dr.mabuse
Jun 04, 2024
view1163
view7
0
Goto Top

(Mir) Nicht bekanntes PowerShell-Skript im Log aufgetaucht!

GermansolvedQuestionWindows 10Windows 11Windows System FilesSecurity
Moin an die große Admin-Gemeinde.

Ich habe da mal ein Frage. Bei uns taucht immer häufiger ein Powershell Skript in den Logs auf, welches wir uns nichtr erklären können wo dieser Skript auf den Clients herkommt.

Habt Ihr schon von "set-eventlog.ps1" gelesen oder gehört dass diese von Microsoft verteilt oder genutzt wird?

Ich finde den Skript unter :
\\Domain.local\SYSVOL\Domain.local\Policies\{CDEA2B03-52A2-4C5C-A9A6-49F45D8ED783}\Machine\Scripts\Startup

Der Inhalt erscheint mich nicht als Gefährlich bin mir da aber gerade etwas unsicher

$LogNames = @(  "Microsoft-Windows-LSA/Operational",   
                "Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational",   
                "Microsoft-Windows-TerminalServices-LocalSessionManager/Operational",  
                "Microsoft-Windows-CAPI2/Operational",  
                "Microsoft-Windows-CodeIntegrity/Operational",  
                "Microsoft-Windows-GroupPolicy/Operational",   
                "Microsoft-Windows-Kernel-PnP/Configuration",   
                "Microsoft-Windows-TaskScheduler/Operational",  
                "Microsoft-Windows-WMI-Activity/Operational",   
                "Microsoft-Windows-WinRM/Operational",   
                "Microsoft-Windows-Windows Firewall With Advanced Security/Firewall",   
                "Microsoft-Windows-Windows Firewall With Advanced Security/FirewallVerbose",  
                "Microsoft-Windows-DNS-Client/Operational",   
                "Microsoft-Windows-SMBClient/Connectivity",   
                "Microsoft-Windows-SMBClient/Security",   
                "Microsoft-Windows-SMBClient/Operational",   
                "Microsoft-Windows-SMBServer/Operational",   
                "Microsoft-Windows-SMBServer/Security",   
                "Microsoft-Windows-PowerShell/Operational"          
            )


$LogNames | Foreach-Object {

    C:\Windows\System32\wevtutil.exe set-log $_ /enabled:true
    C:\Windows\System32\wevtutil.exe set-log $_ /retention:false

    If ($_ -eq "Microsoft-Windows-PowerShell/Operational") {  
        C:\Windows\System32\wevtutil.exe set-log $_ /maxsize:536870912        
    } elseif ($_ -eq "Microsoft-Windows-CAPI2/Operational") {  
        C:\Windows\System32\wevtutil.exe set-log $_ /maxsize:201326592        
    } elseif ($_ -eq "Microsoft-Windows-DNS-Client/Operational") {  
        C:\Windows\System32\wevtutil.exe set-log $_ /maxsize:201326592        
    } else {
        C:\Windows\System32\wevtutil.exe set-log $_ /maxsize:33554432
    }
    
}

So wie ich den Skript lese passiert da folgendes :
Es konfiguriert die Protokollierungseinstellungen für eine Reihe von Windows-Ereignisprotokollen.

  • Es definiert eine Liste von Ereignisprotokollnamen, die konfiguriert werden sollen.
  • Für jedes Protokoll in der Liste führt es die folgenden Aktionen aus:
  • Es aktiviert das Protokoll, wenn es nicht bereits aktiviert ist.
  • Es deaktiviert die Protokollretention, was bedeutet, dass alte Ereignisse überschrieben werden, wenn das Protokoll seine maximale Größe erreicht.
  • Es legt die maximale Größe des Protokolls fest. Die Größe variiert je nach Protokoll. Zum Beispiel wird die maximale Größe für das “Microsoft-Windows-PowerShell/Operational”-Protokoll auf 512 MB gesetzt, während die meisten anderen Protokolle auf 32 MB gesetzt werden.

Was mich nur wundert, das Skript würde meiner Meinung nach Admin rechte brauchen. Diese sind in unserem Netzwerk allerdings absolut eingeschränkt (Laps / Tiering usw.) Daher wohl auch in unseren LOGs aufgetaucht.

Warum sollte Microsoft so etwas verbreiten? Da haben die doch ganz andere Möglichkeiten. Von uns Admin kann nur ich ein klein wenig PowerShell, also war das wohl keiner von uns.

