(22.07.2017, 10:55)M napisał(a):[Aby zobaczyć linki, zarejestruj się tutaj]
Po pierwsze - mam wyłączone UAC. Wiem że to wpływa na działanie HC/SRP i powinienem o tym napisać, moja wina.
Wyłączyłem dawno temu bo dublował komunikaty z HIPSem Komodo, a tu chciałem sprawdzić na szybkości bez przekonfigurowania zabezpieczeń całego systemu
SRP też miałęłm wtedy ustawione na unrestricted. Tylko No PowerShell Exec było włączone.
Tak zrozumiałem autora wątku, że miał SRP i UAC wyłączone, a jedyne No Powershell Exec włączone.
Testowałem z konta admina oraz bez.
Czerwony tekst się pojawiał, bo zablokowany miałem skrypt profilu powershella (chyba tylko set-location tam jest). A zaraz po tym, pojawiał się na biało komunikat, który wrzuciłem w write-host.
Podsumowując, jeśli UAC i SRP są wyłączone, użytkownik ma uprawnienia admina a z poziomu HC włączone jest tylko No Powershell Exec, funkcje w skrócie wykonają się. Skrót do powershell.exe odpalany z pulpitu.
Dzięki za wyjaśnienie szczegółów i przeprowadzenie testu.
Jeśli użyjemy skrótu z pulpitu zawierającego ciąg komend, np. z twojego wcześniejszego postu:
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe write-host czesc; start-sleep 5
to komendy te nie zostaną zablokowane przez <No PowerShell Exec.>.
Ustawienia UAC mogą być dowolne, a SRP są również omijane, gdyż jak wspomniałem, skróty w kilku folderach nie są celowo blokowane przez ustawienia SRP (dla wygody użytkownika) - są one dodane do Białej Listy SRP za pomocą reguły 'Ścieżka_do_Folderu\*.lnk'. Ten manewr nie przejdzie we wszystkich pozostałych folderach, np. w folderze 'Pobrane', 'Dokumenty', itp., ponieważ są one blokowane przez globalną regułę Nie Zezwalaj: '*.lnk'.
W Windows 10 mamy dodatkowe zabezpieczenie, gdyż przy aktywnych SRP, PowerShell jest uruchamiany w trybie Constrained Language (blokuje 99% złośliwych skryptów).
Oczywiście SRP mogą być ominięte, jeśli uda się uruchomić skrót z podniesionymi uprawnieniami (domyślne ustawienia Hard_Configuratora celowo nie blokują takich procesów).
Natomiast <No PowerShell Exec.> zablokuje podobne uruchomienie skrótu z komendą odnoszącą się do skryptu ps1, np.:
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe d:\helloworld.ps1
niezależnie od folderu w którym jest skrót i niezależnie od uprawnień użytkownika.
Uff. To w skrócie tyle, by nie zamęczyć forumowiczów.
