PowerShelli skripti käivitamise probleemide lahendamine

Daniel Marino

Reede, 12. juuli 2024 14:18:12

PowerShelli skripti täitmise piirangute tõrkeotsing
Windows Server 2008 R2-ga töötades võivad kasutajad ilmneda tõrge, mis näitab, et PowerShelli skriptide käitamine on süsteemis keelatud. See probleem võib ilmneda skripti käivitamisel cmd.exe kaudu isegi pärast täitmispoliitika määramist piiramatuks.
Hoolimata kinnitusest, et täitmispoliitika on seatud olekusse Piiramatu, ei pruugi skriptide käivitamine siiski õnnestuda, põhjustades frustratsiooni ja takistades edasiminekut. Selles juhendis uuritakse selle probleemi levinumaid põhjuseid ja antakse juhiseid skripti eduka täitmise tagamiseks.

Käsk Kirjeldus

Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force Määrab praeguse PowerShelli seansi jaoks ajutiselt skripti käitamise poliitika olekuks Mööda, võimaldades piiranguteta täita kõiki skripte.

powershell -File .\Management_Install.ps1 Käivitab määratud PowerShelli skriptifaili käsurealt.

New-SelfSignedCertificate Loob uue iseallkirjastatud sertifikaadi, mida saab kasutada PowerShelli skriptide allkirjastamiseks usaldusväärseks täitmiseks.

Export-Certificate Ekspordib sertifikaadi faili, mida saab seejärel importida teistesse sertifikaadisalvedesse.

Import-Certificate Impordib sertifikaadi määratud sertifikaadihoidlasse, näiteks Trusted Publishers või Root Certification Authorities.

Set-AuthenticodeSignature Allkirjastab PowerShelli skripti määratud sertifikaadiga, võimaldades seda käivitada süsteemides, kus skripti allkirjastamise poliitikad on lubatud.

Käsk	Kirjeldus
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force	Määrab praeguse PowerShelli seansi jaoks ajutiselt skripti käitamise poliitika olekuks Mööda, võimaldades piiranguteta täita kõiki skripte.
powershell -File .\Management_Install.ps1	Käivitab määratud PowerShelli skriptifaili käsurealt.
New-SelfSignedCertificate	Loob uue iseallkirjastatud sertifikaadi, mida saab kasutada PowerShelli skriptide allkirjastamiseks usaldusväärseks täitmiseks.
Export-Certificate	Ekspordib sertifikaadi faili, mida saab seejärel importida teistesse sertifikaadisalvedesse.
Import-Certificate	Impordib sertifikaadi määratud sertifikaadihoidlasse, näiteks Trusted Publishers või Root Certification Authorities.
Set-AuthenticodeSignature	Allkirjastab PowerShelli skripti määratud sertifikaadiga, võimaldades seda käivitada süsteemides, kus skripti allkirjastamise poliitikad on lubatud.

PowerShelli skriptikäivituspoliitika mõistmine ja rakendamine

Pakutud skriptide eesmärk on lahendada PowerShelli skripti käitamise keelamine operatsioonisüsteemis Windows Server 2008 R2. Esimene skript määrab praeguse PowerShelli seansi täitmispoliitika väärtuseks Möödasõit, kasutades käsku Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force. See käsk võimaldab kõigil skriptidel ajutiselt piiranguteta töötada. Seejärel navigeerib skript kataloogi, mis sisaldab skripti Management_Install.ps1 ja käivitab selle powershelli .Management_Install.ps1 abil. See lähenemisviis tagab, et täitmispoliitika muudatus on ainult ajutine ega mõjuta süsteemi üldist turbeasendit.

Teine skript, pakkfail, määrab samuti täitmispoliitika väärtuseks Möödasõit, kuid teeb seda käsurealt. Selle saavutamiseks kasutab see powershell -käsku "Set-ExecutionPolicy Bypass -Scope Process -Force". Pärast täitmispoliitika muutmist navigeerib skript skriptikataloogi ja käivitab PowerShelli skripti, kasutades faili powershell -File .Management_Install.ps1. Pakettskript lõpeb käsuga paus, et hoida käsuviiba aken avatuna, võimaldades kasutajal näha mis tahes väljundit või veateateid. See meetod on kasulik protsessi automatiseerimiseks ja integreerimiseks suurematesse partiiprotsessidesse.

Skripti allkirjastamine ja turvalisus PowerShellis

Kolmas skripti näide näitab, kuidas allkirjastada PowerShelli skript, et järgida rangemaid täitmispoliitikaid. Esiteks luuakse New-SelfSignedCertificate abil iseallkirjastatud sertifikaat. Selle sertifikaadi saab seejärel eksportida Export-Certificate abil ja importida usaldusväärsetesse sertifikaadipoodidesse Impordisertifikaadi abil. Kui impordite sertifikaadi TrustedPublisher ja Root poodidesse, usaldab süsteem selle sertifikaadiga allkirjastatud skripte. Seejärel allkirjastatakse skript Management_Install.ps1, kasutades funktsiooni Set-AuthenticodeSignature.

Skripti allkirjastamine tagab, et süsteemis saavad käivitada ainult usaldusväärsed skriptid, pakkudes täiendavat turvakihti. See lähenemine on eriti kasulik rangete turbenõuetega keskkondades, kus täitmispoliitikad on seatud väärtusele AllSigned või RemoteSigned. Skripti allkirjastamisega saavad administraatorid tagada, et skripte ei muudeta ja et need pärinevad usaldusväärsest allikast, vähendades seeläbi võimalikke turvariske. See meetod ühendab turvalisuse funktsionaalsusega, võimaldades vajalike skriptide käitamist, säilitades samal ajal süsteemi terviklikkuse.

