alex.hoer
Goto Top

Get Windows Scripting Host info with PowerShell

German:
Hallo, wir möchten den Windows Script Host auf allen unseren VMs im Netzwerk deaktivieren. Da wir derzeit jedoch nicht wissen, welche Skripte noch vom WSH ausgeführt werden, und sie nicht auf jedem Server manuell überprüfen möchten / können, benötigen wir ein Skript, das die folgenden Eigenschaften für jedes System bereitstellt:

Ist WSH aktiviert?
Hat WSH kürzlich ein Skript ausgeführt?
Welches Skript wurde ausgeführt?
Wann wurde es durchgeführt?
Leider konnte ich im Internet nichts Passendes finden.

Vielen Dank für die Hilfe!

English:
Hello, we want to deactivate the Windows Script Host on all of our VMs in the network. However, since we currently do not know which scripts are still being executed by the WSH and do not want to / cannot check them manually on each server, we need a script which provides the following properties for each system:

Is WSH activated?
Has WSH been running a script recently?
Which script was executed?
When was it carried out?
Unfortunately, I couldn't find anything suitable on the Internet.

Many thanks for the help!

Content-Key: 648126

Url: https://administrator.de/contentid/648126

Ausgedruckt am: 29.03.2024 um 13:03 Uhr

Mitglied: 147323
Lösung 147323 04.02.2021 aktualisiert um 12:05:36 Uhr
Goto Top
Unter
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsScriptHost\Settings\
oder für den aktuellen User
HKEY_CURRENT_USER\Software\Microsoft\WindowsScriptHost\Settings\

Den DWORD LogSecuritySuccesses anlegen und auf 1 setzen.

Details zu weiteren Settings zum WSH siehe (ab Seite 40)
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/SiS ...

Dann wird das Ausführen eines Skriptes im System-Eventlog mit der Quelle Windows Script Host mit der ID 1001 geloggt.
Das kannst du dann mit Get-Eventlog oder Get-WinEvent in der Powershell auswerten.