PowerShelli skripti käivitamise probleemide lahendamine opsüsteemis Windows Server 2008 R2

PowerShelli skripti käivitamise probleemide lahendamine opsüsteemis Windows Server 2008 R2
PowerShelli skripti käivitamise probleemide lahendamine opsüsteemis Windows Server 2008 R2
Daniel Marino
Reede, 12. juuli 2024 14:18:12

PowerShelli skripti täitmise piirangute tõrkeotsing

Windows Server 2008 R2-ga töötades võivad kasutajad ilmneda tõrge, mis näitab, et PowerShelli skriptide käitamine on süsteemis keelatud. See probleem võib ilmneda skripti käivitamisel cmd.exe kaudu isegi pärast täitmispoliitika määramist piiramatuks.

Hoolimata kinnitusest, et täitmispoliitika on seatud olekusse Piiramatu, ei pruugi skriptide käivitamine siiski õnnestuda, põhjustades frustratsiooni ja takistades edasiminekut. Selles juhendis uuritakse selle probleemi levinumaid põhjuseid ja antakse juhiseid skripti eduka täitmise tagamiseks.

Käsk Kirjeldus
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force Määrab praeguse PowerShelli seansi jaoks ajutiselt skripti käitamise poliitika olekuks Mööda, võimaldades piiranguteta täita kõiki skripte.
powershell -File .\Management_Install.ps1 Käivitab määratud PowerShelli skriptifaili käsurealt.
New-SelfSignedCertificate Loob uue iseallkirjastatud sertifikaadi, mida saab kasutada PowerShelli skriptide allkirjastamiseks usaldusväärseks täitmiseks.
Export-Certificate Ekspordib sertifikaadi faili, mida saab seejärel importida teistesse sertifikaadisalvedesse.
Import-Certificate Impordib sertifikaadi määratud sertifikaadihoidlasse, näiteks Trusted Publishers või Root Certification Authorities.
Set-AuthenticodeSignature Allkirjastab PowerShelli skripti määratud sertifikaadiga, võimaldades seda käivitada süsteemides, kus skripti allkirjastamise poliitikad on lubatud.

PowerShelli skriptikäivituspoliitika mõistmine ja rakendamine

Pakutud skriptide eesmärk on lahendada PowerShelli skripti käitamise keelamine operatsioonisüsteemis Windows Server 2008 R2. Esimene skript määrab praeguse PowerShelli seansi täitmispoliitika väärtuseks **Möödasõit**, kasutades käsku **Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force**. See käsk võimaldab kõigil skriptidel ajutiselt piiranguteta töötada. Seejärel navigeerib skript kataloogi, mis sisaldab skripti **Management_Install.ps1** ja käivitab selle **powershelli .Management_Install.ps1** abil. See lähenemisviis tagab, et täitmispoliitika muudatus on ainult ajutine ega mõjuta süsteemi üldist turbeasendit.

Teine skript, pakkfail, määrab samuti täitmispoliitika väärtuseks **Möödasõit**, kuid teeb seda käsurealt. Selle saavutamiseks kasutab see **powershell -käsku "Set-ExecutionPolicy Bypass -Scope Process -Force"**. Pärast täitmispoliitika muutmist navigeerib skript skriptikataloogi ja käivitab PowerShelli skripti, kasutades faili **powershell -File .Management_Install.ps1**. Pakettskript lõpeb käsuga **paus**, et hoida käsuviiba aken avatuna, võimaldades kasutajal näha mis tahes väljundit või veateateid. See meetod on kasulik protsessi automatiseerimiseks ja integreerimiseks suurematesse partiiprotsessidesse.

Skripti allkirjastamine ja turvalisus PowerShellis

Kolmas skripti näide näitab, kuidas allkirjastada PowerShelli skript, et järgida rangemaid täitmispoliitikaid. Esiteks luuakse **New-SelfSignedCertificate** abil iseallkirjastatud sertifikaat. Selle sertifikaadi saab seejärel eksportida **Export-Certificate** abil ja importida usaldusväärsetesse sertifikaadipoodidesse **Impordisertifikaadi** abil. Kui impordite sertifikaadi **TrustedPublisher** ja **Root** poodidesse, usaldab süsteem selle sertifikaadiga allkirjastatud skripte. Seejärel allkirjastatakse skript **Management_Install.ps1**, kasutades funktsiooni **Set-AuthenticodeSignature**.

Skripti allkirjastamine tagab, et süsteemis saavad käivitada ainult usaldusväärsed skriptid, pakkudes täiendavat turvakihti. See lähenemine on eriti kasulik rangete turbenõuetega keskkondades, kus täitmispoliitikad on seatud väärtusele **AllSigned** või **RemoteSigned**. Skripti allkirjastamisega saavad administraatorid tagada, et skripte ei muudeta ja et need pärinevad usaldusväärsest allikast, vähendades seeläbi võimalikke turvariske. See meetod ühendab turvalisuse funktsionaalsusega, võimaldades vajalike skriptide käitamist, säilitades samal ajal süsteemi terviklikkuse.

