Комментарии 76
Есть ещё крайне опасная программа — regedit.exe. Да и сам реестр содержит массу крайне чувствительной для работоспособности Windows информации. И да, с помощью правки реестра также можно добавить исключения в работу антивируса или удалить его. Exterminate?
С другой стороны, в папке пользователя разрешено хранение исполнимого кода. Кто мешает вирусу загрузить туда снова такой полезный wmic.exe или любой другой код?
regedit.exe требует админских прав. Реестр сам по себе тоже без админских прав никуда за пределы текущего пользователя не пустит.
Ничего (хотя ничего так же не мешает внести wmic.exe в какой-нить черный список), при чем тут это вообще? МС убирает легаси и сокращает поверхность для атак. Это само по себе полезное действие, хоть сколько других способ есть помимо этого. Даже игнорируя вопрос безопасности, это все равно выглядит полезным, т.к. унифицирует средства администрирования вокруг powershell.
Если WMIC получает доступ к информации без повышения прав, значит найдётся и другие способы для этого, удаление конкретной утилиты не поможет. Да и способов повышения полномочий масса.
сокращает поверхность для атак
Приведите пожалуйста пример когда атаковать можно только исполняя wmic.exe.
wmic - это всего лишь один из возможных интерфейсов доступа к WMI, а не некая утилита, которая "небезопасно" делает что-то отдельное. Как уже заметили, она лет десять как deprecated, и понятно, что когда-то ее удалили бы. Удалили вот сейчас. Притягивать сюда "безопасность" особо незачем.
Ну конечно, переписать новый вредонос, который все равно будет новый, ибо старые детектируются уже, условно говоря "на использование powershell" - это же проблема
А админам свои скрипты переделать только потому что wmic выпилили - ерунда, им это даже в радость
потому что поддерживать меры безопасности ещё и в ней
какие "меры безопасности еще и в ней"? это клиентская софтина, выполняющаяся в контексте пользователя, её запустившего
С другой стороны, в папке пользователя разрешено хранение исполнимого кода. Кто мешает вирусу загрузить туда снова такой полезный wmic.exeЗагрузить никто не мешает, а исполнить помешают грамотно настроенные правила SRP/AppLocker. Если у юзера из профиля могут запускаться любые бинарники — все вопросы к сисадминам, которые проморгали такую дырку. Запускаться оттуда должны лишь явно разрешённые бинарники.
И да, с помощью правки реестра также можно добавить исключения в работу антивируса или удалить его.
С Защитником такое не катит. Tamper Protection тут же откатит любую вашу попытку отключить Защитник через реестр, для этого тампер и создан.
Другие антивирусные продукты тоже могут использовать такой подход. Например, уважающий себя антивирус не даст себя удалить, пока пользователь не подтвердит это (причём, в настройках какого-нибудь Kaspersky Anti-Virus обычно есть опция, запрещающая выдавать такие подтверждения через средства удалённого управления — только живое присутствие).
Разрешение на запуск Вайбера или браузера, установленного в профиле пользователя за неимением доступа к «Program Files» считается?
Кто администрирует домашние компьютеры?
все вопросы к сисадминам
А что делать простым домашним пользователям, которые «сам себе админ» и «просто купил и пользуюсь»?
По-хорошему, «грамотно настроенные правила» должны стоять по умолчанию, а если юзер хочет сделать послабления, то пусть делает это хоть насколько-то сознательно.
SRP с 5-й версии PowerShell не контролирует запуск скриптов PowerShell. Поэтому вырезание WMIC в данном случае погоды не делает. А вот переход на PS создаёт громадную дыру в безопасности (при использовании SRP).
А ещё надо выпилить powershell, и cmd заодно, и самбу, и юсб. Оставить запуск только программ с сертификатом микрософта с их маркета. Ну и до кучи с интернета ничего не скачивать, браузер в песочнице, документы на onedrive, игры в внешних сервисах.
пожалуйста, не нужно зачитывать ченджлог версий, ещё не ушедших в релиз :)
Похоже на Windows 10X по описанию. А еще на Windows Phone.
не подавай свежих идей, даже в линух похожие идеи витают:
wayland со своим запретом к доступу экрана приложения, ods студия перестала работать, мои xdottool скрипты (автоматизация нажатий мыши клавы) тоже перестали, запрет это хорошо, но пользователь должен иметь возможность его обойти.
мне чем линух нравился я хозяин своей техники:
прикажу этот файл недоступен, он для всех недоступен, прикажу этот файл файловую систему удалить, удалю (он будет существовать, для программ которые его открыли пока его не закроют) нужно посмотреть что в памяти того процесса творится, посмотрю поменяю. Полезно знать, что зачемто скайп полез в теневой файл пароля, зачем он ему майки так и не обяснили.
"мне чем линух нравился я хозяин своей техники".
Можете в Ext4 настроить разрешения на папку так, чтобы её саму нельзя было удалить, переименовать или сменить разрешения (всё это без повышения прав), но при этом всем можно было делать всё внутри папки со всем её содержимым? А ещё с наследованием прав там всё очень "замечательно". Эксперименты проводил в Debian 11.
