当前位置:首頁 > 文章訊息 > 正文内容

Online Casino:微软宣布 VBScript 弃用计划,企业需提前部署检测策略

admin6个月前 (05-19)文章訊息139

IT之家Win11VBScript 弃用:时间线与后续步骤VBScript deprecation: Detection strategies for Windows - Windows IT Pro BlogVBScript deprecation: Timelines and next steps | Windows IT Pro Blog 5 月 18 日消息,当地时间 5 月 17 日,微软发布技术公告,旨在帮助企业在 VBScript 全面弃用之前检测并迁移现有环境中的 VBScript 依赖。

Online Casino:微软宣布 VBScript 弃用计划,企业需提前部署检测策略

IT之家注:VBScript 将在未来的 Windows 版本中默认禁用,目前微软已启动分阶段弃用计划并在 IT之家Win11VBScript 弃用:时间线与后续步骤VBScript deprecation: Detection strategies for Windows - Windows IT Pro BlogVBScript deprecation: Timelines and next steps | Windows IT Pro Blog 24H2 中将 VBScript 转为 FOD 可选功能。

Online Casino:微软宣布 VBScript 弃用计划,企业需提前部署检测策略

Online Casino:微软宣布 VBScript 弃用计划,企业需提前部署检测策略

策略一:使用 Sysmon 监控 VBScript 使用情况

Sysmon(System Monitor)是 Sysinternals 提供的监控工具,支持对 .dll 加载行为进行细致跟踪。借助其 Event ID 7(Image Load)功能,管理员可以捕捉 vbscript.dll 何时、由哪个进程被加载。

配置 Sysmon 以追踪 vbscript.dll,配置示例如下:

<Sysmon schemaversion="4.50">
<EventFiltering>
   <ImageLoad onmatch="include">
     <ImageLoaded condition="contains">vbscript.dll</ImageLoaded>
   </ImageLoad>
</EventFiltering>
</Sysmon>

要应用此配置,首先需要编辑您的 Sysmon 配置文件(通常是 sysmon-config.xml)。

  • 使用 Sysinternals Sysmon 实用程序重新加载。

  • 以管理员权限打开命令提示符并运行:Sysmon64.exe -c sysmon-config.xml

  • 通过运行以下命令验证当前配置:Sysmon64.exe -c

    • 策略二:审查 VBScript 依赖项

检查以下集中管理位置中的脚本文件:

    • 组策略脚本:扫描 \\<domain>\SYSVOL 中的.vbs 文件及对 wscript.execscript.exe 的调用。

    • 计划任务:检查任务命令行的.vbs 执行痕迹。

    • Intune 部署的 PowerShell 脚本:排查间接调用 VBScript 的情况。

    策略三:全系统扫描.vbs 文件

通过 PowerScript 脚本扫描用户及脚本相关目录:

  • C:\Users\

  • C:\ProgramData\

  • C:\Program Files\

  • C:\Scripts\

  • C:\Windows\(可选,可能包含干扰文件)

示例 PowerShell 脚本:

$pathsToScan = @("C:\Users", "C:\ProgramData", "C:\Scripts")
$logPath = "C:\VBSScriptScan\VbsFiles_$(hostname).csv"
$results = foreach ($path in $pathsToScan) {
   if (Test-Path $path) {
       Get-ChildItem -Path $path -Filter *.vbs -Recurse -ErrorAction SilentlyContinue |
           Select-Object FullName, LastWriteTime, Length
   }
}
$pathsToScan = @("C:\Users", "C:\ProgramData", "C:\Scripts")
$logPath = "C:\VBSScriptScan\VbsFiles_$(hostname).csv"
$results = foreach ($path in $pathsToScan) {
   if (Test-Path $path) {
       Get-ChildItem -Path $path -Filter *.vbs -Recurse -ErrorAction SilentlyContinue |
           Select-Object FullName, LastWriteTime, Length
   }
}

    策略四:扫描自定义 MSI 安装包

例如以下 PowerShell 脚本可分析 MSI 包中嵌入的 VBScript 自定义动作(Action Type 6、38、50):

