4 Replies Latest reply on Nov 23, 2017 11:47 PM by 1Z3qogwW

    Powershell Vetrteilungspaket Win 10 blokiert

    1Z3qogwW Rookie

      Hallo Profis!!!

      Ich bin neu hier und auch in der Ivanti/LanDesk Welt.

      Bei den Verteilungspaketen kann man aus mehreren Möglichkeiten wählen. Mich interessiert jetzt das Powershellscript. Die Powershellscriptdateien *.ps1 sind standardmäßig auf win 10 blockiert. Um die ausführen zu können soll man über die Police oder über die Konsole erlauben. Das wollen wir vermeiden. Gibt es eine Funktion oder ein Trick, dass ich PS erst über Ivanti erlaube und nach der Ausführung wider zurücksetze?

      Eine Alternative zu Powershellscript ist VBscript. Aber auf Dauer ist es unklar, wie lange wird VB noch von neuen BS unterstützt. Was meint Ihr dazu?

      MfG

        • 1. Re: Powershell Vetrteilungspaket Win 10 blokiert
          Jon Miller Apprentice

          Please excuse any errors in translation.

           

          I run many powershell scripts as well as "Windows Actions" which can also execute powershell commands. In the picture below, you can choose to require the scripts to be signed/self-signed or leave it wide open. I believe, and correct me if I'm wrong, if you run the scripts or Windows Actions as a task, it runs as the system account unless otherwise specified.

          What core are you running and have you had an issue with testing it? I'm on 2017.3

           

           

          Google Translated this to German for me:

           

          Ich führe viele Powershell-Skripte sowie "Windows-Aktionen" aus, die auch Powershell-Befehle ausführen können. In der Abbildung unten können Sie wählen, ob die Skripte signiert / selbstsigniert werden sollen oder ob sie weit offen bleiben sollen. Ich glaube, und korrigiere mich, wenn ich falsch liege, wenn Sie die Skripte oder Windows-Aktionen als Aufgabe ausführen, wird es als Systemkonto ausgeführt, sofern nicht anders angegeben.

           

          [pic]

           

          Welchen Kern führen Sie aus und haben Sie Probleme beim Testen? Ich bin auf 2017.3

          • 2. Re: Powershell Vetrteilungspaket Win 10 blokiert
            1Z3qogwW Rookie

            Vielen Dank für deine Antwort!

            Signierte Scripte muss man trotzdem erst erlauben und genau das wollte ich umgehen.

            https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.security/set-executionpolicy?view=powershell-5.1

             

            Ich habe jetzt eine Lösung. Diese habe ich local getestet. Im Ivanti aber noch nicht. Wenn jemand es vor mir testet, schreibt hier bitte das Ergebnis.

            CMD:

            Key Erstellen

            @echo off

            reg add HKLM\SOFTWARE\Microsoft\PowerShell\1\ShellIds\Microsoft.PowerShell /v ExecutionPolicy /t REG_SZ /d unrestricted

            PS wird einwandfrei ausgeführt

            get-ExecutionPolicy

             

            Key löschen

            @echo off

            reg delete HKLM\SOFTWARE\Microsoft\PowerShell\1\ShellIds\Microsoft.PowerShell /v ExecutionPolicy /f

             

             

            Google Translate:

            Many thanks for your response!

            You still have to allow signed scripts and that's what I wanted to avoid.

            https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.security/set-executionpolicy?view=powershell-5.1

             

            I have a solution now. I have tested these locally. But not in the Ivanti. If someone tests it, please write the result here.

            CMD:

            Create Key

            @echo off

            reg add HKLM \ SOFTWARE \ Microsoft \ PowerShell \ 1 \ ShellIds \ Microsoft.PowerShell / v ExecutionPolicy / t REG_SZ / d unrestricted

            PS is running properly

            get-ExecutionPolicy

             

             

            Delete key

            @echo off

            reg delete HKLM \ SOFTWARE \ Microsoft \ PowerShell \ 1 \ ShellIds \ Microsoft.PowerShell / v ExecutionPolicy / f

            • 3. Re: Powershell Vetrteilungspaket Win 10 blokiert
              Jon Miller Apprentice

              Thanks for the update.

               

              I'm curious if you have a Group Policy in your environment that is controlling your powershell execution. LANDesk/ivanti takes the Powershell script (mine are unsigned), signs it, executes the script, then changes the policy back. Below are some screen shots of the information I gathered on a simple script I ran to output the current active execution policy.

               

               

               

              Undefined Execution Policy is the Default Policy.

               

               

               

               

               

              Google Translate:

               

              Ich bin neugierig, wenn Sie eine Gruppenrichtlinie in Ihrer Umgebung haben, die Ihre Powershell-Ausführung steuert. LANDesk / ivanti übernimmt das Powershell-Skript (meins sind nicht signiert), signiert es, führt das Skript aus und ändert dann die Policy zurück. Es folgen einige Screenshots der Informationen, die ich in einem einfachen Skript gesammelt habe, das ich ausgeführt habe, um die aktuelle aktive Ausführungsrichtlinie auszugeben.

               

              [pic]

              [pic]

               

              Undefinierte Ausführungsrichtlinie ist die Standardrichtlinie.

              • 4. Re: Powershell Vetrteilungspaket Win 10 blokiert
                1Z3qogwW Rookie

                Hallo!

                So habe ich mir auch gedacht. Ivanti signiert und dann zurücksetzt. Nur leider ist bei uns werden keine Skripts zugelassen. Es gibt keine Police für signierte scripts. Admin wollen das nicht haben. Wir sind im Gespräch darüber.

                Mit freundlichen Grüßen.

                 

                Google Translate:

                Hello!

                That's what I thought. Ivanti signs and then resets. Unfortunately, we do not allow scripts. There is no policy for signed scripts. Admin do not want that. We are talking about it.

                Best regards.