Для повышения компьютерной безопасности можно запретить работу скриптов (сервер сценариев) и пакетных файлов (bat, cmd). Конечно, нужно учитывать специфику использования компьютера. Отключение скриптов негативно скажется на работе браузера Internet Explorer. Пакетные файлы тоже могут активно использоваться на компьютере. Убедитесь, что на компьютере используются другие браузеры и пользователь не работает с командными файлами.
:: Запрет скриптов
Отключить сервер сценариев (Scripting Host) можно с помощью программы xp-AntiSpy или вручную через Реестр.
Для ручного отключения запустите regedit:
HKLM\Software\Microsoft\Windows Script Host\Settings
Строковый параметр Enabled равный «0» отключает работу скриптов. Чтобы включить измените значение 0 на 1.
:: Отключение обработки пакетных файлов
Для отключения пакетных файлов можно изменить реакцию системы при запуске файлов cmd и bat , например, на открытие таких файлов в Блокноте.
HKEY_CLASSES_ROOT\batfile\shell\open\com
дефолтовое значение параметра «%1» %* меняем на NOTEPAD.EXE %1
HKEY_CLASSES_ROOT\cmdfile\shell\open\com
дефолтовое значение параметра «%1» %* меняем на NOTEPAD.EXE %1
Теперь при попытке запуска командных файлов они просто будут открыты в Блокноте.
Далее рассмотрены reg -файлы для автоматизации этих процессов:
Отключение скриптов:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\W
«Enabled»=dword:00000000
Включение скриптов:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\W
«Enabled»=dword:00000001
Отключение командных файлов:
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\cmdfile\shell\open\co
@=»NOTEPAD.EXE %1″
[HKEY_CLASSES_ROOT\batfile\shell\open\co
@=»NOTEPAD.EXE %1″
Включение командных файлов:
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\cmdfile\shell\open\co
@=»\»%1\» %*»
[HKEY_CLASSES_ROOT\batfile\shell\open\co
@=»\»%1\» %*»
Windows Script Host (or WSH) (also known as Windows Scripting Host) is a scripting language shipped with all major Windows and Windows Server distributions since Windows 98. Scripts made with WSH (which usually have VBS extension, since they are primarily written in VBScript) are usually more powerful and versatile than batch files (.BAT extension) and, for a certain period, they have been used within most software installation processes to carry out various system configuration activities. WSH is a language-independent system, as it allows you to write code using different script engines including VBScript (default), JavaScript, Perl and more.
Unfortunately, the great potential and versatility of the Windows Script Host eventually led most hackers and black-hat developers to use it to develop malicious script-based computer viruses and malware. A WSH script can automate almost any operation normally performed by Windows and can be launched with a single click, thus making it the perfect tool to be used in the e-mail spamming / e-mail phishing campaigns, where multiple fake invoices are sent to a wide amount of users hoping that some of them would «double click» on them, thus activating the malware. For this reason, the mere presence of a .VBS file directly attached to an e-mail or «hidden» in a .ZIP archive should alarm the user and block any impulse to open it — or, better said, to have it run against your system.
The good practice of never opening e-mail attachments with unknown or potentially dangerous file extensions is well-known among IT experts since year, and — also as a result of the threat due to the widespread spread of Ransomware — it finally begins to spread even among less experienced users: it is no coincidence that paying close attention to attachments received via e-mail (especially «invoices» and administrative / accounting documents) is one of the main tricks recommended by all experts and computer security sites (we have talked about them here).
Despite this, unfortunately there are still many users who, either because of their habit of clicking or distraction, continue to make mistakes of this type, which have the unfortunate result of causing execution of VBS scripts on your machine. The fact that it is not an EXE file should not be misleading: it is, as mentioned, scripts that take advantage of an extremely powerful and therefore potentially very dangerous Windows feature, which deserves the maximum attention in terms of prevention — and, even more so, in the unlikely scenario of an erroneous execution.
How to prevent VBS files from running
Given the above picture, the system administrator can definitely consider disabling the Windows Script Host feature on all client and / or server PCs for security reasons: this is certainly a good practice especially if this language is not used intensively , which is true in most cases. The blocking of the WSH function will prevent the execution of files with .VBS extension, which will then become «harmless» text files on all PCs subjected to this treatment.
