(Mir) Nicht bekanntes PowerShell-Skript im Log aufgetaucht!
Moin an die große Admin-Gemeinde.
Ich habe da mal ein Frage. Bei uns taucht immer häufiger ein Powershell Skript in den Logs auf, welches wir uns nichtr erklären können wo dieser Skript auf den Clients herkommt.
Habt Ihr schon von "set-eventlog.ps1" gelesen oder gehört dass diese von Microsoft verteilt oder genutzt wird?
Ich finde den Skript unter :
\\Domain.local\SYSVOL\Domain.local\Policies\{CDEA2B03-52A2-4C5C-A9A6-49F45D8ED783}\Machine\Scripts\Startup
Der Inhalt erscheint mich nicht als Gefährlich bin mir da aber gerade etwas unsicher
So wie ich den Skript lese passiert da folgendes :
Es konfiguriert die Protokollierungseinstellungen für eine Reihe von Windows-Ereignisprotokollen.
Was mich nur wundert, das Skript würde meiner Meinung nach Admin rechte brauchen. Diese sind in unserem Netzwerk allerdings absolut eingeschränkt (Laps / Tiering usw.) Daher wohl auch in unseren LOGs aufgetaucht.
Warum sollte Microsoft so etwas verbreiten? Da haben die doch ganz andere Möglichkeiten. Von uns Admin kann nur ich ein klein wenig PowerShell, also war das wohl keiner von uns.
Kann ich irgendwie nachvollziehen woher das Ding kommt? Das Verzeichnis ist übrigens schon etwas älter, kann sein dass die verschärften Skript Regeln von Microsoft, dass Ding jetzt auffliegen lassen.
Für jeden "qualifizierten" Hinweis wäre ich Dankbar.
Ich habe da mal ein Frage. Bei uns taucht immer häufiger ein Powershell Skript in den Logs auf, welches wir uns nichtr erklären können wo dieser Skript auf den Clients herkommt.
Habt Ihr schon von "set-eventlog.ps1" gelesen oder gehört dass diese von Microsoft verteilt oder genutzt wird?
Ich finde den Skript unter :
\\Domain.local\SYSVOL\Domain.local\Policies\{CDEA2B03-52A2-4C5C-A9A6-49F45D8ED783}\Machine\Scripts\Startup
Der Inhalt erscheint mich nicht als Gefährlich bin mir da aber gerade etwas unsicher
$LogNames = @( "Microsoft-Windows-LSA/Operational",
"Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational",
"Microsoft-Windows-TerminalServices-LocalSessionManager/Operational",
"Microsoft-Windows-CAPI2/Operational",
"Microsoft-Windows-CodeIntegrity/Operational",
"Microsoft-Windows-GroupPolicy/Operational",
"Microsoft-Windows-Kernel-PnP/Configuration",
"Microsoft-Windows-TaskScheduler/Operational",
"Microsoft-Windows-WMI-Activity/Operational",
"Microsoft-Windows-WinRM/Operational",
"Microsoft-Windows-Windows Firewall With Advanced Security/Firewall",
"Microsoft-Windows-Windows Firewall With Advanced Security/FirewallVerbose",
"Microsoft-Windows-DNS-Client/Operational",
"Microsoft-Windows-SMBClient/Connectivity",
"Microsoft-Windows-SMBClient/Security",
"Microsoft-Windows-SMBClient/Operational",
"Microsoft-Windows-SMBServer/Operational",
"Microsoft-Windows-SMBServer/Security",
"Microsoft-Windows-PowerShell/Operational"
)
$LogNames | Foreach-Object {
C:\Windows\System32\wevtutil.exe set-log $_ /enabled:true
C:\Windows\System32\wevtutil.exe set-log $_ /retention:false
If ($_ -eq "Microsoft-Windows-PowerShell/Operational") {
C:\Windows\System32\wevtutil.exe set-log $_ /maxsize:536870912
} elseif ($_ -eq "Microsoft-Windows-CAPI2/Operational") {
C:\Windows\System32\wevtutil.exe set-log $_ /maxsize:201326592
} elseif ($_ -eq "Microsoft-Windows-DNS-Client/Operational") {
C:\Windows\System32\wevtutil.exe set-log $_ /maxsize:201326592
} else {
C:\Windows\System32\wevtutil.exe set-log $_ /maxsize:33554432
}
}
So wie ich den Skript lese passiert da folgendes :
Es konfiguriert die Protokollierungseinstellungen für eine Reihe von Windows-Ereignisprotokollen.
