Im Teil 1 haben wir herausgefunden, wie man mit P/Invoke und ein wenig C# die aktuell gültige Überwachungsrichtlinie sprachunabhängig (und, nebenbei bemerkt, ohne unnützes Daten-Beiwerk) ermitteln kann. Im Teil 2 nutzten wir PowerShell Remoting, um das ganze auf einem entfernten Rechner durchzuführen.
Doch was ist, wenn das PowerShell Remoting versagt oder nicht zur Verfügung steht? Manchmal blockieren Firmen und Organisationen WinRM generell, oder schränken es stark per Firewall ein. In dieser Situation haben wir, zumindest in der Windows PowerShell, noch ein Fallback-Protokoll: WMI. Mit der Create-Methode der Win32_Process-Klasse können wir auf einem entfernten Rechner einen Prozess starten. Das einzige Problem: Wir bekommen die Ausgaben nicht zurück, und schon gar nicht die schöne Hashtable, die uns das PowerShell-Remoting lieferte. In der Annahme, dass nur WMI als Übertragungsprotokoll zur Verfügung steht, müssen wir also dafür sorgen, dass das Ergebnis konserviert und abgerufen werden kann. Dazu gibt es mehrere Ansätze, ich entschied mich für die Registry. Die Hashtable wird also serialisiert (über ein PSCustomObject und Konvertierung nach JSON):
|
1 |
$output = [PSCustomObject]$res | ConvertTo-Json -Compress |
und in einen Registry-Wert gespeichert
|
1 |
New-ItemProperty -Path 'HKLM:\SOFTWARE' -Name 'ITPRO.AuditPolicy' -PropertyType String -Value $output -Force -EA Stop |
Wie man die Registry dann per WMI abfragt, habe ich bereits hier vor einem Jahr untersucht. Es gibt hier aber drei Faktoren zu berücksichtigen:
- wir wollen den Code möglich universell und unabhängig vom Protokoll machen, das Speichern in der Registry ist aber nur bei WMI notwendig
- der WMI-Vorgang ist asynchron, das heisst, der Registry-Wert wird nicht sofort nach dem Prozess-Start geschrieben
- die Größe des Arguments bei Prozess-Start ist auf 8191 Zeichen begrenzt, und unser Skript-Block ist nicht ganz klein, wir müssen hier also haushalten.
Der folgende Code berücksichtigt diese ganzen Sachverhalte:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 |
[CmdletBinding()] Param( [Parameter()] [string]$ComputerName, [Parameter(Mandatory=$false)] [ValidateSet('PSRemoting','WMI')] [string]$Protocol = 'PSRemoting' ) $sbDef = @' & { $def = @" using System; using System.Collections.Generic; using System.Runtime.InteropServices; namespace Audit { public class Pol { [DllImport("advapi32.dll", CharSet = CharSet.Unicode, PreserveSig = true, SetLastError = true)] public static extern bool AuditEnumerateSubCategories(Guid AuditCategoryGuid, bool RetrieveAllSubCategories, [MarshalAs(UnmanagedType.LPArray, SizeParamIndex = 3)] out Guid[] auditSubCategories, out uint numSubCategories); [DllImport("advapi32.dll", CharSet = CharSet.Unicode, PreserveSig = true, SetLastError = true)] public static extern bool AuditQuerySystemPolicy([MarshalAs(UnmanagedType.LPArray, SizeParamIndex = 1), In] Guid[] pSubCategoryGuids, uint dwPolicyCount, out IntPtr ppAuditPolicy); public static AUDIT_POLICY_INFORMATION QueryPolicy(Guid sc) { IntPtr ppAuditPolicy; if (AuditQuerySystemPolicy(new Guid[] {sc}, 1, out ppAuditPolicy)) { return ToStructure(ppAuditPolicy); } return new AUDIT_POLICY_INFORMATION(); } public static T ToStructure(IntPtr ptr, long allocatedBytes = -1) { Type type = typeof(T).IsEnum ? Enum.GetUnderlyingType(typeof(T)) : typeof(T); if (allocatedBytes < 0L || allocatedBytes >= (long) Marshal.SizeOf(type)) { return (T) Marshal.PtrToStructure(ptr, type); } throw new InsufficientMemoryException(); } public struct AUDIT_POLICY_INFORMATION { public Guid sc; public uint ai; public Guid ca; } } } "@ Add-Type -TypeDefinition $def -Language CSharp $regLegacyAudit = Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Lsa' -Name SCENoApplyLegacyAuditPolicy -EA SilentlyContinue $res = @{ 'LegacyDisabled' = ($regLegacyAudit -eq 1) } $sc = @() $ns = 0 $ca = [Guid]::Empty if ([Audit.Pol]::AuditEnumerateSubCategories($ca, $true, [ref]$sc, [ref]$ns)) { foreach ($c in $sc) { $pol = -1 $pol = [Audit.Pol]::QueryPolicy($c) $res.Add($c.Guid,$pol.ai) } } $output = [PSCustomObject]$res | ConvertTo-Json -Compress if ($null -eq $PSSenderInfo) { New-ItemProperty -Path 'HKLM:\SOFTWARE' -Name 'ITPRO.AuditPolicy' -PropertyType String -Value $output -Force -EA Stop } else { $output } } '@ if ($Protocol -eq 'PSRemoting') { $sblock = [scriptblock]::Create($sbDef) Invoke-Command -ComputerName $dcName -ScriptBlock $sblock -EA Stop } else { $ecmd = [Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes($dcTest)) $remCmd = ('cmd.exe /c "powershell.exe -EncodedCommand {0}"' -f $ecmd) if ($remCmd.Length -gt 8190) { Write-Warning "Command may be too long: $($remCmd.Length)" } $args = @( $remCmd ) $wmiRes = Invoke-WmiMethod -Class Win32_Process -Name Create -ArgumentList $args -ComputerName $ComputerName if ($wmiRes.ReturnValue -eq 0) { $msPath = ('\\{0}\ROOT\DEFAULT:StdRegProv' -f $ComputerName) $mScope = New-Object System.Management.ManagementScope($msPath) $mScope.Connect() $regObject = New-Object System.Management.ManagementClass($mScope, $msPath, $null) do { Start-Sleep -Milliseconds 500 $res = $regObject.GetStringValue(2147483650, 'SOFTWARE', 'ITPRO.AuditPolicy') } until ($res.ReturnValue -eq 0) Write-Host $res.sValue $del = $regObject.DeleteValue(2147483650, 'SOFTWARE', 'ITPRO.AuditPolicy') } |
Die Technik mit „EncodedCommand“ macht unseren Aurgument-Wert durch die base64-Kodierung natürlich länger, erspart uns dafür jedoch die in diesem Fall sicher zum Scheitern verurteilte Behandlung der vielen verschachtelten Anführungszeichen.
Die Schleife am Ende des WMI-Teils läuft unbegrenzt, bis der Registry-Wert gefunden wird. Da sollte man natürlich einen Timeout einbauen, denn es kann ja sein, dass der Aufruf scheitert.
Happy Remoting!