Here are the steps to be taken to disable the Windows Script Host (WSH) functionality for the current user (step 2-3) and / or for all users (steps 4-5):
- Press the WINDOWS + R keys, then type regedit to open the system registry in edit mode.
- Navigate to HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings\
- Create (if it doesn’t exist already) a new REG_DWORD key, call it Enabled and assign a value of 0 (zero) to it.
- Navigate to HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings\
- Create (if it doesn’t exist already) a new REG_DWORD key, call it Enabled and assign a value of 0 (zero) to it.
The VBS execution block should now be effective: in order to test it, create a test.vbs file on the desktop and try to run it. If everything has been done correctly, you should see the following warning message appear in a popup window:
Windows Script Host access is disabled on this machine. Contact your administrator for details.
Needless to say, to bring back such functionality you just need to delete the Enabled registry key (or change its value to 1).
What to do if a harmful .VBS file is executed
In the event of an «unexpected» execution of a potentially harmful .VBS file it is certainly advisable to carry out the following precautions:
- Make a copy of the VBS file (without executing it) and scan it online with a tool like VirusTotal: this will allow you to identify the threat, a fundamental prerequisite for any subsequent «erase» or «cleaning» strategy. Needless to say, take special care not to execute that file while handling it! To lower the risk — for you and other users — we strongly recommend renaming it with a harmless extension (eg .TXT or .BAK).
- Perform a system scan with an available AntiVirus tool (Bitdefender, Kaspersky, Avira, Avast, etc.). If you do not have paid versions or active subscriptions, you can download and install one of the many free versions made available by the developers of the aforementioned products. Just be sure to download the executables only from the official sites and update the antivirus database to the latest version before starting the scan.
- Perform an additional system scan with the Trend Micro Anti-Threat Toolkit offline installer version (32bit or 64bit, depending on your system CPU architecture). This is the software that gave us best results for scanning and removing the most dangerous malware (rootkits, ransomware) distributed through .VBS scripts.
In addition to performing the above-mentioned countermeasures, it is advisable to take a general look at the system to identify suspicious files and/or potential threats, including: files with strange or wrong extensions, unknown text files, performance drops, application crashes, and anything else that could unveil ransomware activities being in progress. We also advise you to read the following posts and perform the suggested best practices:
- How to prevent Data Breach (Malware ,Virus, Hacker, Phishing, etc.)
- Key elements that threaten your Online Security
- Precautions to follow to protect your System from Malware
Conclusion
That’s it for now: given the widespread distribution of VBS viruses and malwares attached to e-mails throughout the whole Europe, we can only recommend to preventively disable WSH to all system administrators, unless explicitly required by specific scenarios.
Download Windows Speedup Tool to fix errors and make PC run faster
If you want to turn on or off Windows PowerShell script execution in Windows 10, follow this step by step guide. We will use the Registry Editor and Local Group Policy Editor to enable or disable this functionality.
Windows PowerShell is an essential and handy tool included in the Windows operating system. There are mainly two types of scripts – Signed by a trusted publisher and Local scripts. Local scripts are what you create on your personal computer, whereas the other one is what a trusted publisher has signed to perform a specific task.
To turn on or off Windows PowerShell script execution using Group Policy Editor, follow these steps-
- Search for gpedit.msc in the Taskbar search box.
- Click on Edit group policy in the search result.
- Go to Windows PowerShell in Computer Configuration.
- Double-click on Turn on Script Execution.
- Select the Enabled option.
- Choose an Execution Policy from the drop-down list.
- Select the Disabled option to turn off script execution.
- Click on Apply and OK.
Let’s check out these steps in detail.
At first, you will have to open the Local Group Policy Editor on your computer. For that, search for gpedit.msc in the Taskbar search box and click on Edit group policy in the search result. After opening this tool, navigate to the following path-
Computer Configuration > Administrative Templates > Windows Components > Windows PowerShell
In the Windows PowerShell folder, you will see a setting called Turn on Script Execution. Double-click on it and select the Enabled option.
After that, choose an Execution Policy from the drop-down list. You will see these three options-
- Allow only signed scripts
- Allow local scripts and remote signed scripts
- Allow all scripts
If you want to turn off the script execution in Windows PowerShell, choose the Disabled option.
Either way, click on Apply and OK to save the change.