Get-ChildItem -Path "C:\MSIRepo" -Recurse -Filter *.msi | ForEach-Object {
    $msiPath = $_.FullName
    $sql = "SELECT * FROM CustomAction"
    $installer = New-Object -ComObject WindowsInstaller.Installer
    $database = $installer.GetType().InvokeMember("OpenDatabase", "InvokeMethod", $null, $installer, @($msiPath, 0))
    $view = $database.OpenView($sql)
    $view.Execute()
    $record = $view.Fetch()
    while ($record -ne $null) {
        $actionName = $record.StringData(1)
        $actionType = [int]$record.StringData(2)
        if ($actionType -eq 6 -or $actionType -eq 38 -or $actionType -eq 50) {
            Write-Output "⚠ VBScript Custom Action: $actionName in $msiPath"
        }
        $record = $view.Fetch()
    }
}

后续行动建议

  • 迁移替代方案:参考微软官方文档《IT之家Win11VBScript 弃用:时间线与后续步骤VBScript deprecation: Detection strategies for Windows - Windows IT Pro BlogVBScript deprecation: Timelines and next steps | Windows IT Pro Blog》选择现代技术。

  • 主动禁用 VBScript:在确认无依赖后,通过命令禁用:

    Dism /Online /Remove-Capability /CapabilityName:VBSCRIPT~~~~

    影响:禁用后,依赖 VBScript 的进程(如 cscript.exe)将静默失败或报错。

微软强调,当前阶段企业应尽快完成检测与迁移,避免未来操作系统默认禁用导致业务中断。

参考资料:

  • 《IT之家Win11VBScript 弃用:时间线与后续步骤VBScript deprecation: Detection strategies for Windows - Windows IT Pro BlogVBScript deprecation: Timelines and next steps | Windows IT Pro Blog》

  • 《IT之家Win11VBScript 弃用:时间线与后续步骤VBScript deprecation: Detection strategies for Windows - Windows IT Pro BlogVBScript deprecation: Timelines and next steps | Windows IT Pro Blog》

广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。

返回列表

上一篇:賭波:小鹏产品高级总监袁婷婷:激光雷达看得远是伪命题

下一篇:投注:首款鸿蒙商用笔记本!华为擎云HM940正式发布

“Online Casino:微软宣布 VBScript 弃用计划,企业需提前部署检测策略” 的相关文章

{易七百家樂}(2022年热歌榜歌曲在线播放)

{易七百家樂}(2022年热歌榜歌曲在线播放)

”火热热的歌词,流淌的是全国人民心底最想说的话爱,就是桥梁看着歌曲MV中,那一个个熟悉的身影,疫情发生后,他们冲锋在前,不计得失,不计生死,那一个个义无反顾的背影,一个个感天动地的故事,无不令人动容。...

李克强将与主要国际经济组织负责人举行第七次“1+6”圆桌对话会

  新华社北京12月7日电  外交部发言人毛宁7日宣布:国务院总理李克强将于12月8日至9日在安徽省黄山市与世界银行行长马尔帕斯、国际货币基金组织总裁格奥尔基耶娃、世界贸易组织总干事伊维拉、国际劳工组...

{易七娛樂城}(歌曲按风格分类代表作)

{易七娛樂城}(歌曲按风格分类代表作)

今天给各位分享歌曲按风格分类的知识,其中也会对歌曲按风格分类代表作进行解释,如果能碰巧解决你现在面临的问题,别忘了关注本站,现在开始吧!本文目录一览: 1、歌曲风格大致分为几个类型? 2、歌曲有哪...

{易七百家樂}(我的饭店红包版赚钱下载)

{易七百家樂}(我的饭店红包版赚钱下载)

一般饭店都会需要盆景的点缀,所以送朋友盆景也是没错的可以选择发财树榕树富贵竹等等盆景都是寓意富贵吉祥幸福安康的既实用又大气,又有招财的好寓意送礼物不管送什么都是送心意,常见的寓意美好的东西朋友都会很。...

明起,长三角铁路加开京沪、川渝、中原等多个方向旅客列车

明起,长三角铁路加开京沪、川渝、中原等多个方向旅客列车

  12月8日,澎湃新闻记者从中国铁路上海局集团有限公司(以下简称上海局集团公司)获悉,从12月9日起,长三角铁路将加开管内、直通多个方向旅客列车,并在周末启用高峰图的基础上,对部分高铁动车组列车采...

包含开心餐厅红包版官方正版下载的词条

包含开心餐厅红包版官方正版下载的词条

想要创业,您至少需要考虑以下几个方面的问题1考虑合适的创业项目比如您是想从事餐饮行业服装行业互联网行业教育行业还是其他行业是以加盟的形式创业,还是独立经营是经营网店还是实体店铺同时还要考虑您选择的。...

Copyright© 易七娛樂©【賭馬-首頁】

Powered By Z-BlogPHP. Theme by TOYEAN.