Beheben von Problemen bei der Ausführung von PowerShell-Skripts unter Windows Server 2008 R2

Beheben von Problemen bei der Ausführung von PowerShell-Skripts unter Windows Server 2008 R2
Beheben von Problemen bei der Ausführung von PowerShell-Skripts unter Windows Server 2008 R2
Daniel Marino
Freitag, 12. Juli 2024 um 14:21:51

Fehlerbehebung bei PowerShell-Skriptausführungsbeschränkungen

Bei der Arbeit mit Windows Server 2008 R2 können Benutzer auf einen Fehler stoßen, der darauf hinweist, dass die Ausführung von PowerShell-Skripts auf dem System deaktiviert ist. Dieses Problem kann auftreten, wenn versucht wird, ein Skript über cmd.exe auszuführen, selbst nachdem die Ausführungsrichtlinie auf „Uneingeschränkt“ festgelegt wurde.

Obwohl bestätigt wurde, dass die Ausführungsrichtlinie auf „Uneingeschränkt“ eingestellt ist, kann es dennoch vorkommen, dass Skripte nicht ausgeführt werden, was zu Frustration führt und den Fortschritt behindert. In diesem Leitfaden werden die häufigsten Ursachen dieses Problems untersucht und Schritte zur Gewährleistung einer erfolgreichen Skriptausführung aufgeführt.

Befehl Beschreibung
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force Setzt die Skriptausführungsrichtlinie für die aktuelle PowerShell-Sitzung vorübergehend auf „Umgehen“ und ermöglicht so die Ausführung aller Skripte ohne Einschränkung.
powershell -File .\Management_Install.ps1 Führt die angegebene PowerShell-Skriptdatei über die Befehlszeile aus.
New-SelfSignedCertificate Erstellt ein neues selbstsigniertes Zertifikat, das zum Signieren von PowerShell-Skripts für die vertrauenswürdige Ausführung verwendet werden kann.
Export-Certificate Exportiert ein Zertifikat in eine Datei, die dann in andere Zertifikatsspeicher importiert werden kann.
Import-Certificate Importiert ein Zertifikat in einen angegebenen Zertifikatspeicher, z. B. vertrauenswürdige Herausgeber oder Stammzertifizierungsstellen.
Set-AuthenticodeSignature Signiert ein PowerShell-Skript mit einem angegebenen Zertifikat, sodass es auf Systemen mit aktivierten Skriptsignaturrichtlinien ausgeführt werden kann.

Verstehen und Implementieren von Skriptausführungsrichtlinien in PowerShell

Die bereitgestellten Skripte zielen darauf ab, das Problem der deaktivierten PowerShell-Skriptausführung unter Windows Server 2008 R2 zu beheben. Das erste Skript setzt die Ausführungsrichtlinie für die aktuelle PowerShell-Sitzung mithilfe von **Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force** auf **Bypass**. Mit diesem Befehl können alle Skripte vorübergehend ohne Einschränkung ausgeführt werden. Das Skript navigiert dann zu dem Verzeichnis, das das Skript **Management_Install.ps1** enthält, und führt es mit **powershell .Management_Install.ps1** aus. Dieser Ansatz stellt sicher, dass die Änderung der Ausführungsrichtlinie nur vorübergehend ist und sich nicht auf die allgemeine Sicherheitslage des Systems auswirkt.

Das zweite Skript, eine Batchdatei, setzt die Ausführungsrichtlinie ebenfalls auf **Bypass**, tut dies jedoch über die Befehlszeile. Um dies zu erreichen, wird **powershell -Command „Set-ExecutionPolicy Bypass -Scope Process -Force“** verwendet. Nach dem Ändern der Ausführungsrichtlinie navigiert das Skript zum Skriptverzeichnis und führt das PowerShell-Skript mit **powershell -File .Management_Install.ps1** aus. Das Batch-Skript endet mit einem **Pause**-Befehl, um das Eingabeaufforderungsfenster geöffnet zu halten, sodass der Benutzer alle Ausgaben oder Fehlermeldungen sehen kann. Diese Methode ist nützlich, um den Prozess zu automatisieren und in größere Batch-Prozesse zu integrieren.

