当前位置:首頁 > 文章訊息 > 正文内容

Online Casino:微软宣布 VBScript 弃用计划,企业需提前部署检测策略

admin7个月前 (05-19)文章訊息171

IT之家Win11VBScript 弃用:时间线与后续步骤VBScript deprecation: Detection strategies for Windows - Windows IT Pro BlogVBScript deprecation: Timelines and next steps | Windows IT Pro Blog 5 月 18 日消息,当地时间 5 月 17 日,微软发布技术公告,旨在帮助企业在 VBScript 全面弃用之前检测并迁移现有环境中的 VBScript 依赖。

Online Casino:微软宣布 VBScript 弃用计划,企业需提前部署检测策略

IT之家注:VBScript 将在未来的 Windows 版本中默认禁用,目前微软已启动分阶段弃用计划并在 IT之家Win11VBScript 弃用:时间线与后续步骤VBScript deprecation: Detection strategies for Windows - Windows IT Pro BlogVBScript deprecation: Timelines and next steps | Windows IT Pro Blog 24H2 中将 VBScript 转为 FOD 可选功能。

Online Casino:微软宣布 VBScript 弃用计划,企业需提前部署检测策略

Online Casino:微软宣布 VBScript 弃用计划,企业需提前部署检测策略

策略一:使用 Sysmon 监控 VBScript 使用情况

Sysmon(System Monitor)是 Sysinternals 提供的监控工具,支持对 .dll 加载行为进行细致跟踪。借助其 Event ID 7(Image Load)功能,管理员可以捕捉 vbscript.dll 何时、由哪个进程被加载。

配置 Sysmon 以追踪 vbscript.dll,配置示例如下:

<Sysmon schemaversion="4.50">
<EventFiltering>
   <ImageLoad onmatch="include">
     <ImageLoaded condition="contains">vbscript.dll</ImageLoaded>
   </ImageLoad>
</EventFiltering>
</Sysmon>

要应用此配置,首先需要编辑您的 Sysmon 配置文件(通常是 sysmon-config.xml)。

  • 使用 Sysinternals Sysmon 实用程序重新加载。

  • 以管理员权限打开命令提示符并运行:Sysmon64.exe -c sysmon-config.xml

  • 通过运行以下命令验证当前配置:Sysmon64.exe -c

    • 策略二:审查 VBScript 依赖项

检查以下集中管理位置中的脚本文件:

    • 组策略脚本:扫描 \\<domain>\SYSVOL 中的.vbs 文件及对 wscript.execscript.exe 的调用。

    • 计划任务:检查任务命令行的.vbs 执行痕迹。

    • Intune 部署的 PowerShell 脚本:排查间接调用 VBScript 的情况。

    策略三:全系统扫描.vbs 文件

通过 PowerScript 脚本扫描用户及脚本相关目录:

  • C:\Users\

  • C:\ProgramData\

  • C:\Program Files\

  • C:\Scripts\

  • C:\Windows\(可选,可能包含干扰文件)

示例 PowerShell 脚本:

$pathsToScan = @("C:\Users", "C:\ProgramData", "C:\Scripts")
$logPath = "C:\VBSScriptScan\VbsFiles_$(hostname).csv"
$results = foreach ($path in $pathsToScan) {
   if (Test-Path $path) {
       Get-ChildItem -Path $path -Filter *.vbs -Recurse -ErrorAction SilentlyContinue |
           Select-Object FullName, LastWriteTime, Length
   }
}
$pathsToScan = @("C:\Users", "C:\ProgramData", "C:\Scripts")
$logPath = "C:\VBSScriptScan\VbsFiles_$(hostname).csv"
$results = foreach ($path in $pathsToScan) {
   if (Test-Path $path) {
       Get-ChildItem -Path $path -Filter *.vbs -Recurse -ErrorAction SilentlyContinue |
           Select-Object FullName, LastWriteTime, Length
   }
}

    策略四:扫描自定义 MSI 安装包

例如以下 PowerShell 脚本可分析 MSI 包中嵌入的 VBScript 自定义动作(Action Type 6、38、50):

