Řešení problémů se spuštěním skriptu PowerShell v systému Windows Server 2008 R2

Řešení problémů se spuštěním skriptu PowerShell v systému Windows Server 2008 R2
Řešení problémů se spuštěním skriptu PowerShell v systému Windows Server 2008 R2
Daniel Marino
Pátek 12. července 2024 14:12:58

Odstraňování problémů s omezením spouštění skriptů PowerShell

Při práci se systémem Windows Server 2008 R2 se mohou uživatelé setkat s chybou indikující, že je v systému zakázáno provádění skriptů PowerShell. K tomuto problému může dojít při pokusu o spuštění skriptu přes cmd.exe, a to i po nastavení zásady provádění na Neomezené.

Navzdory potvrzení, že je spouštěcí politika nastavena na Neomezené, se skripty stále nemusí spustit, což způsobuje frustraci a brání pokroku. Tato příručka prozkoumá běžné příčiny tohoto problému a poskytne kroky k zajištění úspěšného spuštění skriptu.

Příkaz Popis
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force Dočasně nastaví zásadu spouštění skriptů na Vynechat pro aktuální relaci PowerShellu, což umožňuje spouštění všech skriptů bez omezení.
powershell -File .\Management_Install.ps1 Spustí zadaný soubor skriptu PowerShell z příkazového řádku.
New-SelfSignedCertificate Vytvoří nový certifikát s vlastním podpisem, který lze použít k podepisování skriptů PowerShellu pro důvěryhodné spouštění.
Export-Certificate Exportuje certifikát do souboru, který lze poté importovat do jiných úložišť certifikátů.
Import-Certificate Importuje certifikát do určeného úložiště certifikátů, jako jsou důvěryhodní vydavatelé nebo kořenové certifikační úřady.
Set-AuthenticodeSignature Podepíše skript PowerShellu pomocí zadaného certifikátu, což umožní jeho spuštění v systémech s povolenými zásadami podepisování skriptů.

Pochopení a implementace zásad spouštění skriptů v prostředí PowerShell

Poskytnuté skripty mají za cíl vyřešit problém se zakázáním provádění skriptů PowerShell v systému Windows Server 2008 R2. První skript nastaví zásady provádění na **Vynechat** pro aktuální relaci PowerShellu pomocí **Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force**. Tento příkaz umožňuje dočasně spouštět všechny skripty bez omezení. Skript poté přejde do adresáře obsahujícího skript **Management_Install.ps1** a spustí jej pomocí **powershell .Management_Install.ps1**. Tento přístup zajišťuje, že změna zásad provádění je pouze dočasná a neovlivní celkový stav zabezpečení systému.

Druhý skript, dávkový soubor, také nastavuje spouštěcí politiku na **Vynechání**, ale dělá to z příkazového řádku. K tomu používá **powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force"**. Po změně zásad provádění skript přejde do adresáře skriptů a spustí skript PowerShell pomocí **powershell -File .Management_Install.ps1**. Dávkový skript končí příkazem **pause**, aby zůstalo okno příkazového řádku otevřené, což uživateli umožňuje vidět jakýkoli výstup nebo chybové zprávy. Tato metoda je užitečná pro automatizaci procesu a jeho integraci do větších dávkových procesů.

Podepisování skriptů a zabezpečení v PowerShellu

Třetí příklad skriptu ukazuje, jak podepsat skript PowerShellu, aby byl v souladu s přísnějšími zásadami provádění. Nejprve se pomocí **New-SelfSignedCertificate** vytvoří certifikát s vlastním podpisem. Tento certifikát lze poté exportovat pomocí **Export-Certificate** a importovat do důvěryhodných úložišť certifikátů pomocí **Import-Certificate**. Importem certifikátu do úložišť **TrustedPublisher** a **Root** bude systém důvěřovat skriptům podepsaným tímto certifikátem. Skript **Management_Install.ps1** je poté podepsán pomocí **Set-AuthenticodeSignature**.

Podepisování skriptů zajišťuje, že se v systému mohou spouštět pouze důvěryhodné skripty, což poskytuje další vrstvu zabezpečení. Tento přístup je užitečný zejména v prostředích s přísnými bezpečnostními požadavky, kde jsou zásady provádění nastaveny na **AllSigned** nebo **RemoteSigned**. Podepsáním skriptu mohou správci zajistit, že se skripty nebude manipulováno a že pocházejí z důvěryhodného zdroje, čímž se zmírní potenciální bezpečnostní rizika. Tato metoda kombinuje zabezpečení s funkčností a umožňuje spouštění nezbytných skriptů při zachování integrity systému.