As said earlier, it is possible to make the same change using Registry Editor. Before that, it is recommended to create a System Restore point and backup all Registry files.
Enable or disable Windows PowerShell script execution using Registry
To enable or disable Windows PowerShell script execution, follow these steps-
- Press Win+R.
- Type regedit and press the Enter button.
- Click on the Yes button.
- Go to Windows inside HKLM key.
- Right-click on Windows > New > Key.
- Name it as PowerShell.
- Right-click on PowerShell > New DWORD (32-bit) Value.
- Name it as EnableScripts.
- Double-click on it to set the Value data as 1.
- Right-click PowerShell > New > String Value.
- Name it as ExecutionPolicy.
- Double-click on it to set the Value data as mentioned below.
If you want to learn more, keep reading.
To get started, press Win+R, type regedit and hit the Enter button. If you see the UAC prompt, click on the Yes button to open Registry Editor on your computer. After that, navigate to the following path-
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows
Right-click on Windows, select New > Key, and name it as PowerShell.
You will have to create a DWORD (32-bit) Value and a String Value in the PowerShell key. For that, right-click on PowerShell > New > DWORD (32-bit) Value and name it as EnableScripts.
Double-click on EnableScripts to set the Value data as 1 or 0. If you want to enable this functionality, make it 1. Otherwise, let it be 0.
Now, you will have to set the execution policy. For that, right-click on PowerShell > New > String Value, and name it as ExecutionPolicy.
After that, double-click on it and enter the Value data as said below-
- AllSigned: Allow only signed scripts
- RemoteSigned: Allow local scripts and remote signed scripts
- Unrestricted: Allow all scripts
At last, click the OK button to save the change.
That’s all! Hope it helps.
Anand Khanse is the Admin of TheWindowsClub.com, a 10-year Microsoft MVP (2006-16) & a Windows Insider MVP (2016-2022). Please read the entire post & the comments first, create a System Restore Point before making any changes to your system & be careful about any 3rd-party offers while installing freeware.
Windows PowerShell — это мощный инструмент для автоматизации административных задач. Он поддерживает выполнение различных скриптов, которые могут значительно упростить и ускорить настройку и управление компьютером. Однако, как и любой мощный инструмент, PowerShell может представлять угрозу для безопасности системы, если его использование не контролируется.
В этой статье мы расскажем о том, как включить или отключить возможность выполнения скриптов в PowerShell, чтобы защитить свою систему от злонамеренных скриптов, а также как настроить политики безопасности, чтобы допускать выполнение только надежных скриптов.
Следуя нашей инструкции, вы сможете легко управлять выполнением скриптов в PowerShell, повысить безопасность своей системы и ускорить свою работу с Windows.
Содержание
- Как управлять выполнением скриптов в Windows PowerShell
- Включение выполнения скриптов
- Отключение выполнения скриптов
- Установка выполнения скриптов в зависимости от источника
- Что такое Windows PowerShell?
- Как включить выполнение скрипта в Windows PowerShell
- Как отключить выполнение скрипта в Windows PowerShell
- Как проверить состояние выполнения скрипта в Windows PowerShell
- Вопрос-ответ
- Как узнать текущее состояние выполнения скриптов в PowerShell?
- Можно ли включить выполнение определенного скрипта в PowerShell, не меняя глобальных настроек?
Как управлять выполнением скриптов в Windows PowerShell
Включение выполнения скриптов
Для того чтобы включить выполнение скриптов в Windows PowerShell, необходимо открыть консоль от имени администратора и ввести команду «Set-ExecutionPolicy RemoteSigned». Эта команда позволяет запускать скрипты, подписанные неизвестным издателем, но открывает возможность для запуска всех скриптов, включая потенциально вредоносные. Также можно использовать команду «Set-ExecutionPolicy Unrestricted», но это порождает большой риск и не рекомендуется.
Отключение выполнения скриптов
Если нужно временно отключить выполнение скриптов в Windows PowerShell, то можно использовать команду «Set-ExecutionPolicy Restricted». Эта команда запрещает запуск любых скриптов и может служить дополнительным уровнем безопасности. Также можно использовать команду «Set-ExecutionPolicy RemoteSigned» и выбрать опцию «No» в диалоговом окне «Set-ExecutionPolicy». Это временно блокирует выполнение подписанных неизвестным издателем скриптов.
