Resolución de problemas de ejecución de scripts de PowerShell en Windows Server 2008 R2

Resolución de problemas de ejecución de scripts de PowerShell en Windows Server 2008 R2
Resolución de problemas de ejecución de scripts de PowerShell en Windows Server 2008 R2
Daniel Marino
Viernes, 12 de julio de 2024, 14:02:34

Solución de problemas de restricciones de ejecución de scripts de PowerShell

Al trabajar con Windows Server 2008 R2, los usuarios pueden encontrar un error que indica que la ejecución de scripts de PowerShell está deshabilitada en el sistema. Este problema puede surgir al intentar ejecutar un script a través de cmd.exe, incluso después de configurar la política de ejecución en Sin restricciones.

A pesar de confirmar que la política de ejecución está configurada como Sin restricciones, es posible que los scripts aún no se ejecuten, lo que genera frustración y dificulta el progreso. Esta guía explorará las causas comunes de este problema y proporcionará pasos para garantizar una ejecución exitosa del script.

Dominio Descripción
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force Establece temporalmente la política de ejecución de scripts en Omitir para la sesión actual de PowerShell, lo que permite la ejecución de todos los scripts sin restricciones.
powershell -File .\Management_Install.ps1 Ejecuta el archivo de script de PowerShell especificado desde la línea de comandos.
New-SelfSignedCertificate Crea un nuevo certificado autofirmado, que se puede utilizar para firmar scripts de PowerShell para una ejecución confiable.
Export-Certificate Exporta un certificado a un archivo, que luego se puede importar a otros almacenes de certificados.
Import-Certificate Importa un certificado a un almacén de certificados específico, como editores de confianza o autoridades de certificación raíz.
Set-AuthenticodeSignature Firma un script de PowerShell con un certificado específico, lo que permite ejecutarlo en sistemas con políticas de firma de scripts habilitadas.

Comprensión e implementación de políticas de ejecución de scripts en PowerShell

Los scripts proporcionados tienen como objetivo solucionar el problema de la ejecución de scripts de PowerShell deshabilitada en Windows Server 2008 R2. El primer script establece la política de ejecución en **Bypass** para la sesión actual de PowerShell usando **Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force**. Este comando permite que todos los scripts se ejecuten sin restricciones temporalmente. Luego, el script navega al directorio que contiene el script **Management_Install.ps1** y lo ejecuta usando **powershell .Management_Install.ps1**. Este enfoque garantiza que el cambio de política de ejecución sea solo temporal y no afecte la postura de seguridad general del sistema.

El segundo script, un archivo por lotes, también establece la política de ejecución en **Omitir** pero lo hace desde la línea de comando. Utiliza **powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force"** para lograr esto. Después de cambiar la política de ejecución, el script navega al directorio del script y ejecuta el script de PowerShell usando **powershell -File .Management_Install.ps1**. El script por lotes finaliza con un comando **pausa** para mantener abierta la ventana del símbolo del sistema, lo que permite al usuario ver cualquier resultado o mensaje de error. Este método es útil para automatizar el proceso e integrarlo en procesos por lotes más grandes.

Firma de scripts y seguridad en PowerShell

El tercer ejemplo de secuencia de comandos demuestra cómo firmar una secuencia de comandos de PowerShell para cumplir con políticas de ejecución más estrictas. Primero, se crea un certificado autofirmado utilizando **New-SelfSignedCertificate**. Luego, este certificado se puede exportar con **Exportar-Certificado** e importar a almacenes de certificados confiables usando **Importar-Certificado**. Al importar el certificado a los almacenes **TrustedPublisher** y **Root**, el sistema confiará en los scripts firmados con este certificado. Luego, el script **Management_Install.ps1** se firma usando **Set-AuthenticodeSignature**.

La firma de scripts garantiza que solo se puedan ejecutar scripts confiables en el sistema, lo que proporciona una capa adicional de seguridad. Este enfoque es particularmente útil en entornos con requisitos de seguridad estrictos donde las políticas de ejecución están configuradas en **AllSigned** o **RemoteSigned**. Al firmar el script, los administradores pueden asegurarse de que los scripts no sean manipulados y provengan de una fuente confiable, mitigando así posibles riesgos de seguridad. Este método combina seguridad con funcionalidad, lo que permite ejecutar los scripts necesarios mientras se mantiene la integridad del sistema.

