Windows_PowerShell_iconpo ściągnięciu skryptu z Internetu może być problem z jego uruchomieniem – zależnie od polityki uruchomienia (Execution Policy). imho optymalnym ustawieniem jest ’RemoteSigned’, który pozwala na swobodne uruchamianie skryptów, które się samemu pisze oraz tych zassanych z netu pod warunkiem, że są podpisane certyfikatem. skrypty podpisane certem są jak białe kruki – podobno istnieją. jednak jest to zabezpieczenie przed tym, aby bezmyślnie nie uruchomić pierwszego-lepszego chłamu i chwilę się zastanowić.

a skąd system wie, że skrypt jest ściągnięty z netu? o tym już kilqkrotnie pisałem – informacja zapisana jest w Alternate Data Stream o nazwie 'zone.identifier’. łącząc te dwa klocki w całość, po weryfikacji tego, co skrypt robi, można usunąć informację, iż jest ściągnięty:

remove-item <nazwa> -stream 'zone.identifier'

natomiast nie polecam ustawiania polityki na ’unrestricted’ – mimo wszystko takie proste mechanizmy, zmuszające do krótkiego przemyślenia tego, co się robi, bywają przydatne…

eN.

 

-o((:: sprEad the l0ve ::))o-

Comments (2)

  1. Mcinwwl

    Odpowiedz

    Akurat PS ma fajne proste obejścia, np. odpalenie skryptu przez .bat z callem i parametrem -executionpolicy bypass. Jeden ransomware rozprzestrzeniał się jako skrót do PS z onelinerem jako parametrem. Trochę dziwi mnie takie zabezpieczenie z tyloma metodami ominięcia, ale ja się nie znam… :P

    • Odpowiedz

      niby w oficjalnych doqmentach jest wyraźnie napisane, że to nie jest 'security’ a celem jest utrudnienie. zgadzam się, że powinna być systemowa opcja wyłączenia parametru 'executionpolicy’

Zostaw komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Time limit is exhausted. Please reload CAPTCHA.