Установка выполнения скриптов в зависимости от источника
Если требуется более точное управление выполнением скриптов в Windows PowerShell, то можно использовать опцию «-ExecutionPolicy» командлета «powershell.exe» и выбрать одно из значений: Unrestricted, RemoteSigned, AllSigned, Restricted или Default. Также можно создать групповую политику в доменной среде и настроить выполнение скриптов на компьютерах в сети.
Что такое Windows PowerShell?
Windows PowerShell — это интерактивная командная оболочка, разработанная компанией Microsoft для автоматизации процессов в Windows-среде. PowerShell позволяет облегчить администрирование Windows-систем и автоматизировать рутинные процессы путем написания и выполнения сценариев скриптов на языке PowerShell.
Windows PowerShell поставляется с ОС Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2016 и Windows 10. С его помощью пользователи и администраторы могут управлять компьютерами с терминалов PowerShell.
PowerShell позволяет управлять различными модулями и функционалом системы, например, Active Directory, Group Policy, Exchange Server и многими другими. Он поддерживает различные форматы файла, включая XML, JSON и CSV, а также многие другие типы файлов.
PowerShell ISE (Integrated Scripting Environment) — это графическая оболочка PowerShell, предназначенная для написания, отладки и тестирования сценариев. В ней можно редактировать скрипты, отслеживать ошибки и отображать результаты.
Windows PowerShell — это мощный инструмент для автоматизации на платформе Windows. Если вы хотите оптимизировать процессы работы администратора и значительно ускорить работу с системой, то Windows PowerShell — это то, что вам нужно.
Как включить выполнение скрипта в Windows PowerShell
Если вы хотите использовать скрипты в Windows PowerShell, то необходимо сначала включить выполнение скриптов. Если это не сделать, то при попытке запустить скрипт вы получите ошибку «файл скрипта не может быть загружен, потому что выполнение сценариев отключено на этой системе».
Чтобы включить выполнение скриптов, необходимо открыть консоль PowerShell от имени Администратора. Для этого нужно нажать на кнопку «Пуск», в поиске набрать «powershell», затем правой кнопкой мыши нажать на значок «Windows PowerShell» и выбрать «запуск от имени администратора».
Когда запустится консоль PowerShell, введите команду «Set-ExecutionPolicy RemoteSigned» и нажмите Enter. После этого процесс выполнения скриптов будет включен на вашем компьютере.
Важно помнить, что включение выполнения скриптов может быть небезопасным, поэтому необходимо быть осторожным в использовании скриптов, особенно если вы загружаете их из ненадежных источников.
Как отключить выполнение скрипта в Windows PowerShell
Для того чтобы отключить выполнение скрипта в Windows PowerShell необходимо внести изменения в политику безопасности.
По умолчанию политика безопасности в Windows PowerShell настроена на ограничение выполнения скриптов. Если Вам необходимо настроить выполнение скриптов, Вы должны изменить политику безопасности.
- Запустите Windows PowerShell от имени администратора.
- Введите команду «Set-ExecutionPolicy Restricted» и нажмите Enter, чтобы отключить выполнение всех скриптов. Вы можете изменить параметр «Restricted» на «AllSigned», «RemoteSigned» или «Unrestricted» в зависимости от Ваших потребностей.
- Введите параметр «-Force», если Вы хотите принудительно применить изменения.
- Нажмите Enter для подтверждения действий.
Применение данных изменений позволит Вам отключить выполнение скриптов в Windows PowerShell. Однако, не забывайте о возможных последствиях для функционирования системы при отключенной политике безопасности.
Как проверить состояние выполнения скрипта в Windows PowerShell
Windows PowerShell — инструмент для автоматизации административных задач в Windows. При запуске скрипта в PowerShell ошибка может возникнуть по разным причинам: от прав доступа до синтаксических ошибок. Чтобы убедиться, что скрипт выполняется, нужно проверить его состояние.
Существует несколько способов проверки состояния скрипта в PowerShell. Например, можно проверить вывод из командной строки или использовать утилиту Get-Job, чтобы узнать, выполняется ли задача. Также можно использовать команду Get-Process, чтобы увидеть все процессы PowerShell на компьютере.
Если задача выполняется, статус будет «Запущено», а если задача завершена, статус будет «Завершено». Если статусом является «Ошибка», это означает, что скрипт не выполнился корректно, и требуется проверка кода скрипта на наличие ошибок.
