none
Powershell進行相關惡意指令運作 RRS feed

  • 問題

  • 本人為北投分院資訊官有問題請教

    我的上級單位來資安督導,發現微軟作業系統內建的Powershell能進行相關惡意指令運作,建議我將它關閉

    但如將本院伺服器的Powershell功能關閉,會發生服務無法運作問題,目前暫無法限制

    請問微軟這種情形如何處理或如何回應上級?


    • 已編輯 AskaSuModerator 2018年7月13日 上午 06:57 修改與問題無關之描述,原始標題: Powershell進行相關惡意指令運作(急問)
    2018年7月13日 上午 02:02

所有回覆

  • Hi,

    Powershell is a essential component of Windows Server 2012. You can't just remove it. It's nearly like you want to remove the bash shell from an debian / ubuntu / etc. server. If you want to make the Powershell inaccessible from other users you have to check the user rights and may also disable Powershell remoting.

    Also with non-administrative rights you can't do very critical things on an server. Even not with powershell. If you give other user critical rights, they could damage you system even if your system would't have the powershell.

    I agree. Windows is designed in a way that makes it very difficult, even for professional users, to damage a system with a default user account and default user permissions. And if there is a way to damage a system with user rights, there is also a way to do it without powershell.

    https://social.technet.microsoft.com/Forums/zh-TW/5cd20d0e-27fb-428a-9dc8-e4d17489d4ac/3836438281powershell2115133021?forum=winserver2012zhtw

    提供您參考,

    希望對您有所幫助

    謝謝.


    • 已編輯 MarkMa168 2018年7月13日 上午 03:10
    2018年7月13日 上午 03:07
  • PowerShell 只是一種指令碼 Shell 環境,
    只要執行者的身分具有權限,
    且想要執行的 PS1 程式帶有惡意行為,
    就可以執行想要的動作

    即便不是 PowerShell,
    改用 Command Mode (傳統命令提示字元) 只要有權限,
    都可以進行惡意指令的運作

    另外,微軟論壇主要提供網友交流討論的地方,
    如果需要官方的正式協助及回覆,
    要請直接向微軟付費建案


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部

    論壇不是神壇,沒人會通靈知道問題狀況
    請正確簡述標題及詳述狀況
    如何在論壇正確發問,可以參考iThome的文章:
    如何問到我要的答案

    2018年7月13日 上午 07:01
    版主