Tipps, Tricks und Tools

Windows

In jeder Ausgabe präsentiert Ihnen IT-Administrator Tipps, Tricks und Tools zu den aktuellen Betriebssystemen und Produkten, die in vielen Unternehmen im Einsatz sind. Wenn Sie einen tollen Tipp auf Lager haben, zögern Sie nicht und schicken Sie ihn per E-Mail an tipps@it-administrator.de.
Cloud-First-Strategien sind inzwischen die Regel und nicht mehr die Ausnahme und Workloads verlagern sich damit in die Cloud – auch Datenbanken. Dort geht es ... (mehr)

»Standardmäßig blockiert die PowerShell unter Windows Server 2016 und 2019 Skripte – nicht selten wird diese Einstellung im laufenden Betrieb aber geändert. Wie sollten wir Ihrer Meinung nach auf gehärteten Servern verfahren?«

Auf sicheren Servern sollten Sie in jedem Fall die Einstellungen so setzen, dass nur signierte oder keine Skripte ausführbar sind. Müssen Sie ein nicht signiertes Skript starten, schalten Sie die Ausführungsrichtlinie aus und danach wieder ein. Sie ändern die Ausführungsrichtlinie mit dem »Cmdlet Set-ExecutionPolicy« , mit »Get-ExecutionPolicy« zeigen Sie sie an. Sie können folgende Einstellungen vornehmen:

-Restricted: Keine Skripte erlaubt. Das ist die empfohlene Einstellung für hochsichere Server.

-AllSigned: Nur signierte Skripte sind erlaubt. Das ist die empfohlene Einstellung für sichere Server, auf denen Sie regelmäßig bestimmte Skripte ausführen.

-RemoteSigned: Bei dieser Einstellung müssen Sie Skripte durch eine Zertifizierungsstelle signieren lassen. Hierbei handelt es sich um die Standardeinstellung in Windows Server 2016.

- Unrestricted: Mit dieser Einstellung funktionieren alle Skripte.

Nach der Eingabe von »Set-ExecutionPolicy unrestricted« müssen Sie die Ausführung noch bestätigen. Anschließend funktionieren selbst geschriebene Skripte. Für hochsichere Server sollten Sie »Set-ExecutionPolicy restricted« nutzen. Beachten Sie jedoch, dass dieses Sicherheitsfeature lediglich vor dem versehentlichen Ausführen von PowerShell-Skripten schützt. Angreifer, die in der Lage sind, Skripte auf dem Rechner zu starten, können die Vorgaben mit verschiedenen Methoden umgehen. Dazu gehört das "Bypass"-Flag, das Angreifer in ihrem Skript setzen können.

(ln/dr)

»Wir nutzen Amazon Relational Database Service oder

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

ArangoDB 1.4 mit Replizierung

Die NoSQL-Datenbank ArangoDB bringt mit Version 1.4 Replizierung und Unterstützung für mehrere separate Datenbanken. 

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2020