Kann ich irgendwie nachvollziehen woher das Ding kommt? Das Verzeichnis ist übrigens schon etwas älter, kann sein dass die verschärften Skript Regeln von Microsoft, dass Ding jetzt auffliegen lassen.

Für jeden "qualifizierten" Hinweis wäre ich Dankbar.
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 22859682529

Url: https://administrator.de/contentid/22859682529

Printed on: June 21, 2024 at 20:06 o'clock

7 Comments
Latest comment
Goto Top
Member: hempel
Solution hempel Jun 04, 2024 updated at 13:01:27 (UTC)
Goto Top
Vielleicht ist das unbewusst bei der Installation einer Logging/Monitoring Software die das da abgelegt hat dort gelandet, um das Eventlogging auf den Clients entsprechend per GPO Startskript zu aktivieren und die dann regelmäßig Logs dort einsammeln wollte.
Schau dir einfach die GPO dazu an, die GUID davon steht ja bereits im Pfad.

Get-GPO -guid 'CDEA2B03-52A2-4C5C-A9A6-49F45D8ED783' | fl *

Gruß
heart1
Member: aqui
aqui Jun 04, 2024 updated at 12:47:02 (UTC)
Goto Top
Nebenbei aber dennoch qualifiziert: https://www.duden.de/rechtschreibung/Skript
...ist sächlich!
heart1
Member: DerWoWusste
Solution DerWoWusste Jun 04, 2024 at 12:55:18 (UTC)
Goto Top
Das ist ein GPO-basiertes Startskript, welches mit Systemrechten arbeitet. Vermutlich von deinen Kollegen da abgelegt, da es mehr als unüblich ist, dass eine Software auf einem Domänencontroller GPOs anlegt.

Die GUID der GPO steht da: {CDEA2B03-52A2-4C5C-A9A6-49F45D8ED783} somit wirst Du sie finden können und vielleicht hat der Ersteller ja sogar einen Kommentar in der Beschreibung hinterlassen.
Member: SlainteMhath
Solution SlainteMhath Jun 04, 2024 at 12:59:38 (UTC)
Goto Top
Moin,

Ich finde DAS Skript unter :
\\Domain.local\SYSVOL\Domain.local\Policies\{CDEA2B03-52A2-4C5C-A9A6-49F45D8ED783}\Machine\Scripts\Startup

das Script ist Teil einer GPO, und wird dort im Computerkontext (also mit Systemrechten) als Startup Script aufgerufen. Geht mal eure GPOs durch...

lg,
Slainte
Member: Pjordorf
Pjordorf Jun 04, 2024 at 13:38:06 (UTC)
Goto Top
Hallo,

Zitat von @Dr.Mabuse:
Für jeden "qualifizierten" Hinweis wäre ich Dankbar.
Das ist der Schwarz/Weiß Beweis. Es gibt noch Heinzelmännchen/Frauen.

Gruss,
Peter
heart1
Member: ThePinky777
Solution ThePinky777 Jun 04, 2024 at 16:06:26 (UTC)
Goto Top
ich stimme den vorrednern zu ist in einer GPO als start script definiert worden.
somit solltest du wenn du das GPO Objekt gefunden hast auch eventuell sehen wer es erstellt hat oder wer es editiert hat oder so (also die GPO)...
Member: Dr.Mabuse
Dr.Mabuse Jun 05, 2024 at 05:34:22 (UTC)
Goto Top
Oh man... Wenn ich Euch nicht hätte face-wink

O.K. - Hier - durch eure Anregung - die Lösung meiner verknoteten Gedanken face-smile

Nach dem ich die GPO durchsucht habe (getriggert durch den GET-GPO) konnte ich tatsächlich diesen PowerShell Skript zuordnen. Es ist wie Ihr sagt, es wird durch die GPO als Start Skript definiert.
Dies wurde zum Anfang des Ukraine Krieges durch eine Sicherheitsfirma bei uns, neben anderen Security Einstellungen, implementiert.

Mein Gedankenknoten ist der, dass es bisher nicht in unseren LOGs auftauchte, sondern erst jetzt neuerdings geblockt wird. Ich gehe mal davon aus, wie schon oben von mir angenommen, dass MS die PowerShell Skriptausführung mit einem der letzten Updates, wieder verschärft hat und somit bei unseren Überwachungssystem im LOG auftaucht.

Euch ein herzliches Dankeschön für den Denkanstoß und die Lösung des Knotens face-wink
GermansolvedQuestionWindows 10Windows 11Windows System FilesSecurity