当前位置：首頁 > 文章訊息 > 正文内容

Online Casino：微软宣布 VBScript 弃用计划，企业需提前部署检测策略

admin11个月前 (05-19)文章訊息249

IT之家Win11VBScript 弃用：时间线与后续步骤VBScript deprecation: Detection strategies for Windows - Windows IT Pro BlogVBScript deprecation: Timelines and next steps | Windows IT Pro Blog 5 月 18 日消息，当地时间 5 月 17 日，微软发布技术公告，旨在帮助企业在 VBScript 全面弃用之前检测并迁移现有环境中的 VBScript 依赖。

IT之家注：VBScript 将在未来的 Windows 版本中默认禁用，目前微软已启动分阶段弃用计划并在 IT之家Win11VBScript 弃用：时间线与后续步骤VBScript deprecation: Detection strategies for Windows - Windows IT Pro BlogVBScript deprecation: Timelines and next steps | Windows IT Pro Blog 24H2 中将 VBScript 转为 FOD 可选功能。

策略一：使用 Sysmon 监控 VBScript 使用情况

Sysmon（System Monitor）是 Sysinternals 提供的监控工具，支持对 .dll 加载行为进行细致跟踪。借助其 Event ID 7（Image Load）功能，管理员可以捕捉 vbscript.dll 何时、由哪个进程被加载。

配置 Sysmon 以追踪 vbscript.dll，配置示例如下：

<Sysmon schemaversion="4.50">
<EventFiltering>
   <ImageLoad onmatch="include">
     <ImageLoaded condition="contains">vbscript.dll</ImageLoaded>
   </ImageLoad>
</EventFiltering>
</Sysmon>

要应用此配置，首先需要编辑您的 Sysmon 配置文件（通常是 sysmon-config.xml）。

使用 Sysinternals Sysmon 实用程序重新加载。
以管理员权限打开命令提示符并运行：Sysmon64.exe -c sysmon-config.xml
通过运行以下命令验证当前配置：Sysmon64.exe -c

策略二：审查 VBScript 依赖项

检查以下集中管理位置中的脚本文件：

组策略脚本：扫描 \\<domain>\SYSVOL 中的.vbs 文件及对 wscript.exe、cscript.exe 的调用。
计划任务：检查任务命令行的.vbs 执行痕迹。
Intune 部署的 PowerShell 脚本：排查间接调用 VBScript 的情况。

策略三：全系统扫描.vbs 文件

通过 PowerScript 脚本扫描用户及脚本相关目录：

C:\Users\
C:\ProgramData\
C:\Program Files\
C:\Scripts\
C:\Windows\（可选，可能包含干扰文件）

示例 PowerShell 脚本：

$pathsToScan = @("C:\Users", "C:\ProgramData", "C:\Scripts")
$logPath = "C:\VBSScriptScan\VbsFiles_$(hostname).csv"
$results = foreach ($path in $pathsToScan) {
   if (Test-Path $path) {
       Get-ChildItem -Path $path -Filter *.vbs -Recurse -ErrorAction SilentlyContinue |
           Select-Object FullName, LastWriteTime, Length
   }
}
$pathsToScan = @("C:\Users", "C:\ProgramData", "C:\Scripts")
$logPath = "C:\VBSScriptScan\VbsFiles_$(hostname).csv"
$results = foreach ($path in $pathsToScan) {
   if (Test-Path $path) {
       Get-ChildItem -Path $path -Filter *.vbs -Recurse -ErrorAction SilentlyContinue |
           Select-Object FullName, LastWriteTime, Length
   }
}

策略四：扫描自定义 MSI 安装包

例如以下 PowerShell 脚本可分析 MSI 包中嵌入的 VBScript 自定义动作（Action Type 6、38、50）：

Get-ChildItem -Path "C:\MSIRepo" -Recurse -Filter *.msi | ForEach-Object {
    $msiPath = $_.FullName
    $sql = "SELECT * FROM CustomAction"
    $installer = New-Object -ComObject WindowsInstaller.Installer
    $database = $installer.GetType().InvokeMember("OpenDatabase", "InvokeMethod", $null, $installer, @($msiPath, 0))
    $view = $database.OpenView($sql)
    $view.Execute()
    $record = $view.Fetch()
    while ($record -ne $null) {
        $actionName = $record.StringData(1)
        $actionType = [int]$record.StringData(2)
        if ($actionType -eq 6 -or $actionType -eq 38 -or $actionType -eq 50) {
            Write-Output "⚠ VBScript Custom Action: $actionName in $msiPath"
        }
        $record = $view.Fetch()
    }
}

