O que poderia estar causando a mudança na política de execução de scripts no Windows Server?

1

Temos algumas verificações do Nagios que se conectam a um servidor Windows e executam um script. Este script não está assinado, e nosso administrador definiu a política de execução de script para o servidor, cerca de um ano atrás, para ... irrestrito, acredito. Qualquer política é a menos segura.

O que está acontecendo agora (este é um servidor do Exchange FYI) é que, pelo menos uma vez por dia, a política de execução está sendo alterada para que o cheque do Nagios seja interrompido. Nosso administrador do Windows vai forçar manualmente a política de volta ao irrestrito, mas acontece a mesma coisa.

Agora, eu realmente não me importo de ter o conhecimento para entrar em um debate sobre se isso é ou não bom para a segurança. Mas o que nosso administrador estava pensando, e eu também estou, é como podemos identificar o que está mudando a política "fora de nós", e acabar com isso?

Afinal de contas, quem pode dizer que não mudamos de idéia para seguir uma política mais segura, apenas para ter essa pessoa arrancada debaixo de nós.

Qualquer insight é muito apreciado. Deixe-me saber se posso rastrear outros detalhes úteis.

    
por Larold 14.09.2011 / 11:39

1 resposta

3

As políticas de execução não são um sistema de segurança, portanto, a alteração poderia ter sido feita por qualquer pessoa com direitos de administrador ou por meio da política de grupo. A maneira mais simples de impedir que os scripts sejam violados pela política de segurança é usar a política de execução de desvio ao invocar o script. EX .: powershell -executionpolicy bypass -file .\myscriptfile.ps1 Para mais detalhes, consulte Ajuda do Console do PowerShell.exe

    
por 14.09.2011 / 14:20