wolfmed22
Goto Top

Windows Server 2008 R2 Enterprise - Windows Powershell wird ständig im Hintergrund ausgeführt

Hallo zusammen,

ich habe eine Frage zu einem unserer Terminal Server.
Wir haben eine Whitelistning Software im Einsatz.

Es werden nur vertrauenswürdige Hashes zugelassen, zum Hintergrund......

Mir ist aufgefallen, das ständig dieser besagte Terminal Server in der Protokollierung aufgeführt wird, und dort die Powershell.exe ausgeführt wird.

Meine Frage: Wie kann ich herausfinden, was auf der Maschine mit der Powershell los ist?

Gibt es einen Task? Dienst etc. den ich starten stoppen kann zur Powershell?

Oder gibt es Befehle zur Powershell die dieses unterbinden?

Auf unseren anderen Servern tritt dieses Problem nicht auf?

Vielen Dank im voraus!

CW

Content-Key: 383492

Url: https://administrator.de/contentid/383492

Ausgedruckt am: 29.03.2024 um 11:03 Uhr

Mitglied: SeaStorm
SeaStorm 16.08.2018 um 09:34:19 Uhr
Goto Top
Hi
die Powershell macht ja sicherlich irgendwas. Schau dir z.B mal im Taskmanager die Befehlszeile an. Gibt evtl. Aufschluss darüber, was da gestartet wurde
Mitglied: wolfmed22
wolfmed22 16.08.2018 um 09:44:17 Uhr
Goto Top
danke, schon mal vorab, wusste gar nicht, das man die Ansicht des Taskmanagers noch so erweitern kann.

wie würde denn ungefähr der Task der Power Shell aussehen ?
Mitglied: SeaStorm
SeaStorm 16.08.2018 um 10:04:59 Uhr
Goto Top
äh ?

Powershell.exe [parameter]

da drin z.B das Scriptfile suchen, das powershell ausführt. also in den Parametern sowas wie "-file c:\programme\hersteller\produkt\script.ps1"

Dann wüsstest du zumindest mal, woher das ganze kommt
Mitglied: wolfmed22
wolfmed22 16.08.2018 um 10:14:29 Uhr
Goto Top
Leider ist dies nicht so der Fall, und ich kann es nicht eindeutig erkennen..
Mitglied: SeaStorm
SeaStorm 16.08.2018 um 10:15:51 Uhr
Goto Top
mach doch mal einen Screenshot
Mitglied: wolfmed22
wolfmed22 20.08.2018 um 11:00:13 Uhr
Goto Top
ich konnte es jetzt eingrenzen,

Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung von Dienst UmRdpService erreicht.
Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung von Dienst Netman erreicht.
Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung von Dienst AudioEndpointBuilder erreicht.

es ist der Fehler Ereignis ID 7011

ich habe auch schon in der Registry den gegoolten Vorschlag in der Registry durchgeführt, also den Wert auf 6000 zu erhöhen, leider ohne Erfolg?

Jemand noch eine Idee?