13
Powershell für User deaktivieren
Hallo Zusammen,
kurz zu meiner Umgebung:
Clients
- 90% Windows 11
- 10% Windows 10
Ich möchte die Nutzung von PowerShell/ISE auf den Clients für normale User einschränken, jedoch Admins weiterhin Zugriff darauf ermöglichen.
Folgendes habe ich bereits versucht:
Über eine GPO habe ich die Datei powershell.exe blockiert, jedoch lässt sich PowerShell nach einem einfachen Umbenennen der Datei erneut starten.
Auch der Ansatz über Hash-Werte erwies sich als unzuverlässig, da die powershell.exe verschiedene Hash-Werte hat. Das Einpflegen dieser Werte ist zwar machbar, allerdings besteht die Gefahr, dass sich die Hash-Werte nach einem Windows-Update ändern und die Sperre damit umgangen werden kann.
Hat jemand eine Idee, wie man PowerShell dauerhaft und zuverlässig für User sperren kann, ohne dass nach jedem Update vielleicht eine Anpassung erforderlich ist?
P.S. Hat auch jemand einen Tipp, wie ich die PowerShell-Version auf allen Clients global aktualisieren kann? Derzeit ist Version 5.1 installiert, aber eine Aktualisierung auf die Version 7.x wäre sinnvoll, da ich mir davon mehr Sicherheit erhoffe.
Danke für eure Hilfe
kurz zu meiner Umgebung:
Clients
- 90% Windows 11
- 10% Windows 10
Ich möchte die Nutzung von PowerShell/ISE auf den Clients für normale User einschränken, jedoch Admins weiterhin Zugriff darauf ermöglichen.
Folgendes habe ich bereits versucht:
Über eine GPO habe ich die Datei powershell.exe blockiert, jedoch lässt sich PowerShell nach einem einfachen Umbenennen der Datei erneut starten.
Auch der Ansatz über Hash-Werte erwies sich als unzuverlässig, da die powershell.exe verschiedene Hash-Werte hat. Das Einpflegen dieser Werte ist zwar machbar, allerdings besteht die Gefahr, dass sich die Hash-Werte nach einem Windows-Update ändern und die Sperre damit umgangen werden kann.
Hat jemand eine Idee, wie man PowerShell dauerhaft und zuverlässig für User sperren kann, ohne dass nach jedem Update vielleicht eine Anpassung erforderlich ist?
P.S. Hat auch jemand einen Tipp, wie ich die PowerShell-Version auf allen Clients global aktualisieren kann? Derzeit ist Version 5.1 installiert, aber eine Aktualisierung auf die Version 7.x wäre sinnvoll, da ich mir davon mehr Sicherheit erhoffe.
Danke für eure Hilfe
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669116
Url: https://administrator.de/contentid/669116
Ausgedruckt am: 21.11.2024 um 12:11 Uhr
13 Kommentare
Neuester Kommentar
Moin,
https://learn.microsoft.com/de-de/powershell/scripting/install/installin ...
Hat auch jemand einen Tipp, wie ich die PowerShell-Version auf allen Clients global aktualisieren kann?
Die 7.4 von Microsoft herunterladen (MSI-Package) und per GPO/ Software-Deployment verteilen…https://learn.microsoft.com/de-de/powershell/scripting/install/installin ...
nach einem einfachen Umbenennen der Datei erneut starten
Deine User haben im Windows Verzeichnis oder anderen System-Verzeichnissen Schreibrechte???Das ist der erste massive Fehler.
Als erstes Admin-Rechte nehmen und mit Applocker nur die Anwendungen definieren die ausgeführt werden dürfen und vor allem "von wo".
Gruß catrell
4
Deine User haben im Windows Verzeichnis oder anderen System-Verzeichnissen Schreibrechte???
Mein Gedanke. Erstmal die Adminrechte vom User/Rechner nehmen und schon sollte es weniger Ängste bzgl. PS geben.mehr Sicherheit erhoffe.
Hä? Einerseits deaktivieren wollen, andererseits auf mehr Sicherheit nach Update hoffen? Klingt widersprüchlich./shrug
Mir fällt jetzt eigentlich nix ein, was ein User ohne Adminrechte mit der Powershell großartig anstellen könnte.
Das Problem bei dir sind eher generell die Rechte, die deine User zu haben scheinen. Sicher, dass das reine User sind?
Das Problem bei dir sind eher generell die Rechte, die deine User zu haben scheinen. Sicher, dass das reine User sind?
2User ohne Adminrechte mit der Powershell großartig
Und das was suspekt wirkt (bspw. whoami-Abfragen; häufig erste Anlaufstelle fürn Eindringling) wird gefiltert und via Mail an den Admin geschubst.Sehe auch kein Sinn darin, PS direkt und vollständig zu verbieten. WinRM und WMI bspw. würden das uncool finden.
Gruß
Hallo,
die User haben keine read Recht auf den Windows Ordner, jedoch können Sie die Powershell.exe auf den Desktop kopieren und dort einfach Umbenennen, Doppelklick drauf und Powershell geht auf.
Wir hatten einen internen Pen Test, dort wurde es als Gefährdungspotenzial "Mittel" eingestuft. Die Doku hat auf folgende Links verweist:
https://github.com/EmpireProject/Empire
https://github.com/samratashok/nishang
https://github.com/PowerShellMafia/PowerSploit/blob/master/Privesc/Power ...
natürlich kann es sein das der AV drauf anschlägt und es blockiert, trotzdem würde ich die Powershell auch bisschen "härten" wollen
P.S. Powershell 2.0 haben wir bereits deinstalliert.
die User haben keine read Recht auf den Windows Ordner, jedoch können Sie die Powershell.exe auf den Desktop kopieren und dort einfach Umbenennen, Doppelklick drauf und Powershell geht auf.
