PowerShell-komentosarjan suoritusongelmien ratkaiseminen Windows Server 2008 R2:ssa

PowerShell-komentosarjan suoritusongelmien ratkaiseminen Windows Server 2008 R2:ssa
PowerShell-komentosarjan suoritusongelmien ratkaiseminen Windows Server 2008 R2:ssa
Daniel Marino
Perjantai 12. heinäkuuta 2024 klo 14.20.03

PowerShell-komentosarjan suoritusrajoitusten vianmääritys

Kun työskentelet Windows Server 2008 R2:n kanssa, käyttäjät voivat kohdata virheen, joka osoittaa, että PowerShell-komentosarjojen suorittaminen on poistettu käytöstä järjestelmässä. Tämä ongelma voi ilmetä yritettäessä ajaa komentosarjaa cmd.exe-tiedoston kautta, vaikka suorituskäytännöksi olisi asetettu Rajoittamaton.

Huolimatta vahvistuksesta, että suorituskäytännöksi on asetettu Rajoittamaton, komentosarjat saattavat silti epäonnistua, mikä aiheuttaa turhautumista ja haittaa edistymistä. Tässä oppaassa tarkastellaan tämän ongelman yleisiä syitä ja annetaan vaiheita, joilla varmistetaan komentosarjan onnistunut suorittaminen.

Komento Kuvaus
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force Asettaa väliaikaisesti komentosarjan suorituskäytännöksi Ohita nykyisessä PowerShell-istunnossa, jolloin kaikki komentosarjat voidaan suorittaa ilman rajoituksia.
powershell -File .\Management_Install.ps1 Suorittaa määritetyn PowerShell-komentosarjatiedoston komentoriviltä.
New-SelfSignedCertificate Luo uuden itseallekirjoitetun varmenteen, jota voidaan käyttää PowerShell-komentosarjojen allekirjoittamiseen luotettavaa suoritusta varten.
Export-Certificate Vie sertifikaatin tiedostoon, joka voidaan sitten tuoda muihin varmennevarastoihin.
Import-Certificate Tuo varmenteen tiettyyn varmennevarastoon, kuten Trusted Publishers tai Root Certification Authorities.
Set-AuthenticodeSignature Allekirjoittaa PowerShell-komentosarjan määritetyllä varmenteella, jolloin se voidaan suorittaa järjestelmissä, joissa komentosarjan allekirjoituskäytännöt ovat käytössä.

PowerShellin komentosarjan suorituskäytäntöjen ymmärtäminen ja käyttöönotto

Toimitetut komentosarjat pyrkivät ratkaisemaan ongelman, joka liittyy PowerShell-komentosarjan suorittamisen estoon Windows Server 2008 R2:ssa. Ensimmäinen komentosarja asettaa suorituskäytännöksi **Bypass** nykyiselle PowerShell-istunnolle käyttämällä **Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force** -toimintoa. Tämä komento sallii kaikkien komentosarjojen suorittamisen ilman rajoituksia tilapäisesti. Komentosarja siirtyy sitten hakemistoon, joka sisältää **Management_Install.ps1**-komentosarjan, ja suorittaa sen käyttämällä **powershell-komentoa .Management_Install.ps1**. Tämä lähestymistapa varmistaa, että suorituskäytännön muutos on vain väliaikainen eikä vaikuta järjestelmän yleiseen suojausasentoon.

Toinen komentosarja, erätiedosto, asettaa myös suorituskäytännöksi **Ohita**, mutta tekee sen komentoriviltä. Se käyttää **powershell -komentoa "Set-ExecutionPolicy Bypass -Scope Process -Force"** tämän saavuttamiseksi. Suorituskäytännön muuttamisen jälkeen komentosarja siirtyy komentosarjahakemistoon ja suorittaa PowerShell-komentosarjan käyttämällä **powershell -tiedostoa .Management_Install.ps1**. Eräkomentosarja päättyy **tauko**-komennolla, jotta komentokehoteikkuna pysyy auki, jolloin käyttäjä voi nähdä kaikki tulosteet tai virheilmoitukset. Tämä menetelmä on hyödyllinen prosessin automatisoinnissa ja integroinnissa suurempiin eräprosesseihin.

