コマンドラインのオプションが表示されますね。。実行されている. ps1 が分かるかも。
あとはプロファイルに Start-Transcript (Microsoft.PowerShell.Host) - PowerShell | Microsoft Learn を構成して実行履歴を記録するとか。
Start-Transcript (Microsoft.PowerShell.Host) - PowerShell | Microsoft Learn
Powershellのnoninteractivemodeで何が動いているのか確認したい。
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(128, 8%, 22%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EA%3C/text%3E%3C/svg%3E)
Anonymous
Windows11Pro22H2を使用していますが、Powershellのnoninteractiveモードで動くコードの記録方法がわかりません。
知りたい理由は、誰かがネット経由で勝手にnoninteractiveモードでPowershellを実行するようですが、セキュリティソフトがPowershellに反応しても何のコードを実行されているのかわかりません。
Powershellがnoninteractivemodeで動いているという記録しか出さないので、その先何をしているのか分からないのです。
よろしくお願いします。
家庭向け Windows | Windows 11 | セキュリティとプライバシー
ロックされた質問。 この質問は、Microsoft サポート コミュニティから移行されました。 役に立つかどうかに投票することはできますが、コメントの追加、質問への返信やフォローはできません。
質問作成者が受け入れた回答
質問作成者が受け入れた回答
Anonymous
Eventlogs について - PowerShell | Microsoft Learn
実行ポリシーを変更するなどして、PowerShellの実行状況をイベントログで確認すればいい。
-
Anonymous
2023-11-13T10:20:54+00:00 その後、グループポリシーで取得したPowerShellの記録を見たらAMDのnoninteractiveの記録がとれていた感じがします。
肝心のセキュリティ上の疑念である誰かが実行していたと思われるPowerShellのnoninteractivemodeでの実行は起きていないのですが、とりあえず現状ではグループポリシーで記録しながら、ProcessExplorerも見てPowershellの記録も見ていこうと思います。
余談ですが、Homeでもグループポリシーは使えるようですが、やはり、OSはHomeではなくProfessionalにしておいてよかったと思いました。
簡単な質問に回答していただいて有難うございました。
-
Anonymous
2023-11-12T09:43:42+00:00 タスクマネージャー等でコマンドラインを表示させても、ファイルパスが出るだけで打ち込んだコマンドは表示されないと思います。 何か間違っているのでしょうか。