Едва-ли через regedit можно отключить антивирус и телеметрию. На Stackoverflow тема с многими обновлениями и решения под последние обновления ОС - только полурабочие и временные
Несколько месяцев назад я писал скрипт. Мне нужно было заархивировать несколько папок, в каждом архиве менять 1 файл. Нужно упаковать мои рабочие проекты для отправки на веб.
Писал на PowerShell, потом я матерился, что потратил пол дня времени. так как PowerShell требует сертификаты безопасности. Блиин. Где я их возьму?
Пришлось переписывать на CMD, все по новой, соблюдая другой синтаксис. Просто там скрипт сложный, но ее мне приходится делать часто, поэтому хотел автоматизировать свою рутину.
Я понимаю что PowerShell обеспечивает защиту от вирусов. Но так пусть сделают его более понятным и доступным. Например в свойствах скрипта поставить галочку особую.
И если предположим там так можно сделать, как я должен об этом узнать, они же пишут в окне что мол нет сертификата, так пусть рядом напишут что мол это можно отключить в свойствах.
Не фига не понятно как это делается.
>так как PowerShell требует сертификаты безопасности
Решается запуском из под CMD со специальными ключами (или можно тупо отключить все проверки подписи скриптов одной командой)
powershell.exe -ExecutionPolicy Bypass <путь_к_вашему_скрипту>
А чего мелочиться, сразу
Set-ExecutionPolicy -Scope CurrentUser RemoteSigned
раз уж товарищ все равно скрипты пишет на локальной машине.
Спасибо большое.
А можно это как написать вначале самого скрипта? Или это уже не получится.
Хотя полагаю скорей всего нет, иначе смысл такой защиты теряется.
Я на работое пользуюсь комбинацией cmd + ps: cmd устанавливает разрешение и потом запускает собственно скрипт.
Если я не администратор и мне просто нужно автоматизировать какие-то действия, не требующие никаких привилегий, мне всё равно приходится прописывать каждый раз несколько дополнительных параметров при запуске. А я хочу просто аналог bash-скриптов на Windows, работающий из коробки.
Количество пользователей кому это нужно не велико, они могут осилить разово
Set-ExecutionPolicy -Scope CurrentUser RemoteSigned
Количество пользователей кому это нужно не великоВсе, кто вынужден использовать bat-скрипты, но страдает от крайне ограниченной функциональности?
Что эта команда значит?
А я хочу просто аналог bash-скриптов на Windows, работающий из коробки.
Powershell и есть такой аналог. Но, как и bash скрипты для своей работы требует своего рода sudo.
Обожаю такие заголовки. Сидишь, значит, боишься спрашивать про powershell, а то мало ли че люди подумают))
А я не могу понять. WMIC маркируют как опасный, как будто при остуствии админских прав он мог сделать что то больше в системе, чем powershell. Звучит бредово.
Проще уже было самому написать утилиту date
лет 15 назад еще написал:
Соглашусь, но едва ли на простую утилиту которая спамит в stdout текущее время отзовется антивирус.
Я, хмм, не опытен в си и плюсах, но полагаю что в них есть уже либы для работы со временем, которые спокойно работают на популярных системах
Я подозреваю, что в случае с MS проще написать утилиту которая минимально зависит от windows. Иначе в следующей версии окажется api-устарел или требуется конкретная версия ps. Или "новый windows стал еще лучше и безопаснее" и теперь требуется сделать несколько лишних Па, чтобы заработало то что работало всегда.
Не единственный. Можно ещё через реестр: https://www.cyberforum.ru/cmd-bat/thread671323-page2.html#post5177383
powershell -c get-date -uformat %s
Лично у меня эта команда показала время на три часа больше текущего
да вряд ли уже, столько сил, бабок и времени в него вбухано, от него столько зависит всего
только если кто-нибудь не придумает мега оболочку, да и то это случилось бы лет через десять-пятнадцать...
В то время как команда date на юниксах отпраздновала свой 50-летний юбилей
Так и в винде date никуда не делась.
а разве %time% и %date% уже не работают?
Кошмар кошмар, удаляют инструмент который был депрекейтнут ещё во времена 2012 сервер. https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/hh831568(v=ws.11)#wmi-providers
Интересно когда они смогут полностью выпилить и перенести весь фунционал из Control Panel в Settings (ms-settings:), начали это еще в Windows 8, но даже в 11 изменений минимально.
Ага... На одной из сборок видел как выпилили Программы и компоненты из control и не оставили кнопки Удаление обновлений в setting. Искал поиском потом. Может уже и пофиксили в овых сборках. Но все равно было интересно
Вопрос 2All - а кто в реальной работе использует WMI на серверах ? Как по мне, с учётом распространения Linux на серверах актуальность этой технологии сильно уменьшается. Хотя, конечно, я могу ошибаться.
Убирают только утилиту, само API WMI остатется. wmic действительно часто использовался малварями, но мне не верится, что микрософт это сделал исключительно из соображений безоапсности. Ибо если бы они всерьез озаботились вопросом безопасности системных утилит винды, то надо бы было бы выпилить еще пачку всяких утилиток.
Такое впечатление, что MS только и думает о том, как испоганить жизнь пользователю и тем более, системному администратору.
Microsoft убирает из Windows 11 wmic.exe