Sicherheit ist immer … relativ

Die Ausführung von PowerShell-Skripts kann bekanntlich durch eine Ausführungsrichtlinie verhindert werden – in der Praxis ist es aber eine Kleinigkeit, diese Hürde zu umgehen.

Zum einen besitzt PowerShell.exe den Parameter ExecutionPolicy, über den die Ausführungsrichtlinie für einen Prozess z.B. jederzeit auf „Unrestricted“  gesetzt werden kann. Zum anderen gibt es bei PowerShell.exe diesen unscheinbaren -, der bewirkt, dass Text, der der Exe-Datei per Pipeline zugeführt wird, ausgeführt wird. Angenommen, die Ausführung von Ps1-Dateien wäre z.B. per AppLocker deaktiviert, dann führt der folgende Aufruf dazu, dass eine Txt-Datei mit PowerShell-Skriptbefehlen trotzdem ausgeführt wird:

Type Ps1Skript.ps1 | PowerShell.exe –

Eine echte Sicherheitslücke ist dies nicht, da der auszuführende Skripttext ansonsten per Command-Parameter übergeben werden müsste, doch wenn man dieses Beispiel in einem Einführungskurs zeigt kommen bei den Kursteilnehmern dann doch gewisse Zweifel auf  bezüglich der Frage wie ernst Microsoft es mit der Sicherung eines Systems vor PowerShell-Skripten meint (auf diesen kleinen „Trick“ kam ein Kurs-Teilnehmer bei meinem letzten PowerShell-Workshop in Nürnberg).

Ein weiterer Aspekt, der mich etwas stört ist, dass wenn einmal die Ausführungsrichtlinie per Gruppenrichtlinie auf „Unrestricted“ gesetzt wurde, diese Einstellung anscheinend auch dann noch als „Machine Policy“ wirksam ist, wenn der Computer nicht an der Domäne angemeldet ist. Tipp: Mit dem List-Parameter bei Get-ExecutionPolicy erhält man die Einstellung auf allen der max. 5 möglichen Ebenen.

PS: Im PowerShell-Team-Blog wurde es ja von June Blender bereits angekündigt. Seit kurzem ist die PowerShell-Hilfe in einer aktualisierten Form erhältlich. Laut June ist dort einiges eingeflossen, was von den PowerShell-Usern in der ganzen Welt seit der Freigabe der Version 2.0 an „Unstimmigkeiten“ gemeldet wurde.

Schreibe einen Kommentar

Bitte logge dich mit einer dieser Methoden ein, um deinen Kommentar zu veröffentlichen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s