dr.mabuse
Goto Top

(Mir) Nicht bekanntes PowerShell-Skript im Log aufgetaucht!

Moin an die große Admin-Gemeinde.

Ich habe da mal ein Frage. Bei uns taucht immer häufiger ein Powershell Skript in den Logs auf, welches wir uns nichtr erklären können wo dieser Skript auf den Clients herkommt.

Habt Ihr schon von "set-eventlog.ps1" gelesen oder gehört dass diese von Microsoft verteilt oder genutzt wird?

Ich finde den Skript unter :
\\Domain.local\SYSVOL\Domain.local\Policies\{CDEA2B03-52A2-4C5C-A9A6-49F45D8ED783}\Machine\Scripts\Startup

Der Inhalt erscheint mich nicht als Gefährlich bin mir da aber gerade etwas unsicher

$LogNames = @(  "Microsoft-Windows-LSA/Operational",   
                "Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational",   
                "Microsoft-Windows-TerminalServices-LocalSessionManager/Operational",  
                "Microsoft-Windows-CAPI2/Operational",  
                "Microsoft-Windows-CodeIntegrity/Operational",  
                "Microsoft-Windows-GroupPolicy/Operational",   
                "Microsoft-Windows-Kernel-PnP/Configuration",   
                "Microsoft-Windows-TaskScheduler/Operational",  
                "Microsoft-Windows-WMI-Activity/Operational",   
                "Microsoft-Windows-WinRM/Operational",   
                "Microsoft-Windows-Windows Firewall With Advanced Security/Firewall",   
                "Microsoft-Windows-Windows Firewall With Advanced Security/FirewallVerbose",  
                "Microsoft-Windows-DNS-Client/Operational",   
                "Microsoft-Windows-SMBClient/Connectivity",   
                "Microsoft-Windows-SMBClient/Security",   
                "Microsoft-Windows-SMBClient/Operational",   
                "Microsoft-Windows-SMBServer/Operational",   
                "Microsoft-Windows-SMBServer/Security",   
                "Microsoft-Windows-PowerShell/Operational"          
            )


$LogNames | Foreach-Object {

    C:\Windows\System32\wevtutil.exe set-log $_ /enabled:true
    C:\Windows\System32\wevtutil.exe set-log $_ /retention:false

    If ($_ -eq "Microsoft-Windows-PowerShell/Operational") {  
        C:\Windows\System32\wevtutil.exe set-log $_ /maxsize:536870912        
    } elseif ($_ -eq "Microsoft-Windows-CAPI2/Operational") {  
        C:\Windows\System32\wevtutil.exe set-log $_ /maxsize:201326592        
    } elseif ($_ -eq "Microsoft-Windows-DNS-Client/Operational") {  
        C:\Windows\System32\wevtutil.exe set-log $_ /maxsize:201326592        
    } else {
        C:\Windows\System32\wevtutil.exe set-log $_ /maxsize:33554432
    }
    
}

So wie ich den Skript lese passiert da folgendes :
Es konfiguriert die Protokollierungseinstellungen für eine Reihe von Windows-Ereignisprotokollen.

  • Es definiert eine Liste von Ereignisprotokollnamen, die konfiguriert werden sollen.
  • Für jedes Protokoll in der Liste führt es die folgenden Aktionen aus:
  • Es aktiviert das Protokoll, wenn es nicht bereits aktiviert ist.
  • Es deaktiviert die Protokollretention, was bedeutet, dass alte Ereignisse überschrieben werden, wenn das Protokoll seine maximale Größe erreicht.
  • Es legt die maximale Größe des Protokolls fest. Die Größe variiert je nach Protokoll. Zum Beispiel wird die maximale Größe für das “Microsoft-Windows-PowerShell/Operational”-Protokoll auf 512 MB gesetzt, während die meisten anderen Protokolle auf 32 MB gesetzt werden.

Was mich nur wundert, das Skript würde meiner Meinung nach Admin rechte brauchen. Diese sind in unserem Netzwerk allerdings absolut eingeschränkt (Laps / Tiering usw.) Daher wohl auch in unseren LOGs aufgetaucht.

Warum sollte Microsoft so etwas verbreiten? Da haben die doch ganz andere Möglichkeiten. Von uns Admin kann nur ich ein klein wenig PowerShell, also war das wohl keiner von uns.

