当前位置:首頁 > 文章訊息 > 正文内容

Online Casino:微软宣布 VBScript 弃用计划,企业需提前部署检测策略

admin2个月前 (05-19)文章訊息65

IT之家Win11VBScript 弃用:时间线与后续步骤VBScript deprecation: Detection strategies for Windows - Windows IT Pro BlogVBScript deprecation: Timelines and next steps | Windows IT Pro Blog 5 月 18 日消息,当地时间 5 月 17 日,微软发布技术公告,旨在帮助企业在 VBScript 全面弃用之前检测并迁移现有环境中的 VBScript 依赖。

Online Casino:微软宣布 VBScript 弃用计划,企业需提前部署检测策略

IT之家注:VBScript 将在未来的 Windows 版本中默认禁用,目前微软已启动分阶段弃用计划并在 IT之家Win11VBScript 弃用:时间线与后续步骤VBScript deprecation: Detection strategies for Windows - Windows IT Pro BlogVBScript deprecation: Timelines and next steps | Windows IT Pro Blog 24H2 中将 VBScript 转为 FOD 可选功能。

Online Casino:微软宣布 VBScript 弃用计划,企业需提前部署检测策略

Online Casino:微软宣布 VBScript 弃用计划,企业需提前部署检测策略

策略一:使用 Sysmon 监控 VBScript 使用情况

Sysmon(System Monitor)是 Sysinternals 提供的监控工具,支持对 .dll 加载行为进行细致跟踪。借助其 Event ID 7(Image Load)功能,管理员可以捕捉 vbscript.dll 何时、由哪个进程被加载。

配置 Sysmon 以追踪 vbscript.dll,配置示例如下:

<Sysmon schemaversion="4.50">
<EventFiltering>
   <ImageLoad onmatch="include">
     <ImageLoaded condition="contains">vbscript.dll</ImageLoaded>
   </ImageLoad>
</EventFiltering>
</Sysmon>

要应用此配置,首先需要编辑您的 Sysmon 配置文件(通常是 sysmon-config.xml)。

  • 使用 Sysinternals Sysmon 实用程序重新加载。

  • 以管理员权限打开命令提示符并运行:Sysmon64.exe -c sysmon-config.xml

  • 通过运行以下命令验证当前配置:Sysmon64.exe -c

    • 策略二:审查 VBScript 依赖项

检查以下集中管理位置中的脚本文件:

    • 组策略脚本:扫描 \\<domain>\SYSVOL 中的.vbs 文件及对 wscript.execscript.exe 的调用。

    • 计划任务:检查任务命令行的.vbs 执行痕迹。

    • Intune 部署的 PowerShell 脚本:排查间接调用 VBScript 的情况。

    策略三:全系统扫描.vbs 文件

通过 PowerScript 脚本扫描用户及脚本相关目录:

  • C:\Users\

  • C:\ProgramData\

  • C:\Program Files\

  • C:\Scripts\

  • C:\Windows\(可选,可能包含干扰文件)

示例 PowerShell 脚本:

$pathsToScan = @("C:\Users", "C:\ProgramData", "C:\Scripts")
$logPath = "C:\VBSScriptScan\VbsFiles_$(hostname).csv"
$results = foreach ($path in $pathsToScan) {
   if (Test-Path $path) {
       Get-ChildItem -Path $path -Filter *.vbs -Recurse -ErrorAction SilentlyContinue |
           Select-Object FullName, LastWriteTime, Length
   }
}
$pathsToScan = @("C:\Users", "C:\ProgramData", "C:\Scripts")
$logPath = "C:\VBSScriptScan\VbsFiles_$(hostname).csv"
$results = foreach ($path in $pathsToScan) {
   if (Test-Path $path) {
       Get-ChildItem -Path $path -Filter *.vbs -Recurse -ErrorAction SilentlyContinue |
           Select-Object FullName, LastWriteTime, Length
   }
}

    策略四:扫描自定义 MSI 安装包

例如以下 PowerShell 脚本可分析 MSI 包中嵌入的 VBScript 自定义动作(Action Type 6、38、50):

