ตำแหน่งการดำเนินการสคริปต์การเข้าสู่ระบบ Windows 10

ฉันกำลังมองหาข้อมูลเกี่ยวกับการเปลี่ยนแปลงใด ๆ ที่อาจเกิดขึ้นกับวิธีการเรียกใช้สคริปต์การเข้าสู่ระบบ GPO ใน Windows 10 เทียบกับ Windows 7

ฉันมีการตั้งค่าสคริปต์เข้าสู่ระบบ (powershell) ผ่าน GPO สำหรับ Windows 7 ในการทดสอบอิมเมจ Windows 10 สคริปต์นี้จะปรากฏขึ้นเพื่อคัดลอกครั้งแรกไปยังโฟลเดอร์ temp โปรไฟล์ในเครื่อง สตริงสุ่มสำหรับชื่อ (dyyxi3ra.i2u.ps1) ก่อนที่จะดำเนินการ นี่เป็นปัญหาเนื่องจากซอฟต์แวร์การจัดการที่เราใช้กำลังบล็อกผ่านกฎที่ตั้งค่าไว้ กฎอยู่ในสถานที่และเพิ่งค้นพบสิ่งนี้ในภาพทดสอบ Windows 10 ของฉัน (7 ยังคงฮัมเพลงอยู่)

ไม่มีใครรู้ว่าสิ่งนี้เป็นพฤติกรรมที่คาดหวังและมันเปลี่ยนจาก Windows 7 หรือไม่? Google ไม่เป็นประโยชน์และ TechNet ก็เหมือนกำลังมองหาเข็มในกองหญ้าที่ฉันไม่แน่ใจว่ากองหญ้ายังอยู่

ขอบคุณล่วงหน้า.

ETA: สิ่งนี้ดูเหมือนจะเป็นพฤติกรรมปกติ เมื่อเข้าสู่ระบบเป็นครั้งที่สองฉันได้รับข้อความคล้ายกันว่าสคริปต์ถูกบล็อกและสตริงแบบสุ่ม. ps1 ที่แตกต่างกัน พยายามเรียกใช้อีกครั้งจากโฟลเดอร์ temp ของโปรไฟล์ในเครื่อง

ฉันจะทดสอบโดยลงชื่อสคริปต์ แต่ฉันต้องอัปเดตใบรับรองการเซ็นรหัสก่อน ฉันหวังว่าปัญหานี้เกิดจากนโยบายการดำเนินการและจะช่วยแก้ไขปัญหาได้

ETA2: ในการทดสอบของฉันปรากฏว่าทุกครั้งที่มีการเรียกใช้สคริปต์ที่เก็บไว้จากระยะไกลมันจะคัดลอกบางสิ่ง (สคริปต์ตัวเอง?) ไปยังไฟล์ temp ในโฟลเดอร์ temp ของโปรไฟล์ท้องถิ่น รวมสคริปต์การเข้าสู่ระบบ หากใครสามารถชี้ให้ฉันไปที่เอกสารบางอย่างเกี่ยวกับเรื่องนี้ฉันจะขอบคุณมัน

ETA3: อัปเดตผลการวิจัยจนถึง ...

นี่ดูเหมือนจะเป็นการเปลี่ยนแปลงบางอย่างระหว่าง powershell V4 และก่อนหน้านี้กับ V5 ฉันติดตั้ง WMF5 บนอุปกรณ์ Windows 7 ของฉันและหลังจากทำเช่นนั้นฉันสามารถทำซ้ำพฤติกรรมเดิมที่ฉันเห็นบนอุปกรณ์ Windows 10

ฉันพบบทความที่อธิบายบางสิ่งที่คล้ายคลึงกับสิ่งที่ฉันเห็น แต่พวกเขากำลังใช้ AppLocker

https://www.sysadmins.lv/blog-en/powershell-50-and-applocker-when-security-doesnt-mean-security.aspx

ฉันคิดว่าบางที Bit9 กำลังตรวจหาโหมดภาษา PowerShell และเริ่มทำงาน แต่การเปลี่ยนโหมดจาก FullLanguage เป็น ConstrainedLanguage ไม่ได้สร้างความแตกต่างในสภาพแวดล้อมของฉัน

https://technet.microsoft.com/en-us/library/dn433292.aspx

ฉันไม่รู้ว่ามันจะทำให้ทุกอย่างอยู่ในใจของใครหรือไม่ แต่พรอมต์คำสั่ง Powershell จะกระตุ้นการแจ้งเตือน Bit9 หรือไม่ในขณะที่ Powershell ISE ไม่ทำเช่นนั้น ฉันรัน get-module ทั้งคู่เพื่อดูว่าโมดูลใดที่กำลังโหลดและเปรียบเทียบระหว่างอุปกรณ์ อย่างน้อยหนึ่งในอุปกรณ์ไม่ได้โหลดโมดูลใด ๆ ที่เปิดตัวดังนั้นฉันจึงตัดสินว่าโมดูลเป็นผู้ร้าย powershell.exe และ ISE ต่างกันที่อาจทำให้แอปพลิเคชันรายการที่อนุญาตสามารถเรียกใช้งานได้

ความยาวและสั้นของมันคือสำหรับความเข้ากันได้กับ AppLocker, Microsoft สร้างขึ้นใน powershell v5 การเขียนไฟล์. ps1 (และอาจเป็น. psm1) ถึง% temp% เมื่อเปิดใช้เพื่อกำหนดโหมดภาษาที่จะเริ่ม

เป็นแนวปฏิบัติด้านความปลอดภัยที่ดีในการตรวจสอบสคริปต์ที่เปิดใช้งานจาก% temp% โชคไม่ดีถ้าคุณใช้แอปพลิเคชันที่อนุญาตพิเศษในการทำเช่นนั้น (เช่น Bit9 หรือ AppLocker) และสร้างกฎเพื่อตรวจสอบสคริปต์ PowerShell ที่ใช้ไดเรกทอรีนั้นตามนามสกุลไฟล์จะมีโอกาสดีทุกครั้งที่ PowerShell เปิดตัวมันจะเรียกกฎนั้น

อย่างน้อยในกรณีของฉันนั่นหมายความว่าเมื่อใดก็ตามที่ไฟล์. ps1 ทำงานภายใต้บริบทของผู้ใช้ (เช่นสคริปต์การเข้าสู่ระบบ powershell) จะทำให้เกิดการแจ้งเตือนจากแอปพลิเคชันที่อนุญาตพิเศษและอาจบล็อกสคริปต์ การตั้งค่านโยบายการเซ็นชื่อสคริปต์และการดำเนินการไม่เกี่ยวข้องในการทดสอบของฉัน

ลิงค์ที่เกี่ยวข้องบางส่วนสำหรับข้อมูลเพิ่มเติม:

https://www.sysadmins.lv/blog-en/powershell-50-and-applocker-when-security-doesnt-mean-security.aspx

https://blogs.msdn.microsoft.com/powershell/2015/06/09/powershell-the-blue-team/

https://community.spiceworks.com/topic/1451109-srp-whitelist-causing-odd-behavior-in-powershell-v5