Windows 10 Security

Windows Script Host (WSH) als Verbreitungsweg für Malware deaktivieren

15.08.2018 von Thomas Rieske
Der Script Host von Windows ist zwar als Malware-Schleuder etwas in Vergessenheit geraten, doch als Einfallstor für Ransomware macht er in jüngerer Zeit wieder von sich reden. Wenn Sie den WSH nicht für spezielle Aufgaben benötigen, sollten sie ihn daher aus Sicherheitsgründen abschalten.

Windows-Script-Host-Einstellungen aufrufen

Um den Windows Script Host (WSH) auszuschalten, starten Sie zuerst den Registrierungs-Editor über das Kommando regedit.exe. Wechseln Sie anschließend zum Zweig HKEY_LOCAL_MACHINE. Jetzt navigieren Sie zu Software\Microsoft\Windows Script Host\Settings. Der erforderliche Eintrag Enabled fehlt standardmäßig, was nach Microsoft-Lesart bedeutet, dass der WSH aktiviert ist.

Windows Script Host deaktivieren

Um das zu ändern, müssen Sie als Erstes im oben genannten Pfad unter Settings einen DWORD-Eintrag mit dem Namen Enabled anlegen. Den vorgegebenen Wert 0 akzeptieren Sie einfach. Zum Schluss beenden Sie den Registry-Editor und starten Ihren Computer neu.

Bildergalerie:
Windows 10
Standardmäßig ist der Windows Script Host (WSH) unter Windows 10 aktiviert, wie ein simpler Test mit einer VBS-Datei zeigt.
Windows 10
Da er sich leicht als Malware-Einfallstor missbrauchen lässt, sollten Sie ihn besser abschalten. Starten Sie dazu zuerst den Registrierungs-Editor.
Windows 10
Die obligatorische Nachfrage der Benutzerkontensteuerung beantworten Sie mit "Ja".
Windows 10
Über die linke Seitenleiste navigieren Sie zum Registry-Zweig HKEY_LOCAL_MACHINE. Damit gilt die folgende Einstellung für alle User auf diesem Rechner.
Windows 10
Wechseln Sie nun weiter zu "Software\Microsoft\Windows Script Host\Settings".
Windows 10
Da der erforderliche Wert standardmäßig fehlt, legen Sie ihn im rechten Fensterbereich an. Klicken Sie mit der rechten Maustaste auf eine freie Stelle und wählen "Neu / DWORD-Wert (32 Bit)".
Windows 10
Vergeben Sie als DWORD-Namen "Enabled". Den vorgeschlagenen Wert 0 übernehmen Sie einfach und bestätigen mit OK. Anschließend starten Sie den Rechner neu, damit die veränderte Konfiguration eingelesen wird.
Windows 10
Wenn Sie nach dem Reboot das kleine Test-Skript erneut ausführen, erhalten Sie eine entsprechende Fehlermeldung.

Windows Script Host testen

Um zu testen, ob sich tatsächlich keine WSH-Skripte mehr ausführen lassen, erstellen Sie mit dem Windows-Editor eine kleine VBS-Datei, die Sie etwa Hello.vbs nennen, mit folgendem Inhalt:

WScript.Echo "Hallo Welt"

WScript.Quit

Dieser Zweizeiler öffnet eine Dialogbox mit dem Inhalt Hallo Welt und einem OK-Button. Ist der Windows Script Host auf dem System lahmgelegt, erhalten Sie stattdessen eine Fehlermeldung, dass der WSH für diesen Computer deaktiviert wurde.

Als Scripting-Alternative empfiehlt sich zum Beispiel AutoIt. Einen TecChannel-Workshop zu diesem Tool finden Sie hier. (hal)