Løsning af PowerShell-scriptudførelsesproblemer på Windows Server 2008 R2

Løsning af PowerShell-scriptudførelsesproblemer på Windows Server 2008 R2
Løsning af PowerShell-scriptudførelsesproblemer på Windows Server 2008 R2
Daniel Marino
Fredag den 12. juli 2024 kl. 14.14.43

Fejlfinding af PowerShell-scriptudførelsesbegrænsninger

Når du arbejder med Windows Server 2008 R2, kan brugere støde på en fejl, der indikerer, at udførelse af PowerShell-scripts er deaktiveret på systemet. Dette problem kan opstå, når du forsøger at køre et script via cmd.exe, selv efter indstilling af udførelsespolitikken til Ubegrænset.

På trods af bekræftelse af, at eksekveringspolitikken er indstillet til Ubegrænset, kan scripts stadig ikke udføres, hvilket forårsager frustration og hindrer fremskridt. Denne vejledning vil undersøge de almindelige årsager til dette problem og give trin til at sikre en vellykket scriptudførelse.

Kommando Beskrivelse
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force Sætter midlertidigt scriptudførelsespolitikken til Bypass for den aktuelle PowerShell-session, hvilket tillader eksekvering af alle scripts uden begrænsninger.
powershell -File .\Management_Install.ps1 Udfører den angivne PowerShell-scriptfil fra kommandolinjen.
New-SelfSignedCertificate Opretter et nyt selvsigneret certifikat, som kan bruges til at signere PowerShell-scripts til pålidelig udførelse.
Export-Certificate Eksporterer et certifikat til en fil, som derefter kan importeres til andre certifikatlagre.
Import-Certificate Importerer et certifikat til et specificeret certifikatlager, f.eks. Trusted Publishers eller Root Certification Authorities.
Set-AuthenticodeSignature Signerer et PowerShell-script med et specificeret certifikat, så det kan udføres på systemer med script-signeringspolitikker aktiveret.

Forståelse og implementering af scriptudførelsespolitikker i PowerShell

De leverede scripts har til formål at løse problemet med, at PowerShell-scriptudførelse er deaktiveret på Windows Server 2008 R2. Det første script indstiller udførelsespolitikken til **Bypass** for den aktuelle PowerShell-session ved hjælp af **Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force**. Denne kommando tillader alle scripts at køre uden begrænsninger midlertidigt. Scriptet navigerer derefter til mappen, der indeholder **Management_Install.ps1** scriptet og udfører det ved hjælp af **powershell .Management_Install.ps1**. Denne tilgang sikrer, at ændringen af ​​eksekveringspolitikken kun er midlertidig og ikke påvirker systemets overordnede sikkerhedsposition.

Det andet script, en batch-fil, indstiller også udførelsespolitikken til **Bypass**, men gør det fra kommandolinjen. Den bruger **powershell -Kommando "Set-ExecutionPolicy Bypass -Scope Process -Force"** for at opnå dette. Efter at have ændret udførelsespolitikken, navigerer scriptet til script-biblioteket og kører PowerShell-scriptet ved hjælp af **powershell -File .Management_Install.ps1**. Batch-scriptet slutter med en **pause**-kommando for at holde kommandopromptvinduet åbent, så brugeren kan se alle output- eller fejlmeddelelser. Denne metode er nyttig til at automatisere processen og integrere den i større batchprocesser.

Scriptsignering og sikkerhed i PowerShell

Det tredje scripteksempel viser, hvordan man signerer et PowerShell-script for at overholde strengere udførelsespolitikker. Først oprettes et selvsigneret certifikat ved hjælp af **New-SelfSignedCertificate**. Dette certifikat kan derefter eksporteres med **Eksport-certifikat** og importeres til betroede certifikatlagre ved hjælp af **Import-certifikat**. Ved at importere certifikatet til **TrustedPublisher** og **Root** lagrene, vil systemet have tillid til scripts, der er signeret med dette certifikat. Scriptet **Management_Install.ps1** signeres derefter med **Set-AuthenticodeSignature**.

Scriptsignering sikrer, at kun betroede scripts kan udføres på systemet, hvilket giver et ekstra lag af sikkerhed. Denne tilgang er især nyttig i miljøer med strenge sikkerhedskrav, hvor udførelsespolitikker er indstillet til **AllSigned** eller **RemoteSigned**. Ved at underskrive scriptet kan administratorer sikre, at scripts ikke bliver manipuleret og kommer fra en pålidelig kilde, hvilket mindsker potentielle sikkerhedsrisici. Denne metode kombinerer sikkerhed med funktionalitet, hvilket tillader nødvendige scripts at køre, mens systemets integritet bevares.