Будучи уверенным в статусе выполнения скрипта, вы можете перейти к дальнейшей автоматизации задач в Windows при помощи PowerShell.
Вопрос-ответ
Как узнать текущее состояние выполнения скриптов в PowerShell?
Введите команду «Get-ExecutionPolicy». Она покажет текущее состояние выполнения скриптов в PowerShell.
Можно ли включить выполнение определенного скрипта в PowerShell, не меняя глобальных настроек?
Да, можно. Для этого нужно запустить скрипт с помощью командлета «powershell.exe» с параметром «-ExecutionPolicy». Например, «powershell.exe -ExecutionPolicy RemoteSigned C:\Scripts\Script.ps1».
I’m using windows 7
I wrote a script to check whether My Laptop is running in Battery or AC current.
I googled it and succedded in that.
dim a
a=1
Do While a=1
If IsLaptop( "." ) Then
' WScript.Echo "Laptop"
Else
' WScript.Echo "Desktop or server"
End If
Loop
Function IsLaptop( myComputer )
On Error Resume Next
Set objWMIService = GetObject( "winmgmts://" & myComputer & "/root/cimv2" )
Set colItems = objWMIService.ExecQuery( "Select * from Win32_Battery", , 48 )
IsLaptop = False
For Each objItem in colItems
if objItem.BatteryStatus=2 and objItem.EstimatedChargeRemaining=98 then
WScript.Echo "Remove Ac Adapter Immediately"
elseif objItem.BatteryStatus=1 and objItem.EstimatedChargeRemaining=10 then
WScript.Echo "Pluggin to charger immediately"
end if
Next
If Err Then Err.Clear
On Error Goto 0
End Function
But my problem now is. This script is ever running script how to stop if i wish to terminate manually.
Is there any way i go and find this process and stop in windows?
asked Nov 5, 2011 at 2:55
0
I can think of at least 2 different ways:
-
using Task Manager (Ctrl-Shift-Esc), select the process tab, look for a process name cscript.exe or wscript.exe and use End Process.
-
From the command line you could use taskkill /fi «imagename eq cscript.exe» (change to wscript.exe as needed)
Another way is using scripting and WMI. Here are some hints: look for the Win32_Process class and the Terminate method.
answered Nov 5, 2011 at 3:14
Robin CaronRobin Caron
6274 silver badges8 bronze badges
0
Running scripts can be terminated from the Task Manager.
However, scripts that perpetually focus program windows using .AppActivate may make it very difficult to get to the task manager -i.e you and the script will be fighting for control. Hence i recommend writing a script (which i call self destruct for obvious reasons) and make a keyboard shortcut key to activate the script.
Self destruct script:
Option Explicit
Dim WshShell
Set WshShell = WScript.CreateObject("WScript.Shell")
WshShell.Run "taskkill /f /im Cscript.exe", , True
WshShell.Run "taskkill /f /im wscript.exe", , True
Keyboard shortcut:
rightclick on the script icon, select create shortcut,
rightclick on script shortcut icon, select properties, click in shortcutkey and make your own.
type your shortcut key and all scripts end. Cheers
answered Dec 13, 2014 at 19:26
Create a Name.bat file that has the following line in it.
taskkill /F /IM wscript.exe /T
Be sure not to overpower your processor.
If you’re running long scripts, your processor speed changes and script lines will override each other.
answered Oct 16, 2017 at 3:52
in your code, just after ‘do while’ statement, add this line..
`Wscript.sleep 10000`
This will let your script sleep for 10 secs and let your system take rest. Else your processor will be running this script million times a second and this will definitely load your processor.
To kill it, just goto taskmanager and kill wscript.exe or if it is not found, you will find cscript.exe, kill it pressing delete button. These would be present in process tab of your taskmanager.
Once you add that line in code, I dont think you need to kill this process. It will not load your CPU.
Have a great day.
answered Mar 26, 2013 at 3:32
Start Task Manager, click on the Processes tab, right-click on wscript.exe and select End Process, and confirm in the dialog that follows. This will terminate the wscript.exe that is executing your script.
Tony Hinkle
4,7067 gold badges23 silver badges35 bronze badges
answered Jun 19, 2015 at 12:21
1