Kann ich irgendwie nachvollziehen woher das Ding kommt? Das Verzeichnis ist übrigens schon etwas älter, kann sein dass die verschärften Skript Regeln von Microsoft, dass Ding jetzt auffliegen lassen.

Für jeden "qualifizierten" Hinweis wäre ich Dankbar.

Content-ID: 22859682529

Url: https://administrator.de/forum/mir-nicht-bekanntes-powershell-skript-im-log-aufgetaucht-22859682529.html

Ausgedruckt am: 22.12.2024 um 06:12 Uhr

13034433319
Lösung 13034433319 04.06.2024 aktualisiert um 15:01:27 Uhr
Goto Top
Vielleicht ist das unbewusst bei der Installation einer Logging/Monitoring Software die das da abgelegt hat dort gelandet, um das Eventlogging auf den Clients entsprechend per GPO Startskript zu aktivieren und die dann regelmäßig Logs dort einsammeln wollte.
Schau dir einfach die GPO dazu an, die GUID davon steht ja bereits im Pfad.

Get-GPO -guid 'CDEA2B03-52A2-4C5C-A9A6-49F45D8ED783' | fl *  

Gruß
aqui
aqui 04.06.2024 aktualisiert um 14:47:02 Uhr
Goto Top
Nebenbei aber dennoch qualifiziert: https://www.duden.de/rechtschreibung/Skript
...ist sächlich!
DerWoWusste
Lösung DerWoWusste 04.06.2024 um 14:55:18 Uhr
Goto Top
Das ist ein GPO-basiertes Startskript, welches mit Systemrechten arbeitet. Vermutlich von deinen Kollegen da abgelegt, da es mehr als unüblich ist, dass eine Software auf einem Domänencontroller GPOs anlegt.

Die GUID der GPO steht da: {CDEA2B03-52A2-4C5C-A9A6-49F45D8ED783} somit wirst Du sie finden können und vielleicht hat der Ersteller ja sogar einen Kommentar in der Beschreibung hinterlassen.
SlainteMhath
Lösung SlainteMhath 04.06.2024 um 14:59:38 Uhr
Goto Top
Moin,

Ich finde DAS Skript unter :
\\Domain.local\SYSVOL\Domain.local\Policies\{CDEA2B03-52A2-4C5C-A9A6-49F45D8ED783}\Machine\Scripts\Startup

das Script ist Teil einer GPO, und wird dort im Computerkontext (also mit Systemrechten) als Startup Script aufgerufen. Geht mal eure GPOs durch...

lg,
Slainte
Pjordorf
Pjordorf 04.06.2024 um 15:38:06 Uhr
Goto Top
Hallo,

Zitat von @Dr.Mabuse:
Für jeden "qualifizierten" Hinweis wäre ich Dankbar.
Das ist der Schwarz/Weiß Beweis. Es gibt noch Heinzelmännchen/Frauen.

Gruss,
Peter
ThePinky777
Lösung ThePinky777 04.06.2024 um 18:06:26 Uhr
Goto Top
ich stimme den vorrednern zu ist in einer GPO als start script definiert worden.
somit solltest du wenn du das GPO Objekt gefunden hast auch eventuell sehen wer es erstellt hat oder wer es editiert hat oder so (also die GPO)...
Dr.Mabuse
Dr.Mabuse 05.06.2024 um 07:34:22 Uhr
Goto Top
Oh man... Wenn ich Euch nicht hätte face-wink

O.K. - Hier - durch eure Anregung - die Lösung meiner verknoteten Gedanken face-smile

Nach dem ich die GPO durchsucht habe (getriggert durch den GET-GPO) konnte ich tatsächlich diesen PowerShell Skript zuordnen. Es ist wie Ihr sagt, es wird durch die GPO als Start Skript definiert.
Dies wurde zum Anfang des Ukraine Krieges durch eine Sicherheitsfirma bei uns, neben anderen Security Einstellungen, implementiert.

Mein Gedankenknoten ist der, dass es bisher nicht in unseren LOGs auftauchte, sondern erst jetzt neuerdings geblockt wird. Ich gehe mal davon aus, wie schon oben von mir angenommen, dass MS die PowerShell Skriptausführung mit einem der letzten Updates, wieder verschärft hat und somit bei unseren Überwachungssystem im LOG auftaucht.

Euch ein herzliches Dankeschön für den Denkanstoß und die Lösung des Knotens face-wink