Komentosarjan allekirjoitus ja suojaus PowerShellissä

Kolmas komentosarjaesimerkki osoittaa, kuinka PowerShell-komentosarja allekirjoitetaan tiukempien suorituskäytäntöjen noudattamiseksi. Ensin luodaan itse allekirjoitettu varmenne **New-SelfSignedCertificate** avulla. Tämä varmenne voidaan sitten viedä **Export-Certificate** -sovelluksella ja tuoda luotettuihin varmennevarastoihin **Import-Certificate** -sovelluksella. Kun sertifikaatti tuodaan **TrustedPublisher**- ja **Root**-kauppoihin, järjestelmä luottaa tällä varmenteella allekirjoitettuihin komentosarjoihin. Komentosarja **Management_Install.ps1** allekirjoitetaan sitten komennolla **Set-AuthenticodeSignature**.

Komentosarjan allekirjoitus varmistaa, että vain luotetut komentosarjat voivat suorittaa järjestelmässä, mikä tarjoaa lisäsuojaustasoa. Tämä lähestymistapa on erityisen hyödyllinen ympäristöissä, joissa on tiukat tietoturvavaatimukset ja joissa suorituskäytännöt on asetettu arvoon **AllSigned** tai **RemoteSigned**. Allekirjoittamalla komentosarjan järjestelmänvalvojat voivat varmistaa, että komentosarjoja ei peukaloida ja että ne ovat peräisin luotettavasta lähteestä, mikä vähentää mahdollisia tietoturvariskejä. Tämä menetelmä yhdistää suojauksen ja toiminnallisuuden, mikä mahdollistaa tarvittavien komentosarjojen suorittamisen järjestelmän eheyden säilyttäen.

Suorituskäytännön asettaminen ohitukselle PowerShellissä

PowerShell-skripti 

# Ensure the script execution policy is set to Bypass
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force

# Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

# Execute the PowerShell script
powershell .\Management_Install.ps1

Eräkomentosarjan käyttäminen suorituskäytännön muokkaamiseen ja PowerShell-skriptin suorittamiseen

Eräskripti 

@echo off

:: Set PowerShell execution policy to Bypass
powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force"

:: Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

:: Run the PowerShell script
powershell -File .\Management_Install.ps1

pause

Allekirjoitetun PowerShell-komentosarjan luominen

PowerShell-skripti allekirjoituksella 

# Sample script content
Write-Output "Executing Management Install Script"

# Save this script as Management_Install.ps1

# To sign the script, follow these steps:
# 1. Create a self-signed certificate (if you don't have one)
$cert = New-SelfSignedCertificate -DnsName "PowerShellLocalCert" -CertStoreLocation "Cert:\LocalMachine\My"

# 2. Export the certificate to a file
Export-Certificate -Cert $cert -FilePath "C:\PowerShellLocalCert.cer"

# 3. Import the certificate to Trusted Publishers and Trusted Root Certification Authorities
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\TrustedPublisher"
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\Root"

# 4. Sign the script with the certificate
Set-AuthenticodeSignature -FilePath .\Management_Install.ps1 -Certificate $cert

Komentosarjan suorituspolitiikan noudattamisen ja järjestelmän suojauksen varmistaminen

Kun hallitset Windows Server 2008 R2:ta, on erittäin tärkeää ymmärtää PowerShellissä käytettävissä olevat erilaiset suorituskäytännöt ja niiden vaikutus komentosarjan suorittamiseen. PowerShell-suorituskäytännöt on suunniteltu estämään mahdollisesti haitallisten komentosarjojen suorittaminen. Neljä pääkäytäntöä ovat **Restricted**, **AllSigned**, **RemoteSigned** ja **Unrestricted**. **Rajoitettu** on oletuskäytäntö, eikä se salli skriptien suorittamista. **AllSigned** edellyttää, että kaikki komentosarjat ja määritystiedostot on allekirjoitettava luotettavan julkaisijan toimesta. **RemoteSigned** edellyttää, että kaikki Internetistä ladatut skriptit ja määritystiedostot ovat luotettavan julkaisijan allekirjoittamia, mutta sallii paikallisesti luotujen komentosarjojen suorittamisen ilman allekirjoitusta.

