none
PSScriptPolicyTest и SRP RRS feed

  • Вопрос

  • Добрый день.

    Столкнулся с проблемой запуска PowerShell при работающей политике SRP. При запуске PowerShell, во временной папке пользователя создаются и выполняются 2 файла с именами "__PSScriptPolicyTest_bfq11pxo.pc2.ps1" и "__PSScriptPolicyTest_gpeygwiu.slh.psm1". Файлы, естественно, без цифровой подписи и с уникальными именами. Нагуглил информацию по ним:

    https://community.spiceworks.com/topic/1451109-srp-whitelist-causing-odd-behavior-in-powershell-v5

    "Powershell makes a test if it works under Application White List (AWL) or not. Powershell creates a couple of files with extention ps1 and psm1 in %temp% folder and then trys to start it. If this attempt fails Powershell decides that it works under AWL and switches on constrained language mode. Name of the files created by powershel are always random but the content of these files is always the same (each file consist of the only one symbol - '1'). So you can create the only one hash rule to allow these files to start."

    И вот вопрос, как "убедить" SRP не блокировать эти файлы? Правило хэша не сработает, так как в разных версиях ОС хэши разные. Сертификатов у файла нет, а разрешать запуск скриптов из временной папки желания нет. 

Все ответы

  • Почему хеши разные? должны быть по идее одинаковыми

    название никак не влияет на хеши


    The opinion expressed by me is not an official position of Microsoft

    Модератор
  • Не знаю поможет или нет, но я бы попробовал сконвертировать ваш скрипт в exe и попробовать запустить в таком варианте
  • Не знаю поможет или нет, но я бы попробовал сконвертировать ваш скрипт в exe и попробовать запустить в таком варианте
    я так понял из вопроса что скрипты создает не автор, а автоматический процесс для проверки полномочий самого поша

    The opinion expressed by me is not an official position of Microsoft

    Модератор
  • Почему хеши разные? должны быть по идее одинаковыми

    название никак не влияет на хеши


    The opinion expressed by me is not an official position of Microsoft

    Раньше в этих файлах была лишь "1", судя по форумам 2016 года. Сейчас стали писать следующее:
    "# PowerShell test file to determine AppLocker lockdown mode ". Во втором файле ещё дата и время указаны, поэтому и хеш разный. 

    И можно было бы забить на это, но если эти файлы блокируются, то PS запускается в "режиме ограниченного языка", и в нём не работают некоторые функции.