wscript.exe besser einschränken?

Ich habe einige selbsgeschriebene Scriptdateien, die ich täglich laufen lasse. Defence+ fragt nun aber nur einmalig bei Aufruf eines Scripts nach, ob der Explorer wscript.exe aufrufen darf, was ich ja erlauben muss.

Mein Problem: ab nun wird nicht mehr nachgefragt, wenn ein Script gestartet wird, also auch bei einem böswilligem Script nicht, was in meinen Augen ein gewisses Sicherheitsrisiko ist.

Daher würde ich wscript.exe gerne einschränken, dass es nur meine Scripts ohne Nachfrage starten soll, nur hab ich keine Idee, wo ich die Namen meiner Scripte eintragen soll.

Ich hab versucht, *.vbs als “Geschützte Datei” einzutragen, das hat aber nichts gebracht. Auch versucht habe ich, in den Explorer Sicherheitseinstellungen wscript.exe mit der VBS Datei als Parameter einzutragen, das hat auch nicht geholfen.

Hat noch jemand Tipps?

*.vbs bei ausführbare Dateien eintragen wo die .exe und.com drinstehen. Das sollte eigentlich helfen.

Hilft leider nicht, es wird weiterhin nur wscript.exe erkannt und nachgefragt.

In welchem D+ modus befindest du dich denn. eigentlich sollte sowas helfen, da ja wscript.exe verscuht eine datei auszuführen, die du überwachen lässt.

Hoffe du hast *.vbs auch unter Kontrolle der Speicherabbiöder eingetragen, sonst wirds wohl nichts bringen.

Wenn du im falschen Modus bist, dann wird D+ einen Eintrag bei wscript.exe in den Compputer-Sicherheitsrichtlinien machen - bei dem obersten Punkt bei den Zugriffsrechten, und da könnte dann “*” stehen. dadurch wird er wohl auch nicht mehr nachfragen

Ich bin im sicheren Modus und die *.vbs sind auch im Speicherabbild mit eingetragen und der Regler dort ist auf Normal.

CIS scheint irgendwie die VBS Dateien nicht wirklich ernst zu nehmen, es erkennt halt wscript.exe und das war’s dann, das scheint wohl das Hauptproblem zu sein, was ich habe.

Wenn eines meiner Scripte eine EXE oder auch eine VBS Datei aufruft, dann wurde ich immerhin auch gefragt, ob wscript.exe die wscript.exe (beim Aufruf einer VBS) oder eben das Programm aufrufen darf, aber CIS scheint tatsächlich nicht zu interessieren, welche VBS wscript.exe da aufruft.

könntest du mir mal eine paar *.vbs scripte schicken. damit ich das mal testen kann.

Da die Scripte alle auf meine Bedürnisse zugeschnitten sind, will ich das lieber nicht. Nicht, dass die Scripte bei dir Amok laufen.

Aber so ein Script ist ja auch schnell selbst erstellt, einfach Notepad starten, dort

MsgBox “Hallo”

eingeben und als Datei.VBS abspeichern, damit hast du schon ein solches Script.

Danke für deine Mühe.

Jut,

ich habs mal ausprobiert, und mehr als die Frage ob wscript.exe wscript.exe ausführen darf kam nicht. Habs auch mit dem Eintrag beim Speicherabbild probiert, dann bei wscript.exe selbst mal das ausführen von *.vbs blockiert. Hat aber alles nichts geholfen. Paranoider Modus hat auch nichts gebracht.

Ich werds mal im englischen Forum ansprechen.

Schön, dass auch andere daran scheitern

Im englischen Forum hab ich mich mit meinem Schulenglisch schon versucht, aber auch da ist erstmala nicht wirklich was rausgekommen: https://forums.comodo.com/defense_help/stronger_wscriptexe_rules_possible-t43562.0.html

Danke in jedem Fall weiterhin für deine Mühe!

Ich habs mal in die Bug-Liste für CIS 3.10 reingeschrieben, da sie sich da dann auch drum kümmern.

https://forums.comodo.com/feedbackcommentsannouncementsnews_cis/comodo_internet_security_310102194530_bug_reports-t42039.0.html

Irgendwo bei Seite 15 oder so.

Im falls einer Malware versucht wscript oder Explorer zu starten soll D+ eine Warnung geben. In beide Falle hat der Benutzer Gelegenheit das Prozess zu stoppen. Wenn dies nicht passiert dann gibt ein riesiges Loch in CIS.

Der Hauptentwickler egemen hat vor kurzem kommentiert dass es mit Version 4 ein Script Vorschau geben wird für cmd.exe. Dies ist eine extra Sicherheitsmaßname. Vielleicht und hoffentlich auch für wscript.