Temos algumas verificações do Nagios que se conectam a um servidor Windows e executam um script. Este script não está assinado, e nosso administrador definiu a política de execução de script para o servidor, cerca de um ano atrás, para ... irrestrito, acredito. Qualquer política é a menos segura.
O que está acontecendo agora (este é um servidor do Exchange FYI) é que, pelo menos uma vez por dia, a política de execução está sendo alterada para que o cheque do Nagios seja interrompido. Nosso administrador do Windows vai forçar manualmente a política de volta ao irrestrito, mas acontece a mesma coisa.
Agora, eu realmente não me importo de ter o conhecimento para entrar em um debate sobre se isso é ou não bom para a segurança. Mas o que nosso administrador estava pensando, e eu também estou, é como podemos identificar o que está mudando a política "fora de nós", e acabar com isso?
Afinal de contas, quem pode dizer que não mudamos de idéia para seguir uma política mais segura, apenas para ter essa pessoa arrancada debaixo de nós.Qualquer insight é muito apreciado. Deixe-me saber se posso rastrear outros detalhes úteis.
As políticas de execução não são um sistema de segurança, portanto, a alteração poderia ter sido feita por qualquer pessoa com direitos de administrador ou por meio da política de grupo. A maneira mais simples de impedir que os scripts sejam violados pela política de segurança é usar a política de execução de desvio ao invocar o script. EX .: powershell -executionpolicy bypass -file .\myscriptfile.ps1 Para mais detalhes, consulte Ajuda do Console do PowerShell.exe