Nastavení zásad provádění na vynechání v PowerShellu

Skript PowerShell 

# Ensure the script execution policy is set to Bypass
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force

# Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

# Execute the PowerShell script
powershell .\Management_Install.ps1

Použití dávkového skriptu k úpravě zásad provádění a spuštění skriptu PowerShell

Dávkový skript 

@echo off

:: Set PowerShell execution policy to Bypass
powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force"

:: Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

:: Run the PowerShell script
powershell -File .\Management_Install.ps1

pause

Vytvoření podepsaného skriptu PowerShell

Skript PowerShell s podepisováním 

# Sample script content
Write-Output "Executing Management Install Script"

# Save this script as Management_Install.ps1

# To sign the script, follow these steps:
# 1. Create a self-signed certificate (if you don't have one)
$cert = New-SelfSignedCertificate -DnsName "PowerShellLocalCert" -CertStoreLocation "Cert:\LocalMachine\My"

# 2. Export the certificate to a file
Export-Certificate -Cert $cert -FilePath "C:\PowerShellLocalCert.cer"

# 3. Import the certificate to Trusted Publishers and Trusted Root Certification Authorities
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\TrustedPublisher"
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\Root"

# 4. Sign the script with the certificate
Set-AuthenticodeSignature -FilePath .\Management_Install.ps1 -Certificate $cert

Zajištění souladu se zásadami provádění skriptů a zabezpečení systému

Při správě systému Windows Server 2008 R2 je zásadní porozumět různým zásadám spouštění dostupným v prostředí PowerShell a tomu, jak ovlivňují spouštění skriptů. Zásady spouštění prostředí PowerShell jsou navrženy tak, aby zabránily spouštění potenciálně škodlivých skriptů. Čtyři hlavní zásady jsou **Restricted**, **AllSigned**, **RemoteSigned** a **Unrestricted**. **Omezeno** je výchozí zásada a neumožňuje spouštění žádných skriptů. **AllSigned** vyžaduje, aby všechny skripty a konfigurační soubory byly podepsány důvěryhodným vydavatelem. **RemoteSigned** vyžaduje, aby všechny skripty a konfigurační soubory stažené z internetu byly podepsány důvěryhodným vydavatelem, ale umožňuje spouštění lokálně vytvořených skriptů bez podpisu.

Pochopení těchto zásad pomáhá správcům vybrat správnou úroveň zabezpečení pro jejich prostředí. Ve scénářích, kde je třeba skripty spouštět pravidelně, může být nastavení zásady na **Neomezeno** riskantní, protože umožňuje spouštění všech skriptů bez jakýchkoli omezení. Místo toho by správci měli zvážit použití **RemoteSigned** nebo **AllSigned**, aby vyvážili zabezpečení a funkčnost. Podepisováním skriptů a správou certifikátů mohou správci zajistit, aby na jejich systémech běžely pouze důvěryhodné skripty, čímž se sníží riziko spuštění škodlivého kódu.

Běžné otázky a odpovědi k zásadám spouštění skriptů PowerShell

  1. Jak zkontroluji aktuální zásady provádění v mém systému?
  2. Použijte příkaz Get-ExecutionPolicy v PowerShellu a zkontrolujte aktuální zásady provádění.
  3. Jak mohu trvale změnit zásady provádění pro všechny uživatele?
  4. Použijte příkaz Set-ExecutionPolicy -ExecutionPolicy [PolicyName] -Scope LocalMachine změnit zásady provádění pro všechny uživatele.
  5. Co mám dělat, když narazím na skript, který nelze spustit z důvodu omezení zásad?
  6. Dočasně nastavte zásadu na **Obejít** pomocí Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process a spusťte skript.
  7. Je bezpečné používat zásadu **Neomezeno**?
  8. Použití **Unrestricted** se nedoporučuje pro produkční prostředí, protože umožňuje spouštění všech skriptů, což může představovat bezpečnostní riziko.
  9. Jak podepíšu skript PowerShellu?
  10. Vytvořte certifikát s vlastním podpisem pomocí New-SelfSignedCertificate a poté skript podepište pomocí Set-AuthenticodeSignature.
  11. Mohu omezit provádění skriptů pouze na důvěryhodné skripty?
  12. Ano, nastavením zásady provádění na **AllSigned** nebo **RemoteSigned** a podepisováním skriptů.
  13. Jaký je rozdíl mezi zásadami **AllSigned** a **RemoteSigned**?
  14. **AllSigned** vyžaduje, aby byly všechny skripty podepsány důvěryhodným vydavatelem, zatímco **RemoteSigned** vyžaduje podepsání pouze skriptů stažených z internetu.
  15. Jak vytvořím certifikát s vlastním podpisem pro podepisování skriptů?
  16. Použijte příkaz New-SelfSignedCertificate -DnsName "PowerShellLocalCert" -CertStoreLocation "Cert:\LocalMachine\My" vytvořit certifikát s vlastním podpisem.
  17. Jaká jsou bezpečnostní rizika deaktivace zásad provádění skriptů?
  18. Zakázání zásad spouštění skriptů může vystavit váš systém škodlivým skriptům, což vede k potenciálnímu narušení zabezpečení a ztrátě dat.

Klíčové věci

Pro spouštění skriptů v systému Windows Server 2008 R2 je zásadní zajištění správné zásady spouštění prostředí PowerShell. Nastavení zásady na Bypass nebo použití dávkových souborů může dočasně vyřešit problémy s prováděním, ale podepisování skriptů nabízí bezpečnější a dlouhodobé řešení. Správci by si měli být vědomi bezpečnostních důsledků různých prováděcích politik a zavádět opatření, která vyvažují bezpečnost s provozními potřebami.