Get-ChildItem -Path "C:\MSIRepo" -Recurse -Filter *.msi | ForEach-Object {
    $msiPath = $_.FullName
    $sql = "SELECT * FROM CustomAction"
    $installer = New-Object -ComObject WindowsInstaller.Installer
    $database = $installer.GetType().InvokeMember("OpenDatabase", "InvokeMethod", $null, $installer, @($msiPath, 0))
    $view = $database.OpenView($sql)
    $view.Execute()
    $record = $view.Fetch()
    while ($record -ne $null) {
        $actionName = $record.StringData(1)
        $actionType = [int]$record.StringData(2)
        if ($actionType -eq 6 -or $actionType -eq 38 -or $actionType -eq 50) {
            Write-Output "⚠ VBScript Custom Action: $actionName in $msiPath"
        }
        $record = $view.Fetch()
    }
}

后续行动建议

  • 迁移替代方案:参考微软官方文档《IT之家Win11VBScript 弃用:时间线与后续步骤VBScript deprecation: Detection strategies for Windows - Windows IT Pro BlogVBScript deprecation: Timelines and next steps | Windows IT Pro Blog》选择现代技术。

  • 主动禁用 VBScript:在确认无依赖后,通过命令禁用:

    Dism /Online /Remove-Capability /CapabilityName:VBSCRIPT~~~~

    影响:禁用后,依赖 VBScript 的进程(如 cscript.exe)将静默失败或报错。

微软强调,当前阶段企业应尽快完成检测与迁移,避免未来操作系统默认禁用导致业务中断。

参考资料:

  • 《IT之家Win11VBScript 弃用:时间线与后续步骤VBScript deprecation: Detection strategies for Windows - Windows IT Pro BlogVBScript deprecation: Timelines and next steps | Windows IT Pro Blog》

  • 《IT之家Win11VBScript 弃用:时间线与后续步骤VBScript deprecation: Detection strategies for Windows - Windows IT Pro BlogVBScript deprecation: Timelines and next steps | Windows IT Pro Blog》

广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。

返回列表

上一篇:賭波:小鹏产品高级总监袁婷婷:激光雷达看得远是伪命题

下一篇:投注:首款鸿蒙商用笔记本!华为擎云HM940正式发布

“Online Casino:微软宣布 VBScript 弃用计划,企业需提前部署检测策略” 的相关文章

中国中药否认获国药溢价私有化

  格隆汇12月8日丨有媒体引述知情人士透露,国药集团考虑再次尝试将中国中药(0570.HK)私有化,对这家香港上市制药公司的估值约在40亿美元(约312亿港元)。知情人士称,国药集团与顾问在商讨将中...

{易七娛樂城}(学做美食视频)

{易七娛樂城}(学做美食视频)

今天给各位分享学做美食的知识,其中也会对学做美食视频进行解释,如果能碰巧解决你现在面临的问题,别忘了关注本站,现在开始吧!本文目录一览: 1、怎样学做菜好吃? 2、学做美食去哪里学? 3、哪里...

{易七娛樂城}(美食金典句子)

{易七娛樂城}(美食金典句子)

今天给各位分享美食短句经典的知识,其中也会对美食金典句子进行解释,如果能碰巧解决你现在面临的问题,别忘了关注本站,现在开始吧!本文目录一览: 1、美食语录短句 2、关于美食的唯美短句有哪些?...

抛出重振信心战略 携程打响旅游企业抢市第一枪

  来源:北京商报   在优化疫情防控“新十条”发布后的第二天,携程就迫不及待地开始了新的战略调整。12月8日,携程集团推出“2023旅游振兴A计划”,并祭出三“重”战略,其目的正是试图通过新的计划抢...

{易七娛樂城}(中式快餐加盟店10大品牌排行榜)

{易七娛樂城}(中式快餐加盟店10大品牌排行榜)

本篇文章给大家谈谈{易七現金網},以及中式快餐加盟店10大品牌排行榜对应的知识点,希望对各位有所帮助,不要忘了收藏本站喔。 本文目录一览: 1、快餐品牌排行榜前十名 2、快餐店加盟10大品牌有哪些...

用硫酸铜养淡水鱼渔民自己都不吃?水产科研机构辟谣

  12月9日,据中国水产流通与加工协会微信公众号“中国水产品”发布信息,近期有视频称“淡水鱼养殖普遍使用硫酸铜,渔民自己都不敢吃”“铜离子有可能诱导老年痴呆”等内容。中国水产科学研究院珠江水产研究所...

Copyright© 易七娛樂©【賭馬-首頁】

Powered By Z-BlogPHP. Theme by TOYEAN.