Skriptsignierung und Sicherheit in PowerShell

Das dritte Skriptbeispiel zeigt, wie man ein PowerShell-Skript signiert, um strengere Ausführungsrichtlinien einzuhalten. Zunächst wird mit **New-SelfSignedCertificate** ein selbstsigniertes Zertifikat erstellt. Dieses Zertifikat kann dann mit **Export-Certificate** exportiert und mit **Import-Certificate** in vertrauenswürdige Zertifikatsspeicher importiert werden. Durch den Import des Zertifikats in die Speicher **TrustedPublisher** und **Root** vertraut das System mit diesem Zertifikat signierten Skripten. Das Skript **Management_Install.ps1** wird dann mit **Set-AuthenticodeSignature** signiert.

Durch die Skriptsignierung wird sichergestellt, dass nur vertrauenswürdige Skripte auf dem System ausgeführt werden können, was eine zusätzliche Sicherheitsebene bietet. Dieser Ansatz ist besonders nützlich in Umgebungen mit strengen Sicherheitsanforderungen, in denen die Ausführungsrichtlinien auf **AllSigned** oder **RemoteSigned** festgelegt sind. Durch das Signieren des Skripts können Administratoren sicherstellen, dass die Skripte nicht manipuliert werden und von einer vertrauenswürdigen Quelle stammen, wodurch potenzielle Sicherheitsrisiken gemindert werden. Diese Methode kombiniert Sicherheit mit Funktionalität und ermöglicht die Ausführung erforderlicher Skripte unter Wahrung der Systemintegrität.

Ausführungsrichtlinie in PowerShell auf „Bypass“ setzen

PowerShell-Skript 

# Ensure the script execution policy is set to Bypass
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force

# Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

# Execute the PowerShell script
powershell .\Management_Install.ps1

Verwenden von Batch-Skripten zum Ändern der Ausführungsrichtlinie und zum Ausführen von PowerShell-Skripten

Batch-Skript 

@echo off

:: Set PowerShell execution policy to Bypass
powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force"

:: Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

:: Run the PowerShell script
powershell -File .\Management_Install.ps1

pause

Erstellen eines signierten PowerShell-Skripts

PowerShell-Skript mit Signierung 

# Sample script content
Write-Output "Executing Management Install Script"

# Save this script as Management_Install.ps1

# To sign the script, follow these steps:
# 1. Create a self-signed certificate (if you don't have one)
$cert = New-SelfSignedCertificate -DnsName "PowerShellLocalCert" -CertStoreLocation "Cert:\LocalMachine\My"

# 2. Export the certificate to a file
Export-Certificate -Cert $cert -FilePath "C:\PowerShellLocalCert.cer"

# 3. Import the certificate to Trusted Publishers and Trusted Root Certification Authorities
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\TrustedPublisher"
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\Root"

# 4. Sign the script with the certificate
Set-AuthenticodeSignature -FilePath .\Management_Install.ps1 -Certificate $cert

Gewährleistung der Einhaltung von Skriptausführungsrichtlinien und der Systemsicherheit

Bei der Verwaltung von Windows Server 2008 R2 ist es wichtig, die verschiedenen in PowerShell verfügbaren Ausführungsrichtlinien und deren Auswirkungen auf die Skriptausführung zu verstehen. PowerShell-Ausführungsrichtlinien sollen die Ausführung potenziell schädlicher Skripte verhindern. Die vier Hauptrichtlinien sind **Restricted**, **AllSigned**, **RemoteSigned** und **Unrestricted**. **Eingeschränkt** ist die Standardrichtlinie und erlaubt keine Ausführung von Skripts. **AllSigned** erfordert, dass alle Skripte und Konfigurationsdateien von einem vertrauenswürdigen Herausgeber signiert werden. **RemoteSigned** erfordert, dass alle aus dem Internet heruntergeladenen Skripte und Konfigurationsdateien von einem vertrauenswürdigen Herausgeber signiert werden, ermöglicht jedoch die Ausführung lokal erstellter Skripte ohne Signatur.

