IT之家Win11VBScript 弃用:时间线与后续步骤VBScript deprecation: Detection strategies for Windows - Windows IT Pro BlogVBScript deprecation: Timelines and next steps | Windows IT Pro Blog 5 月 18 日消息,当地时间 5 月 17 日,微软发布技术公告,旨在帮助企业在 VBScript 全面弃用之前检测并迁移现有环境中的 VBScript 依赖。

IT之家注:VBScript 将在未来的 Windows 版本中默认禁用,目前微软已启动分阶段弃用计划并在 IT之家Win11VBScript 弃用:时间线与后续步骤VBScript deprecation: Detection strategies for Windows - Windows IT Pro BlogVBScript deprecation: Timelines and next steps | Windows IT Pro Blog 24H2 中将 VBScript 转为 FOD 可选功能。


Sysmon(System Monitor)是 Sysinternals 提供的监控工具,支持对 .dll 加载行为进行细致跟踪。借助其 Event ID 7(Image Load)功能,管理员可以捕捉 vbscript.dll 何时、由哪个进程被加载。
配置 Sysmon 以追踪 vbscript.dll,配置示例如下:
<Sysmon schemaversion="4.50"> <EventFiltering> <ImageLoad onmatch="include"> <ImageLoaded condition="contains">vbscript.dll</ImageLoaded> </ImageLoad> </EventFiltering> </Sysmon>
要应用此配置,首先需要编辑您的 Sysmon 配置文件(通常是 sysmon-config.xml)。
使用 Sysinternals Sysmon 实用程序重新加载。
以管理员权限打开命令提示符并运行:Sysmon64.exe -c sysmon-config.xml
通过运行以下命令验证当前配置:Sysmon64.exe -c
检查以下集中管理位置中的脚本文件:
组策略脚本:扫描 \\<domain>\SYSVOL 中的.vbs 文件及对 wscript.exe、cscript.exe 的调用。
计划任务:检查任务命令行的.vbs 执行痕迹。
Intune 部署的 PowerShell 脚本:排查间接调用 VBScript 的情况。
通过 PowerScript 脚本扫描用户及脚本相关目录:
C:\Users\
C:\ProgramData\
C:\Program Files\
C:\Scripts\
C:\Windows\(可选,可能包含干扰文件)
示例 PowerShell 脚本:
$pathsToScan = @("C:\Users", "C:\ProgramData", "C:\Scripts")
$logPath = "C:\VBSScriptScan\VbsFiles_$(hostname).csv"
$results = foreach ($path in $pathsToScan) {
if (Test-Path $path) {
Get-ChildItem -Path $path -Filter *.vbs -Recurse -ErrorAction SilentlyContinue |
Select-Object FullName, LastWriteTime, Length
}
}
$pathsToScan = @("C:\Users", "C:\ProgramData", "C:\Scripts")
$logPath = "C:\VBSScriptScan\VbsFiles_$(hostname).csv"
$results = foreach ($path in $pathsToScan) {
if (Test-Path $path) {
Get-ChildItem -Path $path -Filter *.vbs -Recurse -ErrorAction SilentlyContinue |
Select-Object FullName, LastWriteTime, Length
}
}
例如以下 PowerShell 脚本可分析 MSI 包中嵌入的 VBScript 自定义动作(Action Type 6、38、50):
Get-ChildItem -Path "C:\MSIRepo" -Recurse -Filter *.msi | ForEach-Object {
$msiPath = $_.FullName
$sql = "SELECT * FROM CustomAction"
$installer = New-Object -ComObject WindowsInstaller.Installer
$database = $installer.GetType().InvokeMember("OpenDatabase", "InvokeMethod", $null, $installer, @($msiPath, 0))
$view = $database.OpenView($sql)
$view.Execute()
$record = $view.Fetch()
while ($record -ne $null) {
$actionName = $record.StringData(1)
$actionType = [int]$record.StringData(2)
if ($actionType -eq 6 -or $actionType -eq 38 -or $actionType -eq 50) {
Write-Output "⚠ VBScript Custom Action: $actionName in $msiPath"
}
$record = $view.Fetch()
}
}
后续行动建议
迁移替代方案:参考微软官方文档《IT之家Win11VBScript 弃用:时间线与后续步骤VBScript deprecation: Detection strategies for Windows - Windows IT Pro BlogVBScript deprecation: Timelines and next steps | Windows IT Pro Blog》选择现代技术。
主动禁用 VBScript:在确认无依赖后,通过命令禁用:
Dism /Online /Remove-Capability /CapabilityName:VBSCRIPT~~~~
影响:禁用后,依赖 VBScript 的进程(如 cscript.exe)将静默失败或报错。
微软强调,当前阶段企业应尽快完成检测与迁移,避免未来操作系统默认禁用导致业务中断。
参考资料:
《IT之家Win11VBScript 弃用:时间线与后续步骤VBScript deprecation: Detection strategies for Windows - Windows IT Pro BlogVBScript deprecation: Timelines and next steps | Windows IT Pro Blog》
《IT之家Win11VBScript 弃用:时间线与后续步骤VBScript deprecation: Detection strategies for Windows - Windows IT Pro BlogVBScript deprecation: Timelines and next steps | Windows IT Pro Blog》
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。
今天给各位分享2022最流行歌曲免费听的知识,其中也会对2022最流行歌曲免费听进行解释,如果能碰巧解决你现在面临的问题,别忘了关注本站,现在开始吧!本文目录一览: 1、现在流行的歌曲2022最好听的...
本周,华尔街首席执行官大声疾呼,对美国经济状况发出警报,高管们加大了对2023年可能出现衰退的警告力度。 据美国一些最著名的首席执行官表示,无情的通货膨胀,加上数十年来最强硬的美联储,引发了明...
炒股就看金麒麟分析师研报,权威,专业,及时,全面,助您挖掘潜力主题机会! 来源:长江商报 号称是中国领先的人工智能企业赛为智能(维权)(300044.SZ)管理混乱不堪。 12月6日晚...
餐厅要选择直射式的聚光灯,一般以吊灯为主灯,周边辅以射灯或漫射灯带营造气氛主灯安装的高矮要以餐桌为参照物,以人坐下灯光不刺眼为适宜,主灯可以调节高矮那就更理想了4餐厅吊顶造型设计 餐厅吊顶,室内高度不...
12月10日消息,从今天举行的第二届中国海洋能源发展论坛暨《中国海洋能源发展报告2022》发布会上获悉,新形势下,海洋能源将成为社会发展的重要原动力,海上油气生产已成为不可或缺的能源增长极。该报告...
【钟南山:病毒进化毒力趋弱的概率大】财联社12月10日电,钟南山在广州接受记者采访时表示,自己曾与病原学专家谈论,他们认为新冠病毒未来的进化趋势,毒力大概率会减弱,“没有人说一定会减弱,但我们要遵循最...