Macht die ExecutionPolicy für Powershell-Skripte Sinn?

Es ist recht einfach alle Powershell-Skripte zur Ausführung auf einem Computer zuzulassen. Hierzu muss man einfach nur folgenden Befehl als Admin absetzen:

Was ich bis vor einiger Zeit gar nicht wusste, ist dass man aber auch ohne Admin-Rechte jegliche Powershell-Skripte starten kann. Hierzu muss man nur das Skript wie folgt aufrufen:

Grund ist, dass die ExecutionPolicy für jede Powershell-Sitzung neu eingestellt werden kann und das von jedem Benutzer! Hiervon machte z.B. einer unserer Software-Anbieter Gebrauch, weshalb mir das erst aufgefallen ist, da die Skripte trotz restriktiver ExecutionPolicy gestartet werden.

Da ein Standard-Benutzer sowieso nicht weiß was ein Powershell-Skript ist und dass man dieses per Kontextmenü ausführen kann, spricht meiner Meinung nach nichts dagegen die ExecutionPolicy auf Unrestricted zu setzen. Schützen kann sie ja sowieso nicht, wenn jeder Benutzer oder ein Schadprogramm, das im Benutzer-Kontext ausgeführt wird, sie aushebeln kann. Das einzige was dann wirklich schützt wäre ein komplettes Deaktivieren von Powershell-Skripten für bestimmte Benutzergruppen.


Weitere Infos:

http://www.admin-source.de/BlogDeu/401/powershell-executionpolicy-richtig-verstehen-2

Schreibe einen Kommentar