Macht die ExecutionPolicy für Powershell-Skripte Sinn?

Es ist recht einfach alle Powershell-Skripte zur Ausführung auf einem Computer zuzulassen. Hierzu muss man einfach nur folgenden Befehl als Admin absetzen:

Was ich bis vor einiger Zeit gar nicht wusste, ist dass man aber auch ohne Admin-Rechte jegliche Powershell-Skripte starten kann. Hierzu muss man nur das Skript wie folgt aufrufen:

Grund ist, dass die ExecutionPolicy für jede Powershell-Sitzung neu eingestellt werden kann und das von jedem Benutzer! Hiervon machte z.B. einer unserer Software-Anbieter Gebrauch, weshalb mir das erst aufgefallen ist, da die Skripte trotz restriktiver ExecutionPolicy gestartet werden.

Da ein Standard-Benutzer sowieso nicht weiß was ein Powershell-Skript ist und dass man dieses per Kontextmenü ausführen kann, spricht meiner Meinung nach nichts dagegen die ExecutionPolicy auf Unrestricted zu setzen. Schützen kann sie ja sowieso nicht, wenn jeder Benutzer oder ein Schadprogramm, das im Benutzer-Kontext ausgeführt wird, sie aushebeln kann. Das einzige was dann wirklich schützt wäre ein komplettes Deaktivieren von Powershell-Skripten für bestimmte Benutzergruppen.


Weitere Infos:

http://www.admin-source.de/BlogDeu/401/powershell-executionpolicy-richtig-verstehen-2

Tobias Langner
Ich arbeite seit mehreren Jahren als IT-Administrator, bin ausgebildeter Fachinformatiker für Systemintegration und Studium-„Pausierer“ an der FernUni Hagen

Achtung: Für die Richtigkeit der zur Verfügung gestellten Informationen, Skripte, etc. übernehme ich keine Gewähr. Deren Nutzung geschieht ausdrücklich auf eigene Gefahr!

Schreibe einen Kommentar