gregor81
Goto Top

Powershell für User deaktivieren

Hallo Zusammen,

kurz zu meiner Umgebung:

Clients
- 90% Windows 11
- 10% Windows 10

Ich möchte die Nutzung von PowerShell/ISE auf den Clients für normale User einschränken, jedoch Admins weiterhin Zugriff darauf ermöglichen.

Folgendes habe ich bereits versucht:

Über eine GPO habe ich die Datei powershell.exe blockiert, jedoch lässt sich PowerShell nach einem einfachen Umbenennen der Datei erneut starten.
Auch der Ansatz über Hash-Werte erwies sich als unzuverlässig, da die powershell.exe verschiedene Hash-Werte hat. Das Einpflegen dieser Werte ist zwar machbar, allerdings besteht die Gefahr, dass sich die Hash-Werte nach einem Windows-Update ändern und die Sperre damit umgangen werden kann.

Hat jemand eine Idee, wie man PowerShell dauerhaft und zuverlässig für User sperren kann, ohne dass nach jedem Update vielleicht eine Anpassung erforderlich ist?

P.S. Hat auch jemand einen Tipp, wie ich die PowerShell-Version auf allen Clients global aktualisieren kann? Derzeit ist Version 5.1 installiert, aber eine Aktualisierung auf die Version 7.x wäre sinnvoll, da ich mir davon mehr Sicherheit erhoffe.

Danke für eure Hilfe

Content-ID: 669116

Url: https://administrator.de/contentid/669116

Printed on: November 13, 2024 at 11:11 o'clock

em-pie
em-pie Oct 30, 2024 at 06:06:05 (UTC)
Goto Top
Moin,

Hat auch jemand einen Tipp, wie ich die PowerShell-Version auf allen Clients global aktualisieren kann?
Die 7.4 von Microsoft herunterladen (MSI-Package) und per GPO/ Software-Deployment verteilen…
https://learn.microsoft.com/de-de/powershell/scripting/install/installin ...
catrell
catrell Oct 30, 2024 updated at 06:33:17 (UTC)
Goto Top
nach einem einfachen Umbenennen der Datei erneut starten
Deine User haben im Windows Verzeichnis oder anderen System-Verzeichnissen Schreibrechte???
Das ist der erste massive Fehler.
Als erstes Admin-Rechte nehmen und mit Applocker nur die Anwendungen definieren die ausgeführt werden dürfen und vor allem "von wo".

Gruß catrell
13402570474
13402570474 Oct 30, 2024 updated at 06:32:10 (UTC)
Goto Top
Deine User haben im Windows Verzeichnis oder anderen System-Verzeichnissen Schreibrechte???
Mein Gedanke. Erstmal die Adminrechte vom User/Rechner nehmen und schon sollte es weniger Ängste bzgl. PS geben.

mehr Sicherheit erhoffe.
Hä? Einerseits deaktivieren wollen, andererseits auf mehr Sicherheit nach Update hoffen? Klingt widersprüchlich.

/shrug
kpunkt
kpunkt Oct 30, 2024 updated at 06:38:48 (UTC)
Goto Top
Mir fällt jetzt eigentlich nix ein, was ein User ohne Adminrechte mit der Powershell großartig anstellen könnte.

Das Problem bei dir sind eher generell die Rechte, die deine User zu haben scheinen. Sicher, dass das reine User sind?
13402570474
13402570474 Oct 30, 2024 at 06:57:22 (UTC)
Goto Top
User ohne Adminrechte mit der Powershell großartig
Und das was suspekt wirkt (bspw. whoami-Abfragen; häufig erste Anlaufstelle fürn Eindringling) wird gefiltert und via Mail an den Admin geschubst.

Sehe auch kein Sinn darin, PS direkt und vollständig zu verbieten. WinRM und WMI bspw. würden das uncool finden.

Gruß
Gregor81
Gregor81 Oct 30, 2024 updated at 07:20:35 (UTC)
Goto Top
Hallo,

die User haben keine read Recht auf den Windows Ordner, jedoch können Sie die Powershell.exe auf den Desktop kopieren und dort einfach Umbenennen, Doppelklick drauf und Powershell geht auf.