Get-ChildItem -Path "C:\MSIRepo" -Recurse -Filter *.msi | ForEach-Object {
    $msiPath = $_.FullName
    $sql = "SELECT * FROM CustomAction"
    $installer = New-Object -ComObject WindowsInstaller.Installer
    $database = $installer.GetType().InvokeMember("OpenDatabase", "InvokeMethod", $null, $installer, @($msiPath, 0))
    $view = $database.OpenView($sql)
    $view.Execute()
    $record = $view.Fetch()
    while ($record -ne $null) {
        $actionName = $record.StringData(1)
        $actionType = [int]$record.StringData(2)
        if ($actionType -eq 6 -or $actionType -eq 38 -or $actionType -eq 50) {
            Write-Output "⚠ VBScript Custom Action: $actionName in $msiPath"
        }
        $record = $view.Fetch()
    }
}

后续行动建议

  • 迁移替代方案:参考微软官方文档《IT之家Win11VBScript 弃用:时间线与后续步骤VBScript deprecation: Detection strategies for Windows - Windows IT Pro BlogVBScript deprecation: Timelines and next steps | Windows IT Pro Blog》选择现代技术。

  • 主动禁用 VBScript:在确认无依赖后,通过命令禁用:

    Dism /Online /Remove-Capability /CapabilityName:VBSCRIPT~~~~

    影响:禁用后,依赖 VBScript 的进程(如 cscript.exe)将静默失败或报错。

微软强调,当前阶段企业应尽快完成检测与迁移,避免未来操作系统默认禁用导致业务中断。

参考资料:

  • 《IT之家Win11VBScript 弃用:时间线与后续步骤VBScript deprecation: Detection strategies for Windows - Windows IT Pro BlogVBScript deprecation: Timelines and next steps | Windows IT Pro Blog》

  • 《IT之家Win11VBScript 弃用:时间线与后续步骤VBScript deprecation: Detection strategies for Windows - Windows IT Pro BlogVBScript deprecation: Timelines and next steps | Windows IT Pro Blog》

广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。

返回列表

上一篇:賭波:小鹏产品高级总监袁婷婷:激光雷达看得远是伪命题

下一篇:投注:首款鸿蒙商用笔记本!华为擎云HM940正式发布

“Online Casino:微软宣布 VBScript 弃用计划,企业需提前部署检测策略” 的相关文章

{易七娛樂城}(性文化主题餐厅)

{易七娛樂城}(性文化主题餐厅)

本篇文章给大家谈谈{易七現金網},以及性文化主题餐厅对应的知识点,希望对各位有所帮助,不要忘了收藏本站喔。 本文目录一览: 1、去北京旅游,想去有个性主题餐厅吃饭,所以请问北京有哪些个性主题餐厅?...

{易七娛樂城}(新鲜餐饮项目有哪些)

{易七娛樂城}(新鲜餐饮项目有哪些)

今天给各位分享新鲜餐饮项目的知识,其中也会对新鲜餐饮项目有哪些进行解释,如果能碰巧解决你现在面临的问题,别忘了关注本站,现在开始吧!本文目录一览: 1、现在适合年轻人做的餐饮项目有哪些 2、有哪些...

人民日报:提高防控的科学性和精准性

  国务院联防联控机制综合组日前发布《关于进一步优化落实新冠肺炎疫情防控措施的通知》,提出了十条针对性措施,持续提高防控的科学精准水平。如何认识当前的疫情防控形势?如何正确理解进一步优化防控措施?国务...

{易七百家樂}(2021年最流行的网络歌曲前十名)

{易七百家樂}(2021年最流行的网络歌曲前十名)

其实抖音2020年最火的歌曲是什么,下面就一起来看看2021抖音上最火的歌曲前十名是什么,希望能够帮助到大家1抖音2020最火歌曲 答1伤过的心这个很man帅哥表示被这首歌了,非常嗨的摇着手机,顿时...

调研直播潮来了:十多家基金公司尝试直播调研工作,带基民沉浸式了解行业

调研直播潮来了:十多家基金公司尝试直播调研工作,带基民沉浸式了解行业

  震荡行情还在持续,今年基金业通过反复调研加深对上市公司和产业链的了解,已创下超10万次的新高。其中,16家基金公司还借助蚂蚁财富平台的开放能力,直播调研过程,带投资者“沉浸式”了解相关产业的一线情...

{易七娛樂城}(有什么美食小吃)

{易七娛樂城}(有什么美食小吃)

本篇文章给大家谈谈{易七現金網},以及有什么美食小吃对应的知识点,希望对各位有所帮助,不要忘了收藏本站喔。 本文目录一览: 1、美食街小吃有哪些品种 2、好吃的小吃都有哪些? 3、美食有哪些?...

Copyright© 易七娛樂©【賭馬-首頁】

Powered By Z-BlogPHP. Theme by TOYEAN.