- Es definiert eine Liste von Ereignisprotokollnamen, die konfiguriert werden sollen.
- Für jedes Protokoll in der Liste führt es die folgenden Aktionen aus:
- Es aktiviert das Protokoll, wenn es nicht bereits aktiviert ist.
- Es deaktiviert die Protokollretention, was bedeutet, dass alte Ereignisse überschrieben werden, wenn das Protokoll seine maximale Größe erreicht.
- Es legt die maximale Größe des Protokolls fest. Die Größe variiert je nach Protokoll. Zum Beispiel wird die maximale Größe für das “Microsoft-Windows-PowerShell/Operational”-Protokoll auf 512 MB gesetzt, während die meisten anderen Protokolle auf 32 MB gesetzt werden.
Was mich nur wundert, das Skript würde meiner Meinung nach Admin rechte brauchen. Diese sind in unserem Netzwerk allerdings absolut eingeschränkt (Laps / Tiering usw.) Daher wohl auch in unseren LOGs aufgetaucht.
Warum sollte Microsoft so etwas verbreiten? Da haben die doch ganz andere Möglichkeiten. Von uns Admin kann nur ich ein klein wenig PowerShell, also war das wohl keiner von uns.
Kann ich irgendwie nachvollziehen woher das Ding kommt? Das Verzeichnis ist übrigens schon etwas älter, kann sein dass die verschärften Skript Regeln von Microsoft, dass Ding jetzt auffliegen lassen.
Für jeden "qualifizierten" Hinweis wäre ich Dankbar.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 22859682529
Url: https://administrator.de/forum/mir-nicht-bekanntes-powershell-skript-im-log-aufgetaucht-22859682529.html
Ausgedruckt am: 22.12.2024 um 06:12 Uhr
7 Kommentare
Neuester Kommentar
Vielleicht ist das unbewusst bei der Installation einer Logging/Monitoring Software die das da abgelegt hat dort gelandet, um das Eventlogging auf den Clients entsprechend per GPO Startskript zu aktivieren und die dann regelmäßig Logs dort einsammeln wollte.
Schau dir einfach die GPO dazu an, die GUID davon steht ja bereits im Pfad.
Gruß
Schau dir einfach die GPO dazu an, die GUID davon steht ja bereits im Pfad.
Get-GPO -guid 'CDEA2B03-52A2-4C5C-A9A6-49F45D8ED783' | fl *
Gruß
Nebenbei aber dennoch qualifiziert: https://www.duden.de/rechtschreibung/Skript
...ist sächlich!
...ist sächlich!
Das ist ein GPO-basiertes Startskript, welches mit Systemrechten arbeitet. Vermutlich von deinen Kollegen da abgelegt, da es mehr als unüblich ist, dass eine Software auf einem Domänencontroller GPOs anlegt.
Die GUID der GPO steht da: {CDEA2B03-52A2-4C5C-A9A6-49F45D8ED783} somit wirst Du sie finden können und vielleicht hat der Ersteller ja sogar einen Kommentar in der Beschreibung hinterlassen.
Die GUID der GPO steht da: {CDEA2B03-52A2-4C5C-A9A6-49F45D8ED783} somit wirst Du sie finden können und vielleicht hat der Ersteller ja sogar einen Kommentar in der Beschreibung hinterlassen.
Hallo,
Das ist der Schwarz/Weiß Beweis. Es gibt noch Heinzelmännchen/Frauen.
Gruss,
Peter
Das ist der Schwarz/Weiß Beweis. Es gibt noch Heinzelmännchen/Frauen.
Gruss,
Peter