Configuración de la política de ejecución para omitir en PowerShell

Secuencia de comandos de PowerShell 

# Ensure the script execution policy is set to Bypass
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force

# Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

# Execute the PowerShell script
powershell .\Management_Install.ps1

Uso de secuencias de comandos por lotes para modificar la política de ejecución y ejecutar secuencias de comandos de PowerShell

Guión por lotes 

@echo off

:: Set PowerShell execution policy to Bypass
powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force"

:: Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

:: Run the PowerShell script
powershell -File .\Management_Install.ps1

pause

Crear un script de PowerShell firmado

Script de PowerShell con firma 

# Sample script content
Write-Output "Executing Management Install Script"

# Save this script as Management_Install.ps1

# To sign the script, follow these steps:
# 1. Create a self-signed certificate (if you don't have one)
$cert = New-SelfSignedCertificate -DnsName "PowerShellLocalCert" -CertStoreLocation "Cert:\LocalMachine\My"

# 2. Export the certificate to a file
Export-Certificate -Cert $cert -FilePath "C:\PowerShellLocalCert.cer"

# 3. Import the certificate to Trusted Publishers and Trusted Root Certification Authorities
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\TrustedPublisher"
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\Root"

# 4. Sign the script with the certificate
Set-AuthenticodeSignature -FilePath .\Management_Install.ps1 -Certificate $cert

Garantizar el cumplimiento de la política de ejecución de scripts y la seguridad del sistema

Al administrar Windows Server 2008 R2, es fundamental comprender las diferentes políticas de ejecución disponibles en PowerShell y cómo afectan la ejecución de scripts. Las políticas de ejecución de PowerShell están diseñadas para evitar la ejecución de scripts potencialmente dañinos. Las cuatro políticas principales son **Restringido**, **AllSigned**, **RemoteSigned** y **Unrestricted**. **Restringido** es la política predeterminada y no permite la ejecución de ningún script. **AllSigned** requiere que todos los scripts y archivos de configuración estén firmados por un editor confiable. **RemoteSigned** requiere que todos los scripts y archivos de configuración descargados de Internet estén firmados por un editor confiable, pero permite que los scripts creados localmente se ejecuten sin una firma.

Comprender estas políticas ayuda a los administradores a elegir el nivel adecuado de seguridad para su entorno. En escenarios donde los scripts deben ejecutarse con regularidad, establecer la política en **Sin restricciones** puede ser arriesgado, ya que permite que todos los scripts se ejecuten sin restricciones. En su lugar, los administradores deberían considerar el uso de **RemoteSigned** o **AllSigned** para equilibrar la seguridad con la funcionalidad. Al firmar scripts y administrar certificados, los administradores pueden asegurarse de que solo se ejecuten scripts confiables en sus sistemas, lo que reduce el riesgo de ejecutar código malicioso.

Preguntas y respuestas comunes sobre las políticas de ejecución de scripts de PowerShell

  1. ¿Cómo verifico la política de ejecución actual en mi sistema?
  2. usa el comando Get-ExecutionPolicy en PowerShell para verificar la política de ejecución actual.
  3. ¿Cómo puedo cambiar permanentemente la política de ejecución para todos los usuarios?
  4. usa el comando Set-ExecutionPolicy -ExecutionPolicy [PolicyName] -Scope LocalMachine para cambiar la política de ejecución para todos los usuarios.
  5. ¿Qué debo hacer si encuentro un script que no se puede ejecutar debido a restricciones de políticas?
  6. Establezca temporalmente la política en **Omitir** usando Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process y ejecute el script.
  7. ¿Es seguro utilizar la política **Sin restricciones**?
  8. No se recomienda el uso **Sin restricciones** para entornos de producción, ya que permite que se ejecuten todos los scripts, lo que puede representar un riesgo para la seguridad.
  9. ¿Cómo firmo un script de PowerShell?
  10. Cree un certificado autofirmado usando New-SelfSignedCertificate y luego firmar el script usando Set-AuthenticodeSignature.
  11. ¿Puedo restringir la ejecución de scripts únicamente a scripts confiables?
  12. Sí, configurando la política de ejecución en **AllSigned** o **RemoteSigned** y firmando sus scripts.
  13. ¿Cuál es la diferencia entre las políticas **AllSigned** y **RemoteSigned**?
  14. **AllSigned** requiere que todos los scripts estén firmados por un editor confiable, mientras que **RemoteSigned** solo requiere que los scripts descargados de Internet estén firmados.
  15. ¿Cómo creo un certificado autofirmado para la firma de scripts?
  16. usa el comando New-SelfSignedCertificate -DnsName "PowerShellLocalCert" -CertStoreLocation "Cert:\LocalMachine\My" para crear un certificado autofirmado.
  17. ¿Cuáles son los riesgos de seguridad al deshabilitar las políticas de ejecución de scripts?
  18. Deshabilitar las políticas de ejecución de scripts puede exponer su sistema a scripts maliciosos, lo que provocaría posibles violaciones de seguridad y pérdida de datos.

Conclusiones clave

Garantizar la política de ejecución correcta de PowerShell es crucial para ejecutar scripts en Windows Server 2008 R2. Establecer la política en Bypass o el uso de archivos por lotes puede resolver temporalmente los problemas de ejecución, pero firmar scripts ofrece una solución más segura a largo plazo. Los administradores deben ser conscientes de las implicaciones de seguridad de las diferentes políticas de ejecución e implementar medidas que equilibren la seguridad con las necesidades operativas.