Wir hatten einen internen Pen Test, dort wurde es als Gefährdungspotenzial "Mittel" eingestuft. Die Doku hat auf folgende Links verweist:
https://github.com/EmpireProject/Empire
https://github.com/samratashok/nishang
https://github.com/PowerShellMafia/PowerSploit/blob/master/Privesc/Power ...
natürlich kann es sein das der AV drauf anschlägt und es blockiert, trotzdem würde ich die Powershell auch bisschen "härten" wollen
P.S. Powershell 2.0 haben wir bereits deinstalliert.
Dann nimm halt einen Applocker.
Oder bastel direkt ein Kiosk.
Kommt halt eher auf die Branche an, wo sowas sinnvoll sein kann.
Oder bastel direkt ein Kiosk.
Kommt halt eher auf die Branche an, wo sowas sinnvoll sein kann.
Du meinst Schreibrechte, keine Lese-Rechte da würde dein Winblows nicht funktionieren ... 😄
Wenn man die Default-Rules anwendet können sie das nämlich sowieso nicht.
jedoch können Sie die Powershell.exe auf den Desktop kopieren und dort einfach Umbenennen, Doppelklick drauf und Powershell geht auf.
Und genau dafür lässt man via Applocker Execute-Rechte in solchen Verzeichnisse in die User schreiben dürfen nicht zu, dann können sie das auch nicht.Wenn man die Default-Rules anwendet können sie das nämlich sowieso nicht.
1
randfrage haste zugriff auf cmd DOS und vbs Scripts auch schon blockiert ?
wenn nicht würd ich mir um Powershell auch keine sorgen machen...
Also mit solchen massnahmen kann man bestens das System schrotten, ist meine Meinung dazu.
Ich will garnicht wissen wieviele Dinge dann nicht mehr korrekt ablaufen werden welche man so nutzt.
z.B. Scripts zur steuerung eines PC, sei es Login Script was im User Kontext läuft oder Startupscripts per GPO wenn man es einsetzt, oder softwareverteilungesmechanismen die im user kontext laufen (gewisse Settings anpassen im User Teil) etc....
klar wenn du stand alone produktions PCs hast ist das eventuell ne überlegung wert... aber für normale user im normalen büro wirst irgendwann auf probleme stossen...
wenn nicht würd ich mir um Powershell auch keine sorgen machen...
Also mit solchen massnahmen kann man bestens das System schrotten, ist meine Meinung dazu.
Ich will garnicht wissen wieviele Dinge dann nicht mehr korrekt ablaufen werden welche man so nutzt.
z.B. Scripts zur steuerung eines PC, sei es Login Script was im User Kontext läuft oder Startupscripts per GPO wenn man es einsetzt, oder softwareverteilungesmechanismen die im user kontext laufen (gewisse Settings anpassen im User Teil) etc....
klar wenn du stand alone produktions PCs hast ist das eventuell ne überlegung wert... aber für normale user im normalen büro wirst irgendwann auf probleme stossen...
1
Hi, ja CMD kann man leicht über GPO sperren,
wir testen das aktuell auch bei uns im Lab aus, sollte es zu gravierenden Problemen kommen, werden wir entsprechend BSI die Powershell selbst härten und den zugriff für die User lassen.
wir testen das aktuell auch bei uns im Lab aus, sollte es zu gravierenden Problemen kommen, werden wir entsprechend BSI die Powershell selbst härten und den zugriff für die User lassen.
Darf ich da mal neugieig sein und nach der Branche fragen, in der ihr diese Sachen haben wollt?
Dafür gibt es ein offizielles Feature
https://devblogs.microsoft.com/powershell/powershell-constrained-languag ...
VBS sollte zusätzlich per Applocker auf admin-beschreibbare brauche beschränkt werden.
Zusätzlich würde ich mir die ASR-regeln anschauen.
https://devblogs.microsoft.com/powershell/powershell-constrained-languag ...
VBS sollte zusätzlich per Applocker auf admin-beschreibbare brauche beschränkt werden.
Zusätzlich würde ich mir die ASR-regeln anschauen.
Hallo Zusammen,
@Intellidance
danke, werde mir den Link heute anschauen.
@all
Wir haben gestern noch folgende GPO gebaut:
Wir haben dann die GPO in unserem Lap getestet, von insgesamt 10 PC`s ging es auf 4, auf den anderen 6 konnte ich ganz normal Powershell ausführen.
Alle PC`s haben sich die GPO ohne fehler gezogen, die PC`s sind alles gleich installiert worden, haben nur teilweise bisschen andere Patch status.
Hat da jemand noch eine Idee?
@Intellidance
danke, werde mir den Link heute anschauen.
@all
Wir haben gestern noch folgende GPO gebaut:
Wir haben dann die GPO in unserem Lap getestet, von insgesamt 10 PC`s ging es auf 4, auf den anderen 6 konnte ich ganz normal Powershell ausführen.
Alle PC`s haben sich die GPO ohne fehler gezogen, die PC`s sind alles gleich installiert worden, haben nur teilweise bisschen andere Patch status.
Hat da jemand noch eine Idee?