Indstilling af udførelsespolitik til at omgå i PowerShell

PowerShell Script 

# Ensure the script execution policy is set to Bypass
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force

# Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

# Execute the PowerShell script
powershell .\Management_Install.ps1

Brug af batchscript til at ændre udførelsespolitik og køre PowerShell-script

Batch script 

@echo off

:: Set PowerShell execution policy to Bypass
powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force"

:: Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

:: Run the PowerShell script
powershell -File .\Management_Install.ps1

pause

Oprettelse af et signeret PowerShell-script

PowerShell-script med signering 

# Sample script content
Write-Output "Executing Management Install Script"

# Save this script as Management_Install.ps1

# To sign the script, follow these steps:
# 1. Create a self-signed certificate (if you don't have one)
$cert = New-SelfSignedCertificate -DnsName "PowerShellLocalCert" -CertStoreLocation "Cert:\LocalMachine\My"

# 2. Export the certificate to a file
Export-Certificate -Cert $cert -FilePath "C:\PowerShellLocalCert.cer"

# 3. Import the certificate to Trusted Publishers and Trusted Root Certification Authorities
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\TrustedPublisher"
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\Root"

# 4. Sign the script with the certificate
Set-AuthenticodeSignature -FilePath .\Management_Install.ps1 -Certificate $cert

Sikring af overholdelse af scriptudførelsespolitik og systemsikkerhed

Når du administrerer Windows Server 2008 R2, er det afgørende at forstå de forskellige eksekveringspolitikker, der er tilgængelige i PowerShell, og hvordan de påvirker scriptudførelsen. PowerShell-udførelsespolitikker er designet til at forhindre eksekvering af potentielt skadelige scripts. De fire hovedpolitikker er **Begrænset**, **Allsigneret**, **RemoteSigned** og **Ubegrænset**. **Begrænset** er standardpolitikken og tillader ingen scripts at køre. **AllSigned** kræver, at alle scripts og konfigurationsfiler er underskrevet af en betroet udgiver. **RemoteSigned** kræver, at alle scripts og konfigurationsfiler, der downloades fra internettet, er signeret af en betroet udgiver, men tillader lokalt oprettede scripts at køre uden en signatur.

At forstå disse politikker hjælper administratorer med at vælge det rigtige sikkerhedsniveau til deres miljø. I scenarier, hvor scripts skal udføres regelmæssigt, kan det være risikabelt at sætte politikken til **Ubegrænset**, da det tillader alle scripts at køre uden nogen begrænsninger. I stedet bør administratorer overveje at bruge **RemoteSigned** eller **AllSigned** for at balancere sikkerhed med funktionalitet. Ved at signere scripts og administrere certifikater kan administratorer sikre, at kun betroede scripts kører på deres systemer, hvilket reducerer risikoen for at køre skadelig kode.

Almindelige spørgsmål og svar om PowerShell-scriptudførelsespolitikker

  1. Hvordan kontrollerer jeg den aktuelle udførelsespolitik på mit system?
  2. Brug kommandoen Get-ExecutionPolicy i PowerShell for at kontrollere den aktuelle udførelsespolitik.
  3. Hvordan kan jeg permanent ændre udførelsespolitikken for alle brugere?
  4. Brug kommandoen Set-ExecutionPolicy -ExecutionPolicy [PolicyName] -Scope LocalMachine for at ændre udførelsespolitikken for alle brugere.
  5. Hvad skal jeg gøre, hvis jeg støder på et script, der ikke kan udføres på grund af politikbegrænsninger?
  6. Indstil midlertidigt politikken til **Omgå** ved hjælp af Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process og kør scriptet.
  7. Er det sikkert at bruge politikken **Ubegrænset**?
  8. Brug af **Ubegrænset** anbefales ikke til produktionsmiljøer, da det tillader alle scripts at køre, hvilket kan udgøre en sikkerhedsrisiko.
  9. Hvordan underskriver jeg et PowerShell-script?
  10. Opret et selvsigneret certifikat vha New-SelfSignedCertificate og underskriv derefter scriptet vha Set-AuthenticodeSignature.
  11. Kan jeg begrænse udførelse af scripts til kun betroede scripts?
  12. Ja, ved at indstille udførelsespolitikken til **AllSigned** eller **RemoteSigned** og underskrive dine scripts.
  13. Hvad er forskellen mellem politikkerne **AllSigned** og **RemoteSigned**?
  14. **AllSigned** kræver, at alle scripts er underskrevet af en betroet udgiver, mens **RemoteSigned** kun kræver, at scripts downloadet fra internettet er underskrevet.
  15. Hvordan opretter jeg et selvsigneret certifikat til scriptsignering?
  16. Brug kommandoen New-SelfSignedCertificate -DnsName "PowerShellLocalCert" -CertStoreLocation "Cert:\LocalMachine\My" for at oprette et selvsigneret certifikat.
  17. Hvad er sikkerhedsrisiciene ved at deaktivere politikker for scriptudførelse?
  18. Deaktivering af scriptudførelsespolitikker kan udsætte dit system for ondsindede scripts, hvilket kan føre til potentielle sikkerhedsbrud og datatab.

Nøgle takeaways

Det er afgørende at sikre den korrekte PowerShell-udførelsespolitik for at køre scripts på Windows Server 2008 R2. Indstilling af politikken til Bypass eller brug af batchfiler kan midlertidigt løse udførelsesproblemer, men signering af scripts giver en mere sikker, langsigtet løsning. Administratorer bør være opmærksomme på sikkerhedsimplikationerne af forskellige udførelsespolitikker og implementere foranstaltninger, der balancerer sikkerhed med operationelle behov.