wird die maximale Größe für das “Microsoft-Windows-PowerShell/Operational”-Protokoll auf 512 MB gesetzt, während die meisten anderen Protokolle auf 32 MB gesetzt werden.
Was mich nur wundert, das Skript würde meiner Meinung nach Admin rechte brauchen. Diese sind in unserem Netzwerk allerdings absolut eingeschränkt (Laps / Tiering usw.) Daher wohl auch in unseren LOGs aufgetaucht.
Warum sollte Microsoft so etwas verbreiten? Da haben die doch ganz andere Möglichkeiten. Von uns Admin kann nur ich ein klein wenig PowerShell, also war das wohl keiner von uns.
Kann ich irgendwie nachvollziehen woher das Ding kommt? Das Verzeichnis ist übrigens schon etwas älter, kann sein dass die verschärften Skript Regeln von Microsoft, dass Ding jetzt auffliegen lassen.
Für jeden "qualifizierten" Hinweis wäre ich Dankbar.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 22859682529
Url: https://administrator.de/contentid/22859682529
Ausgedruckt am: 21.11.2024 um 21:11 Uhr
7 Kommentare
Neuester Kommentar
Vielleicht ist das unbewusst bei der Installation einer Logging/Monitoring Software die das da abgelegt hat dort gelandet, um das Eventlogging auf den Clients entsprechend per GPO Startskript zu aktivieren und die dann regelmäßig Logs dort einsammeln wollte.
Schau dir einfach die GPO dazu an, die GUID davon steht ja bereits im Pfad.
Gruß
Schau dir einfach die GPO dazu an, die GUID davon steht ja bereits im Pfad.
Get-GPO -guid 'CDEA2B03-52A2-4C5C-A9A6-49F45D8ED783' | fl * Gruß
1
Nebenbei aber dennoch qualifiziert: https://www.duden.de/rechtschreibung/Skript
...ist sächlich!
...ist sächlich!
1
Das ist ein GPO-basiertes Startskript, welches mit Systemrechten arbeitet. Vermutlich von deinen Kollegen da abgelegt, da es mehr als unüblich ist, dass eine Software auf einem Domänencontroller GPOs anlegt.
Die GUID der GPO steht da: {CDEA2B03-52A2-4C5C-A9A6-49F45D8ED783} somit wirst Du sie finden können und vielleicht hat der Ersteller ja sogar einen Kommentar in der Beschreibung hinterlassen.
Die GUID der GPO steht da: {CDEA2B03-52A2-4C5C-A9A6-49F45D8ED783} somit wirst Du sie finden können und vielleicht hat der Ersteller ja sogar einen Kommentar in der Beschreibung hinterlassen.
Moin,
das Script ist Teil einer GPO, und wird dort im Computerkontext (also mit Systemrechten) als Startup Script aufgerufen. Geht mal eure GPOs durch...
lg,
Slainte
Ich finde DAS Skript unter :
\\Domain.local\SYSVOL\Domain.local\Policies\{CDEA2B03-52A2-4C5C-A9A6-49F45D8ED783}\Machine\Scripts\Startup
\\Domain.local\SYSVOL\Domain.local\Policies\{CDEA2B03-52A2-4C5C-A9A6-49F45D8ED783}\Machine\Scripts\Startup
das Script ist Teil einer GPO, und wird dort im Computerkontext (also mit Systemrechten) als Startup Script aufgerufen. Geht mal eure GPOs durch...
lg,
Slainte
Hallo,
Das ist der Schwarz/Weiß Beweis. Es gibt noch Heinzelmännchen/Frauen.
Gruss,
Peter
Das ist der Schwarz/Weiß Beweis. Es gibt noch Heinzelmännchen/Frauen.
Gruss,
Peter
1
ich stimme den vorrednern zu ist in einer GPO als start script definiert worden.
somit solltest du wenn du das GPO Objekt gefunden hast auch eventuell sehen wer es erstellt hat oder wer es editiert hat oder so (also die GPO)...
somit solltest du wenn du das GPO Objekt gefunden hast auch eventuell sehen wer es erstellt hat oder wer es editiert hat oder so (also die GPO)...
Oh man... Wenn ich Euch nicht hätte 
O.K. - Hier - durch eure Anregung - die Lösung meiner verknoteten Gedanken
Nach dem ich die GPO durchsucht habe (getriggert durch den GET-GPO) konnte ich tatsächlich diesen PowerShell Skript zuordnen. Es ist wie Ihr sagt, es wird durch die GPO als Start Skript definiert.
Dies wurde zum Anfang des Ukraine Krieges durch eine Sicherheitsfirma bei uns, neben anderen Security Einstellungen, implementiert.
Mein Gedankenknoten ist der, dass es bisher nicht in unseren LOGs auftauchte, sondern erst jetzt neuerdings geblockt wird. Ich gehe mal davon aus, wie schon oben von mir angenommen, dass MS die PowerShell Skriptausführung mit einem der letzten Updates, wieder verschärft hat und somit bei unseren Überwachungssystem im LOG auftaucht.
Euch ein herzliches Dankeschön für den Denkanstoß und die Lösung des Knotens
O.K. - Hier - durch eure Anregung - die Lösung meiner verknoteten Gedanken
Nach dem ich die GPO durchsucht habe (getriggert durch den GET-GPO) konnte ich tatsächlich diesen PowerShell Skript zuordnen. Es ist wie Ihr sagt, es wird durch die GPO als Start Skript definiert.
Dies wurde zum Anfang des Ukraine Krieges durch eine Sicherheitsfirma bei uns, neben anderen Security Einstellungen, implementiert.
Mein Gedankenknoten ist der, dass es bisher nicht in unseren LOGs auftauchte, sondern erst jetzt neuerdings geblockt wird. Ich gehe mal davon aus, wie schon oben von mir angenommen, dass MS die PowerShell Skriptausführung mit einem der letzten Updates, wieder verschärft hat und somit bei unseren Überwachungssystem im LOG auftaucht.
Euch ein herzliches Dankeschön für den Denkanstoß und die Lösung des Knotens
