Ich habe einige selbsgeschriebene Scriptdateien, die ich täglich laufen lasse. Defence+ fragt nun aber nur einmalig bei Aufruf eines Scripts nach, ob der Explorer wscript.exe aufrufen darf, was ich ja erlauben muss.
Mein Problem: ab nun wird nicht mehr nachgefragt, wenn ein Script gestartet wird, also auch bei einem böswilligem Script nicht, was in meinen Augen ein gewisses Sicherheitsrisiko ist.
Daher würde ich wscript.exe gerne einschränken, dass es nur meine Scripts ohne Nachfrage starten soll, nur hab ich keine Idee, wo ich die Namen meiner Scripte eintragen soll.
Ich hab versucht, *.vbs als “Geschützte Datei” einzutragen, das hat aber nichts gebracht. Auch versucht habe ich, in den Explorer Sicherheitseinstellungen wscript.exe mit der VBS Datei als Parameter einzutragen, das hat auch nicht geholfen.
In welchem D+ modus befindest du dich denn. eigentlich sollte sowas helfen, da ja wscript.exe verscuht eine datei auszuführen, die du überwachen lässt.
Hoffe du hast *.vbs auch unter Kontrolle der Speicherabbiöder eingetragen, sonst wirds wohl nichts bringen.
Wenn du im falschen Modus bist, dann wird D+ einen Eintrag bei wscript.exe in den Compputer-Sicherheitsrichtlinien machen - bei dem obersten Punkt bei den Zugriffsrechten, und da könnte dann “*” stehen. dadurch wird er wohl auch nicht mehr nachfragen
Ich bin im sicheren Modus und die *.vbs sind auch im Speicherabbild mit eingetragen und der Regler dort ist auf Normal.
CIS scheint irgendwie die VBS Dateien nicht wirklich ernst zu nehmen, es erkennt halt wscript.exe und das war’s dann, das scheint wohl das Hauptproblem zu sein, was ich habe.
Wenn eines meiner Scripte eine EXE oder auch eine VBS Datei aufruft, dann wurde ich immerhin auch gefragt, ob wscript.exe die wscript.exe (beim Aufruf einer VBS) oder eben das Programm aufrufen darf, aber CIS scheint tatsächlich nicht zu interessieren, welche VBS wscript.exe da aufruft.
ich habs mal ausprobiert, und mehr als die Frage ob wscript.exe wscript.exe ausführen darf kam nicht. Habs auch mit dem Eintrag beim Speicherabbild probiert, dann bei wscript.exe selbst mal das ausführen von *.vbs blockiert. Hat aber alles nichts geholfen. Paranoider Modus hat auch nichts gebracht.
Im falls einer Malware versucht wscript oder Explorer zu starten soll D+ eine Warnung geben. In beide Falle hat der Benutzer Gelegenheit das Prozess zu stoppen. Wenn dies nicht passiert dann gibt ein riesiges Loch in CIS.
Der Hauptentwickler egemen hat vor kurzem kommentiert dass es mit Version 4 ein Script Vorschau geben wird für cmd.exe. Dies ist eine extra Sicherheitsmaßname. Vielleicht und hoffentlich auch für wscript.