Windows_PowerShell_iconpo ściągnięciu skryptu z Internetu może być problem z jego uruchomieniem – zależnie od polityki uruchomienia (Execution Policy). imho optymalnym ustawieniem jest ‘RemoteSigned‘, który pozwala na swobodne uruchamianie skryptów, które się samemu pisze oraz tych zassanych z netu pod warunkiem, że są podpisane certyfikatem. skrypty podpisane certem są jak białe kruki – podobno istnieją. jednak jest to zabezpieczenie przed tym, aby bezmyślnie nie uruchomić pierwszego-lepszego chłamu i chwilę się zastanowić.

a skąd system wie, że skrypt jest ściągnięty z netu? o tym już kilqkrotnie pisałem – informacja zapisana jest w Alternate Data Stream o nazwie ‘zone.identifier’. łącząc te dwa klocki w całość, po weryfikacji tego, co skrypt robi, można usunąć informację, iż jest ściągnięty:

remove-item <nazwa> -stream 'zone.identifier'

natomiast nie polecam ustawiania polityki na ‘unrestricted‘ – mimo wszystko takie proste mechanizmy, zmuszające do krótkiego przemyślenia tego, co się robi, bywają przydatne…

eN.

 

Spread the love

Comments (2)

  1. Mcinwwl

    Odpowiedz

    Akurat PS ma fajne proste obejścia, np. odpalenie skryptu przez .bat z callem i parametrem -executionpolicy bypass. Jeden ransomware rozprzestrzeniał się jako skrót do PS z onelinerem jako parametrem. Trochę dziwi mnie takie zabezpieczenie z tyloma metodami ominięcia, ale ja się nie znam… :P

    • Odpowiedz

      niby w oficjalnych doqmentach jest wyraźnie napisane, że to nie jest ‘security’ a celem jest utrudnienie. zgadzam się, że powinna być systemowa opcja wyłączenia parametru ‘executionpolicy’

Zostaw komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Time limit is exhausted. Please reload CAPTCHA.