Täitmispoliitika määramine PowerShellis ümbersõidule

PowerShelli skript

# Ensure the script execution policy is set to Bypass
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force

# Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

# Execute the PowerShell script
powershell .\Management_Install.ps1

Pakettskripti kasutamine täitmispoliitika muutmiseks ja PowerShelli skripti käivitamiseks

Partii skript

@echo off

:: Set PowerShell execution policy to Bypass
powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force"

:: Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

:: Run the PowerShell script
powershell -File .\Management_Install.ps1

pause

Allkirjastatud PowerShelli skripti loomine

PowerShelli skript koos allkirjastamisega

# Sample script content
Write-Output "Executing Management Install Script"

# Save this script as Management_Install.ps1

# To sign the script, follow these steps:
# 1. Create a self-signed certificate (if you don't have one)
$cert = New-SelfSignedCertificate -DnsName "PowerShellLocalCert" -CertStoreLocation "Cert:\LocalMachine\My"

# 2. Export the certificate to a file
Export-Certificate -Cert $cert -FilePath "C:\PowerShellLocalCert.cer"

# 3. Import the certificate to Trusted Publishers and Trusted Root Certification Authorities
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\TrustedPublisher"
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\Root"

# 4. Sign the script with the certificate
Set-AuthenticodeSignature -FilePath .\Management_Install.ps1 -Certificate $cert

Skripti täitmispoliitika järgimise ja süsteemi turvalisuse tagamine

Windows Server 2008 R2 haldamisel on ülioluline mõista PowerShellis saadaolevaid erinevaid täitmispoliitikaid ja seda, kuidas need skripti täitmist mõjutavad. PowerShelli täitmispoliitikad on loodud potentsiaalselt kahjulike skriptide käivitamise vältimiseks. Neli peamist reeglit on Piiratud, AllSigned, RemoteSigned ja Unrestricted. Piiratud on vaikepoliitika ja see ei luba skriptidel käitada. AllSigned nõuab, et kõik skriptid ja konfiguratsioonifailid oleksid allkirjastatud usaldusväärse väljaandja poolt. RemoteSigned nõuab, et kõik Internetist alla laaditud skriptid ja konfiguratsioonifailid oleksid allkirjastatud usaldusväärse väljaandja poolt, kuid see võimaldab ka kohapeal loodud skripte ilma allkirjata käivitada.

Nende põhimõtete mõistmine aitab administraatoritel valida oma keskkonna jaoks õige turbetaseme. Stsenaariumides, kus skripte tuleb regulaarselt käivitada, võib reegli Piiramatu määramine olla riskantne, kuna see võimaldab kõigil skriptidel ilma piiranguteta töötada. Selle asemel peaksid administraatorid kaaluma RemoteSigned või AllSigned kasutamist, et tasakaalustada turvalisust funktsionaalsusega. Skripte allkirjastades ja sertifikaate haldades saavad administraatorid tagada, et nende süsteemides töötavad ainult usaldusväärsed skriptid, vähendades pahatahtliku koodi käivitamise ohtu.

Kuidas kontrollida oma süsteemi praegust täitmispoliitikat?
Kasutage käsku PowerShellis, et kontrollida praegust täitmispoliitikat.
Kuidas saan kõigi kasutajate täitmispoliitikat jäädavalt muuta?
Kasutage käsku et muuta kõigi kasutajate täitmispoliitikat.
Mida teha, kui kohtan skripti, mida ei saa poliitikapiirangute tõttu käivitada?
Määrake reegliks ajutiselt Möödasõit kasutades ja käivitage skript.
Kas Piiramatu poliitika kasutamine on ohutu?
Funktsiooni Piiramatu kasutamine ei ole tootmiskeskkondades soovitatav, kuna see võimaldab kõigil skriptidel käitada, mis võib olla turvarisk.
Kuidas PowerShelli skripti allkirjastada?
Looge iseallkirjastatud sertifikaat kasutades ja seejärel allkirjastage skript kasutades .
Kas ma saan piirata skripti täitmist ainult usaldusväärsete skriptidega?
Jah, määrates täitmisreegliks AllSigned või RemoteSigned ja allkirjastades oma skriptid.
Mis vahe on AllSigned ja RemoteSigned reeglitel?
AllSigned nõuab, et kõik skriptid oleksid allkirjastatud usaldusväärse väljaandja poolt, samas kui RemoteSigned puhul tuleb allkirjastada ainult Internetist alla laaditud skriptid.
Kuidas luua skripti allkirjastamiseks iseallkirjastatud sertifikaati?
Kasutage käsku ise allkirjastatud sertifikaadi loomiseks.
Millised on skripti käitamise poliitikate keelamise turvariskid?
Skripti käitamispoliitika keelamine võib teie süsteemi paljastada pahatahtlike skriptide eest, mis võib põhjustada turvarikkumisi ja andmete kadu.

Õige PowerShelli täitmispoliitika tagamine on Windows Server 2008 R2 skriptide käitamiseks ülioluline. Poliitika määramine või pakifailide kasutamine võib ajutiselt lahendada täitmisprobleeme, kuid skriptide allkirjastamine pakub turvalisemat ja pikaajalisemat lahendust. Administraatorid peaksid olema teadlikud erinevate täitmispoliitikate turbemõjudest ja rakendama meetmeid, mis tasakaalustavad turvalisust tegevusvajadustega.

PowerShelli skripti käivitamise probleemide lahendamine opsüsteemis Windows Server 2008 R2