SAFER kastriert PowerShell in Windows 10

15/02/2016 - 03:03 von Christoph Schneegans | Report spam
Hallo allerseits!

https://blogs.msdn.microsoft.com/po...blue-team/
(im letzten Drittel der Seite, im Abschnitt "Constrained PowerShell")
beschreibt einen neuen Sicherheitsmechanismus in PowerShell:

In version 5, PowerShell now reduces its functionality to “Constrained
Mode” for both interactive input and user-authored scripts when it
detects that PowerShell scripts have an ‘Allow Mode’ policy applied to them.

Der Artikel geht zwar nur auf AppLocker ein, aber der "Constrained Mode"
wird durch SAFER-Konfigurationen mit

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers]
"DefaultLevel"=dword:00000000

ebenfalls ausgelöst. Das führt dazu, daß selbst Aufrufe wie

PS> [Math]::Sqrt(4)

nicht mehr erlaubt sind:

Cannot invoke method. Method invocation is supported only on core types
in this language mode.

Der aktuelle Modus làßt sich auch explizit abfragen:

PS > $ExecutionContext.SessionState.LanguageMode
ConstrainedLanguage

In früheren PowerShell-Versionen unterlagen gespeicherte .ps1-Skripte
sehr wohl den SAFER-Regeln, interaktive Sitzungen aber nicht. Mir kommt
diese Änderung nicht besonders gelegen. Folgender Workaround
funktioniert allerdings:

1. Mit Administratorrechten "DefaultLevel"=0x00040000 setzen.
2. PowerShell mit Benutzerrechten starten.
3. Mit Administratorrechten "DefaultLevel"=0x00000000 setzen.

Die Sitzung hat dann wie gewünscht Benutzerrechte, làuft aber nicht im
"Constrained Mode":

PS > $ExecutionContext.SessionState.LanguageMode
FullLanguage

<http://schneegans.de/lv/> · Validator für BCP 47
 

Lesen sie die antworten

#1 Stefan Kanthak
15/02/2016 - 17:23 | Warnen spam
"Christoph Schneegans" schrieb:

Hallo allerseits!

https://blogs.msdn.microsoft.com/po...blue-team/
(im letzten Drittel der Seite, im Abschnitt "Constrained PowerShell")
beschreibt einen neuen Sicherheitsmechanismus in PowerShell:

In version 5, PowerShell now reduces its functionality to "Constrained
Mode" for both interactive input and user-authored scripts when it
detects that PowerShell scripts have an 'Allow Mode' policy applied to them.



Das muesste "... 'Deny Mode' policy ..." heissen!

Der Artikel geht zwar nur auf AppLocker ein, aber der "Constrained Mode"
wird durch SAFER-Konfigurationen mit

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers]
"DefaultLevel"=dword:00000000



in Verbindung mit

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers]
"ExecutableTypes"=multi:...,"PS1",...

ebenfalls ausgelöst.



[...]

Stefan
[
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)


news://freenews.netfront.net/ - complaints:

Ähnliche fragen