Wir hatten einen internen Pen Test, dort wurde es als Gefährdungspotenzial "Mittel" eingestuft. Die Doku hat auf folgende Links verweist:


https://github.com/EmpireProject/Empire
https://github.com/samratashok/nishang
https://github.com/PowerShellMafia/PowerSploit/blob/master/Privesc/Power ...

natürlich kann es sein das der AV drauf anschlägt und es blockiert, trotzdem würde ich die Powershell auch bisschen "härten" wollen

P.S. Powershell 2.0 haben wir bereits deinstalliert.
kpunkt
kpunkt Oct 30, 2024 at 07:38:55 (UTC)
Goto Top
Dann nimm halt einen Applocker.
Oder bastel direkt ein Kiosk.
Kommt halt eher auf die Branche an, wo sowas sinnvoll sein kann.
catrell
catrell Oct 30, 2024 updated at 08:16:40 (UTC)
Goto Top
Zitat von @Gregor81:

Hallo,

die User haben keine read Recht auf den Windows Ordner,
Du meinst Schreibrechte, keine Lese-Rechte da würde dein Winblows nicht funktionieren ... 😄
jedoch können Sie die Powershell.exe auf den Desktop kopieren und dort einfach Umbenennen, Doppelklick drauf und Powershell geht auf.
Und genau dafür lässt man via Applocker Execute-Rechte in solchen Verzeichnisse in die User schreiben dürfen nicht zu, dann können sie das auch nicht.
Wenn man die Default-Rules anwendet können sie das nämlich sowieso nicht.
ThePinky777
ThePinky777 Oct 30, 2024 at 08:41:03 (UTC)
Goto Top
randfrage haste zugriff auf cmd DOS und vbs Scripts auch schon blockiert ?
wenn nicht würd ich mir um Powershell auch keine sorgen machen...
Also mit solchen massnahmen kann man bestens das System schrotten, ist meine Meinung dazu.

Ich will garnicht wissen wieviele Dinge dann nicht mehr korrekt ablaufen werden welche man so nutzt.
z.B. Scripts zur steuerung eines PC, sei es Login Script was im User Kontext läuft oder Startupscripts per GPO wenn man es einsetzt, oder softwareverteilungesmechanismen die im user kontext laufen (gewisse Settings anpassen im User Teil) etc....

klar wenn du stand alone produktions PCs hast ist das eventuell ne überlegung wert... aber für normale user im normalen büro wirst irgendwann auf probleme stossen...
Gregor81
Gregor81 Oct 30, 2024 at 09:19:28 (UTC)
Goto Top
Hi, ja CMD kann man leicht über GPO sperren,

wir testen das aktuell auch bei uns im Lab aus, sollte es zu gravierenden Problemen kommen, werden wir entsprechend BSI die Powershell selbst härten und den zugriff für die User lassen.
kpunkt
kpunkt Oct 30, 2024 at 09:35:11 (UTC)
Goto Top
Darf ich da mal neugieig sein und nach der Branche fragen, in der ihr diese Sachen haben wollt?
Intellidance
Intellidance Oct 30, 2024 at 14:23:42 (UTC)
Goto Top
Dafür gibt es ein offizielles Feature
https://devblogs.microsoft.com/powershell/powershell-constrained-languag ...

VBS sollte zusätzlich per Applocker auf admin-beschreibbare brauche beschränkt werden.

Zusätzlich würde ich mir die ASR-regeln anschauen.
Gregor81
Gregor81 Oct 31, 2024 at 06:52:48 (UTC)
Goto Top
Hallo Zusammen,

@Intellidance
danke, werde mir den Link heute anschauen.

@all

Wir haben gestern noch folgende GPO gebaut:

screenshot 2024-10-31 074854

Wir haben dann die GPO in unserem Lap getestet, von insgesamt 10 PC`s ging es auf 4, auf den anderen 6 konnte ich ganz normal Powershell ausführen.

Alle PC`s haben sich die GPO ohne fehler gezogen, die PC`s sind alles gleich installiert worden, haben nur teilweise bisschen andere Patch status.

Hat da jemand noch eine Idee?