[English]Kleiner Tipp für Leute, die gerne mit der PowerShell und Scripten an Windows herumbasteln. Es gibt ein Projekt, welches PowerShell-Scripte für verschiedene Zwecke sammelt und zur allgemeinen Verwendung bereitstellt. Inzwischen finden sich dort mehr als 500 PS-Scripte.
Ich bin die Tage über nachfolgenden Tweet auf diese PowerScript-Mega Collection gestoßen, deren PowerShell-Scripte sich auf dieser GitHub-Seite herunterladen lassen.
Die Sammlung enthält laut Erklärung auf der GitHub-Seite über 500 nützliche plattformübergreifende PowerShell-Skripte, die sich im Unterordner Scripts befinden. Die PS1-Scripte sind für die Verwendung auf der Befehlszeilenschnittstelle (CLI), für die Fernsteuerung über SSH, für Automatisierungssoftware (z. B. Jenkins), für Kontextmenüs, für Sprachbefehle (z. B. talk2windows), automatisch beim Starten/Anmelden/Abmelden/Tag/Herunterfahren/etc. oder einfach zum Erlernen der PowerShell gedacht.
Ich habe die Liste mal überflogen – es scheinen einige interessante Scripte dabei zu sein. Vielleicht kann jemand von euch da Honig draus saugen.
Wer diese Scripte in einer Produktivumgebung einsetzt, ohne sie Zeile für Zeile zu prüfen, dem ist nicht mehr zu helfen. Aber danke für den Link!
Schlauberger! Aber Danke für die äußerst professionelle Warnung!
Nun ja, wenn man es genau nimmt, sollte man auch bei „normaler“ Software kontrollieren,
was sie so tut.
Aber 1. kann man das bei Closed sources nicht
und 2. wer bitte hat die Zeit und Geduld dazu?
Es wird auf einem, oder mehreren Testsystemen angewendet und geschaut, ob es auch das tut,
was es tun soll, und ob es nicht „Schäden“ am System hervorruft.
Und das machst du garantiert auch bei all der von dir eingesetzten Software wo jeder reingucken kann. Bei mir ist da jetzt die Erwartungshaltung dir gegenüber sehr hoch.
Hier geht es „nur“ um ein paar Powershell-Scripte, bei denen bei einigen dabei steht, dass sie administrative Rechte brauchen…
Da die Scripte quelloffen sind kann man sehen, daß manche sehr komische Dinge tun.
Als Anregung für eigene Scripte taugen sie aber.
Es sind manche Daten innerhalb von Windows nur mit erhöhten Rechten auch nur lesbar. Wenn man die hat ändern will, dann braucht man diese Rechte.
Leider lässt Windows ein nachträgliches erhöhen der Rechte (legal) nicht zu, so daß man einem Script die maximale erforderlichen Rechte schon beim Aufruf geben muss.
Es könnte diese aber nur reduzieren.
In der Unix Welt kann man legal zu einem höheren Level wechseln
Was besser ist, darüber kann man prima streiten.
Aber ein Programm das Admin Rechte braucht gleich als böse und schlecht abzuwerten?
Pardon.
Zur Info:
Etliche Programme umgehen diese Begrenzung in dem sie bei der Installation (erfolgt ja oft mit Adminrechten) eine Art Treiber/Service installieren, der diese erhöhten Rechte bekommt. Für den Anwender ist das völlig transparent und er glaubt, das die App sicher ist, weil sie ja keine Admin Rechte hat…
Natürlich kann auch Open source eine Gefahr darstellen.
Allerdings weit geringere als close source, an dessen Sourcen Schlapphütte und andere Kriminelle gelangt sein können, die andere Seite aber nicht…
Aber auch der offenen Code ist trotz mancher Kontrolle gefährdet. ich erinnere da an den Fall des Linux Zufallsgenerators bei dem irgendwann auffiel, das er ab einer bestimmten Version nicht ausreichend zufällig war.
Ursache war ein Semicolon an der falschen Stelle, das dazu führte, das diese Variablen immer auf Null gesetzt wurden.
Es konnte zwar herausgefunden werden, wer dieses Semicolon falsch gesetzt hatte, aber nicht, welche Person das war…
Dutzende Leute haben den Code gelesen, und niemanden ist diese Änderung richtig aufgefallen…
Nichts desto trotz sind solche Sammlungen immer sehr hilfreich.
„Leider lässt Windows ein nachträgliches erhöhen der Rechte (legal) nicht zu, so daß man einem Script die maximale erforderlichen Rechte schon beim Aufruf geben muss.
Es könnte diese aber nur reduzieren.
In der Unix Welt kann man legal zu einem höheren Level wechseln
Was besser ist, darüber kann man prima streiten.“
Unter Windows gibt es das „Just enough Admin“ – JEA – damit kann man einem User eine Teilmenge Adminrechte auf Powershell zuteilen, da kann er mehr machen als ein normaler User aber auch nicht alles. Das ist sehr fein granulierbar – und eine Wissenschaft für sich, deswegen macht es kaum einer.
In der Unix-Welt ist das nach meiner Erfahrung sehr „digital“, entweder normaler User oder per sudo gleich sowas wie root und darf und kann alles.
https://learn.microsoft.com/en-us/powershell/scripting/learn/remoting/jea/overview?view=powershell-7.3
ich kann in der sudoers auch fein granulieren, was ein User darf und was nicht. wofür er explizit ein sudo-Passwort braucht und was als root im Userkontext laufen kann.
will mich nicht zu weit aus dem Fenster lehnen, aber behaupte mal, dass das bei Linux schon länger geht (:
macht nur keiner, weil es den meisten zu kompliziert ist und sie den Überblick verlieren…
(:
just my two cents
Ja, Mei.
Wie denkst Du Das man eine Firewall rule ohne Admin Rechte ändern soll? Auch in der ClickiBunti-Welt mancher sog. WindowsAdmins braucht man dafür Adminrechte. Und da das ständige PopUp anklicken nervt, dreht man es irgendwann ab. Man ist ja Admin und weiß daher was man tut…
Klar, wer Angst vor dem Schwarzen Consolen Fenster hat und nichts vom Programmieren versteht, sollte die Finger von Scripten jederart lassen und muss halt selbst klicken.
Klar, das solche fremden Scripte evtl. Seiten Effekte haben.
Ich denke da mal ganz simple an Spracheeinstellungen die nicht Englisch ist
Aber darum testet man das ja vorher aus…und kann in der Source sehen wo ein Problem besteht.
Für Laien ist das nix Stimmt.
Aber wer läßt schon Laien an sein Produktiv System?
So wie du es beschreibst, mit Firewallregeln erstellen, so macht nur der Anfänger das. Der Profi baut eine Gruppenrichtlinie, nein, nicht eine, sondern mehrere die sich addieren.