Täitmispoliitika määramine PowerShellis ümbersõidule

PowerShelli skript 

# Ensure the script execution policy is set to Bypass
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force

# Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

# Execute the PowerShell script
powershell .\Management_Install.ps1

Pakettskripti kasutamine täitmispoliitika muutmiseks ja PowerShelli skripti käivitamiseks

Partii skript 

@echo off

:: Set PowerShell execution policy to Bypass
powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force"

:: Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

:: Run the PowerShell script
powershell -File .\Management_Install.ps1

pause

Allkirjastatud PowerShelli skripti loomine

PowerShelli skript koos allkirjastamisega 

# Sample script content
Write-Output "Executing Management Install Script"

# Save this script as Management_Install.ps1

# To sign the script, follow these steps:
# 1. Create a self-signed certificate (if you don't have one)
$cert = New-SelfSignedCertificate -DnsName "PowerShellLocalCert" -CertStoreLocation "Cert:\LocalMachine\My"

# 2. Export the certificate to a file
Export-Certificate -Cert $cert -FilePath "C:\PowerShellLocalCert.cer"

# 3. Import the certificate to Trusted Publishers and Trusted Root Certification Authorities
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\TrustedPublisher"
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\Root"

# 4. Sign the script with the certificate
Set-AuthenticodeSignature -FilePath .\Management_Install.ps1 -Certificate $cert

Skripti täitmispoliitika järgimise ja süsteemi turvalisuse tagamine

Windows Server 2008 R2 haldamisel on ülioluline mõista PowerShellis saadaolevaid erinevaid täitmispoliitikaid ja seda, kuidas need skripti täitmist mõjutavad. PowerShelli täitmispoliitikad on loodud potentsiaalselt kahjulike skriptide käivitamise vältimiseks. Neli peamist reeglit on **Piiratud**, **AllSigned**, **RemoteSigned** ja **Unrestricted**. **Piiratud** on vaikepoliitika ja see ei luba skriptidel käitada. **AllSigned** nõuab, et kõik skriptid ja konfiguratsioonifailid oleksid allkirjastatud usaldusväärse väljaandja poolt. **RemoteSigned** nõuab, et kõik Internetist alla laaditud skriptid ja konfiguratsioonifailid oleksid allkirjastatud usaldusväärse väljaandja poolt, kuid see võimaldab ka kohapeal loodud skripte ilma allkirjata käivitada.

Nende põhimõtete mõistmine aitab administraatoritel valida oma keskkonna jaoks õige turbetaseme. Stsenaariumides, kus skripte tuleb regulaarselt käivitada, võib reegli **Piiramatu** määramine olla riskantne, kuna see võimaldab kõigil skriptidel ilma piiranguteta töötada. Selle asemel peaksid administraatorid kaaluma **RemoteSigned** või **AllSigned** kasutamist, et tasakaalustada turvalisust funktsionaalsusega. Skripte allkirjastades ja sertifikaate haldades saavad administraatorid tagada, et nende süsteemides töötavad ainult usaldusväärsed skriptid, vähendades pahatahtliku koodi käivitamise ohtu.

Levinud küsimused ja vastused PowerShelli skripti täitmispoliitika kohta

  1. Kuidas kontrollida oma süsteemi praegust täitmispoliitikat?
  2. Kasutage käsku Get-ExecutionPolicy PowerShellis, et kontrollida praegust täitmispoliitikat.
  3. Kuidas saan kõigi kasutajate täitmispoliitikat jäädavalt muuta?
  4. Kasutage käsku Set-ExecutionPolicy -ExecutionPolicy [PolicyName] -Scope LocalMachine et muuta kõigi kasutajate täitmispoliitikat.
  5. Mida teha, kui kohtan skripti, mida ei saa poliitikapiirangute tõttu käivitada?
  6. Määrake reegliks ajutiselt **Möödasõit** kasutades Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process ja käivitage skript.
  7. Kas **Piiramatu** poliitika kasutamine on ohutu?
  8. Funktsiooni **Piiramatu** kasutamine ei ole tootmiskeskkondades soovitatav, kuna see võimaldab kõigil skriptidel käitada, mis võib olla turvarisk.
  9. Kuidas PowerShelli skripti allkirjastada?
  10. Looge iseallkirjastatud sertifikaat kasutades New-SelfSignedCertificate ja seejärel allkirjastage skript kasutades Set-AuthenticodeSignature.
  11. Kas ma saan piirata skripti täitmist ainult usaldusväärsete skriptidega?
  12. Jah, määrates täitmisreegliks **AllSigned** või **RemoteSigned** ja allkirjastades oma skriptid.
  13. Mis vahe on **AllSigned** ja **RemoteSigned** reeglitel?
  14. **AllSigned** nõuab, et kõik skriptid oleksid allkirjastatud usaldusväärse väljaandja poolt, samas kui **RemoteSigned** puhul tuleb allkirjastada ainult Internetist alla laaditud skriptid.
  15. Kuidas luua skripti allkirjastamiseks iseallkirjastatud sertifikaati?
  16. Kasutage käsku New-SelfSignedCertificate -DnsName "PowerShellLocalCert" -CertStoreLocation "Cert:\LocalMachine\My" ise allkirjastatud sertifikaadi loomiseks.
  17. Millised on skripti käitamise poliitikate keelamise turvariskid?
  18. Skripti käitamispoliitika keelamine võib teie süsteemi paljastada pahatahtlike skriptide eest, mis võib põhjustada turvarikkumisi ja andmete kadu.

Võtmed kaasavõtmiseks

Õige PowerShelli täitmispoliitika tagamine on Windows Server 2008 R2 skriptide käitamiseks ülioluline. Poliitika määramine Bypass või pakifailide kasutamine võib ajutiselt lahendada täitmisprobleeme, kuid skriptide allkirjastamine pakub turvalisemat ja pikaajalisemat lahendust. Administraatorid peaksid olema teadlikud erinevate täitmispoliitikate turbemõjudest ja rakendama meetmeid, mis tasakaalustavad turvalisust tegevusvajadustega.