Das Verständnis dieser Richtlinien hilft Administratoren dabei, die richtige Sicherheitsstufe für ihre Umgebung auszuwählen. In Szenarien, in denen Skripte regelmäßig ausgeführt werden müssen, kann das Festlegen der Richtlinie auf **Uneingeschränkt** riskant sein, da dadurch alle Skripte ohne Einschränkungen ausgeführt werden können. Stattdessen sollten Administratoren die Verwendung von **RemoteSigned** oder **AllSigned** in Betracht ziehen, um Sicherheit und Funktionalität in Einklang zu bringen. Durch das Signieren von Skripten und die Verwaltung von Zertifikaten können Administratoren sicherstellen, dass nur vertrauenswürdige Skripte auf ihren Systemen ausgeführt werden, wodurch das Risiko der Ausführung von Schadcode verringert wird.

Häufige Fragen und Antworten zu PowerShell-Skriptausführungsrichtlinien

  1. Wie überprüfe ich die aktuelle Ausführungsrichtlinie auf meinem System?
  2. Verwenden Sie den Befehl Get-ExecutionPolicy in PowerShell, um die aktuelle Ausführungsrichtlinie zu überprüfen.
  3. Wie kann ich die Ausführungsrichtlinie für alle Benutzer dauerhaft ändern?
  4. Verwenden Sie den Befehl Set-ExecutionPolicy -ExecutionPolicy [PolicyName] -Scope LocalMachine um die Ausführungsrichtlinie für alle Benutzer zu ändern.
  5. Was soll ich tun, wenn ich auf ein Skript stoße, das aufgrund von Richtlinieneinschränkungen nicht ausgeführt werden kann?
  6. Stellen Sie die Richtlinie vorübergehend auf **Bypass** ein Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process und führen Sie das Skript aus.
  7. Ist es sicher, die Richtlinie **Uneingeschränkt** zu verwenden?
  8. Die Verwendung von **Uneingeschränkt** wird für Produktionsumgebungen nicht empfohlen, da dadurch alle Skripts ausgeführt werden können, was ein Sicherheitsrisiko darstellen kann.
  9. Wie signiere ich ein PowerShell-Skript?
  10. Erstellen Sie ein selbstsigniertes Zertifikat mit New-SelfSignedCertificate und signieren Sie dann das Skript mit Set-AuthenticodeSignature.
  11. Kann ich die Skriptausführung auf vertrauenswürdige Skripte beschränken?
  12. Ja, indem Sie die Ausführungsrichtlinie auf **AllSigned** oder **RemoteSigned** setzen und Ihre Skripte signieren.
  13. Was ist der Unterschied zwischen den Richtlinien **AllSigned** und **RemoteSigned**?
  14. Bei **AllSigned** müssen alle Skripte von einem vertrauenswürdigen Herausgeber signiert sein, während bei **RemoteSigned** nur aus dem Internet heruntergeladene Skripte signiert sein müssen.
  15. Wie erstelle ich ein selbstsigniertes Zertifikat für die Skriptsignatur?
  16. Verwenden Sie den Befehl New-SelfSignedCertificate -DnsName "PowerShellLocalCert" -CertStoreLocation "Cert:\LocalMachine\My" um ein selbstsigniertes Zertifikat zu erstellen.
  17. Welche Sicherheitsrisiken bestehen bei der Deaktivierung von Skriptausführungsrichtlinien?
  18. Durch das Deaktivieren von Skriptausführungsrichtlinien kann Ihr System schädlichen Skripten ausgesetzt werden, was zu potenziellen Sicherheitsverletzungen und Datenverlusten führen kann.

Die zentralen Thesen

Die Sicherstellung der richtigen PowerShell-Ausführungsrichtlinie ist für die Ausführung von Skripts unter Windows Server 2008 R2 von entscheidender Bedeutung. Festlegen der Richtlinie auf Bypass oder die Verwendung von Batchdateien können Ausführungsprobleme vorübergehend lösen, aber das Signieren von Skripten bietet eine sicherere, langfristigere Lösung. Administratoren sollten sich der Sicherheitsauswirkungen verschiedener Ausführungsrichtlinien bewusst sein und Maßnahmen implementieren, die Sicherheit und betriebliche Anforderungen in Einklang bringen.