IT之家 5 月 18 日消息，當(dāng)?shù)貢r(shí)間 5 月 17 日，微軟發(fā)布技術(shù)公告，旨在幫助企業(yè)在 VBScript 全面棄用之前檢測并遷移現(xiàn)有環(huán)境中的 VBScript 依賴。

IT之家注：VBScript 將在未來的 Windows 版本中默認(rèn)禁用，目前微軟已啟動(dòng)分階段棄用計(jì)劃并在 Win11 24H2 中將 VBScript 轉(zhuǎn)為 FOD 可選功能。

策略一：使用 Sysmon 監(jiān)控 VBScript 使用情況

Sysmon（System Monitor）是 Sysinternals 提供的監(jiān)控工具，支持對 .dll 加載行為進(jìn)行細(xì)致跟蹤。借助其 Event ID 7（Image Load）功能，管理員可以捕捉 vbscript.dll 何時(shí)、由哪個(gè)進(jìn)程被加載。

配置 Sysmon 以追蹤 vbscript.dll，配置示例如下：

<Sysmon schemaversion="4.50">
<EventFiltering>
   <ImageLoad onmatch="include">
     <ImageLoaded condition="contains">vbscript.dll</ImageLoaded>
   </ImageLoad>
</EventFiltering>
</Sysmon>

要應(yīng)用此配置，首先需要編輯您的 Sysmon 配置文件（通常是 sysmon-config.xml）。

• 使用 Sysinternals Sysmon 實(shí)用程序重新加載。

• 以管理員權(quán)限打開命令提示符并運(yùn)行：Sysmon64.exe -c sysmon-config.xml

• 通過運(yùn)行以下命令驗(yàn)證當(dāng)前配置：Sysmon64.exe -c

策略二：審查 VBScript 依賴項(xiàng)

檢查以下集中管理位置中的腳本文件：

• 組策略腳本：掃描 \\<domain>\SYSVOL 中的.vbs 文件及對 wscript.exe、cscript.exe 的調(diào)用。

• 計(jì)劃任務(wù)：檢查任務(wù)命令行的.vbs 執(zhí)行痕跡。

• Intune 部署的 PowerShell 腳本：排查間接調(diào)用 VBScript 的情況。

策略三：全系統(tǒng)掃描.vbs 文件

通過 PowerScript 腳本掃描用戶及腳本相關(guān)目錄：

• C:\Users\

• C:\ProgramData\

• C:\Program Files\

• C:\Scripts\

• C:\Windows\（可選，可能包含干擾文件）

示例 PowerShell 腳本：

$pathsToScan = @("C:\Users", "C:\ProgramData", "C:\Scripts")
$logPath = "C:\VBSScriptScan\VbsFiles_$(hostname).csv"
$results = foreach ($path in $pathsToScan) {
   if (Test-Path $path) {
       Get-ChildItem -Path $path -Filter *.vbs -Recurse -ErrorAction SilentlyContinue |
           Select-Object FullName, LastWriteTime, Length
   }
}
$pathsToScan = @("C:\Users", "C:\ProgramData", "C:\Scripts")
$logPath = "C:\VBSScriptScan\VbsFiles_$(hostname).csv"
$results = foreach ($path in $pathsToScan) {
   if (Test-Path $path) {
       Get-ChildItem -Path $path -Filter *.vbs -Recurse -ErrorAction SilentlyContinue |
           Select-Object FullName, LastWriteTime, Length
   }
}

策略四：掃描自定義 MSI 安裝包

例如以下 PowerShell 腳本可分析 MSI 包中嵌入的 VBScript 自定義動(dòng)作（Action Type 6、38、50）：

Get-ChildItem -Path "C:\MSIRepo" -Recurse -Filter *.msi | ForEach-Object {
    $msiPath = $_.FullName
    $sql = "SELECT * FROM CustomAction"
    $installer = New-Object -ComObject WindowsInstaller.Installer
    $database = $installer.GetType().InvokeMember("OpenDatabase", "InvokeMethod", $null, $installer, @($msiPath, 0))
    $view = $database.OpenView($sql)
    $view.Execute()
    $record = $view.Fetch()
    while ($record -ne $null) {
        $actionName = $record.StringData(1)
        $actionType = [int]$record.StringData(2)
        if ($actionType -eq 6 -or $actionType -eq 38 -or $actionType -eq 50) {
            Write-Output "? VBScript Custom Action: $actionName in $msiPath"
        }
        $record = $view.Fetch()
    }
}

后續(xù)行動(dòng)建議

• 遷移替代方案：參考微軟官方文檔《VBScript 棄用：時(shí)間線與后續(xù)步驟》選擇現(xiàn)代技術(shù)。

• 主動(dòng)禁用 VBScript：在確認(rèn)無依賴后，通過命令禁用：

  Dism /Online /Remove-Capability /CapabilityName:VBSCRIPT~~~~

  影響：禁用后，依賴 VBScript 的進(jìn)程（如 cscript.exe）將靜默失敗或報(bào)錯(cuò)。

微軟強(qiáng)調(diào)，當(dāng)前階段企業(yè)應(yīng)盡快完成檢測與遷移，避免未來操作系統(tǒng)默認(rèn)禁用導(dǎo)致業(yè)務(wù)中斷。

參考資料：

• 《VBScript deprecation: Detection strategies for Windows - Windows IT Pro Blog》

• 《VBScript deprecation: Timelines and next steps | Windows IT Pro Blog》

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。