后续行动建议

迁移替代方案：参考微软官方文档《IT之家Win11VBScript 弃用：时间线与后续步骤VBScript deprecation: Detection strategies for Windows - Windows IT Pro BlogVBScript deprecation: Timelines and next steps | Windows IT Pro Blog》选择现代技术。
主动禁用 VBScript：在确认无依赖后，通过命令禁用：
```
Dism /Online /Remove-Capability /CapabilityName:VBSCRIPT~~~~
```
影响：禁用后，依赖 VBScript 的进程（如 cscript.exe）将静默失败或报错。

微软强调，当前阶段企业应尽快完成检测与迁移，避免未来操作系统默认禁用导致业务中断。

参考资料：

《IT之家Win11VBScript 弃用：时间线与后续步骤VBScript deprecation: Detection strategies for Windows - Windows IT Pro BlogVBScript deprecation: Timelines and next steps | Windows IT Pro Blog》
《IT之家Win11VBScript 弃用：时间线与后续步骤VBScript deprecation: Detection strategies for Windows - Windows IT Pro BlogVBScript deprecation: Timelines and next steps | Windows IT Pro Blog》

广告声明：文内含有的对外跳转链接（包括不限于超链接、二维码、口令等形式），用于传递更多信息，节省甄选时间，结果仅供参考，IT之家所有文章均包含本声明。

返回列表

上一篇：賭波：小鹏产品高级总监袁婷婷：激光雷达看得远是伪命题

下一篇：投注：首款鸿蒙商用笔记本！华为擎云HM940正式发布

“Online Casino：微软宣布 VBScript 弃用计划，企业需提前部署检测策略” 的相关文章

Online Casino：微软宣布 VBScript 弃用计划，企业需提前部署检测策略

策略一：使用 Sysmon 监控 VBScript 使用情况

策略二：审查 VBScript 依赖项

策略三：全系统扫描.vbs 文件

策略四：扫描自定义 MSI 安装包

“Online Casino：微软宣布 VBScript 弃用计划，企业需提前部署检测策略” 的相关文章

{易七娛樂城}（2022最流行歌曲免费听）

随着2023年前景黯淡的赌注越来越大，华尔街CEO放大了衰退警告

赛为智能并购后遗症近四年累亏13亿周勇及董监高套现10亿年内五领罚单

{易七百家樂}(餐厅吊顶造型效果图大全集)

2022年国内石油增产量过半来自海上油气对外依存度有望下降

钟南山：病毒进化毒力趋弱的概率大

Copyright© 易七娛樂©【賭馬-首頁】

Powered By Z-BlogPHP. Theme by TOYEAN.

Online Casino：微软宣布 VBScript 弃用计划，企业需提前部署检测策略

策略一：使用 Sysmon 监控 VBScript 使用情况

策略二：审查 VBScript 依赖项

策略三：全系统扫描.vbs 文件

策略四：扫描自定义 MSI 安装包

“Online Casino：微软宣布 VBScript 弃用计划，企业需提前部署检测策略” 的相关文章

{易七娛樂城}（2022最流行歌曲免费听）

随着2023年前景黯淡的赌注越来越大，华尔街CEO放大了衰退警告

赛为智能并购后遗症近四年累亏13亿 周勇及董监高套现10亿年内五领罚单

{易七百家樂}(餐厅吊顶造型效果图大全集)

2022年国内石油增产量过半来自海上 油气对外依存度有望下降

钟南山：病毒进化毒力趋弱的概率大

Copyright© 易七娛樂©【賭馬-首頁】

Powered By Z-BlogPHP. Theme by TOYEAN.

赛为智能并购后遗症近四年累亏13亿周勇及董监高套现10亿年内五领罚单

2022年国内石油增产量过半来自海上油气对外依存度有望下降