Näiden käytäntöjen ymmärtäminen auttaa järjestelmänvalvojia valitsemaan ympäristölleen oikean suojaustason. Skenaarioissa, joissa komentosarjat on suoritettava säännöllisesti, käytännön asettaminen arvoon **Rajoittamaton** voi olla riskialtista, koska se sallii kaikkien komentosarjojen suorittamisen ilman rajoituksia. Sen sijaan järjestelmänvalvojien tulisi harkita **RemoteSigned**- tai **AllSigned**-toimintoa tasapainottaakseen turvallisuuden ja toiminnallisuuden. Allekirjoittamalla komentosarjoja ja hallitsemalla varmenteita järjestelmänvalvojat voivat varmistaa, että vain luotetut komentosarjat toimivat heidän järjestelmissään, mikä vähentää haitallisen koodin suorittamisen riskiä.

Yleisiä kysymyksiä ja vastauksia PowerShell-komentosarjan suorituskäytännöistä

  1. Kuinka voin tarkistaa nykyisen suorituskäytännön järjestelmässäni?
  2. Käytä komentoa Get-ExecutionPolicy PowerShellissä tarkistaaksesi nykyisen suorituskäytännön.
  3. Kuinka voin muuttaa kaikkien käyttäjien suorituskäytäntöä pysyvästi?
  4. Käytä komentoa Set-ExecutionPolicy -ExecutionPolicy [PolicyName] -Scope LocalMachine muuttaaksesi suorituskäytäntöä kaikille käyttäjille.
  5. Mitä minun pitäisi tehdä, jos kohtaan komentosarjan, jota ei voida suorittaa käytäntörajoitusten vuoksi?
  6. Aseta käytännöksi väliaikaisesti **Ohita** käyttämällä Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process ja suorita skripti.
  7. Onko turvallista käyttää **Rajoittamaton**-käytäntöä?
  8. **Rajoittamattoman**:n käyttöä ei suositella tuotantoympäristöissä, koska se sallii kaikkien komentosarjojen suorittamisen, mikä voi olla turvallisuusriski.
  9. Kuinka allekirjoitan PowerShell-skriptin?
  10. Luo itse allekirjoitettu varmenne käyttämällä New-SelfSignedCertificate ja allekirjoita sitten käsikirjoitus käyttämällä Set-AuthenticodeSignature.
  11. Voinko rajoittaa komentosarjan suorittamisen vain luotettaviin komentosarjoihin?
  12. Kyllä, asettamalla suorituskäytännöksi **AllSigned** tai **RemoteSigned** ja allekirjoittamalla komentosarjasi.
  13. Mitä eroa on **AllSigned**- ja **RemoteSigned**-käytännöillä?
  14. **AllSigned** edellyttää, että kaikki skriptit on allekirjoitettava luotettavan julkaisijan toimesta, kun taas **RemoteSigned** edellyttää vain Internetistä ladattujen komentosarjojen allekirjoittamista.
  15. Kuinka luon itse allekirjoitetun varmenteen komentosarjan allekirjoittamista varten?
  16. Käytä komentoa New-SelfSignedCertificate -DnsName "PowerShellLocalCert" -CertStoreLocation "Cert:\LocalMachine\My" luodaksesi itse allekirjoitetun varmenteen.
  17. Mitä turvallisuusriskejä komentosarjan suorituskäytäntöjen poistaminen käytöstä aiheuttaa?
  18. Komentosarjan suorituskäytäntöjen poistaminen käytöstä voi altistaa järjestelmäsi haitallisille komentosarjoille, mikä voi johtaa mahdollisiin tietoturvaloukkauksiin ja tietojen menettämiseen.

Key Takeaways

Oikean PowerShell-suorituskäytännön varmistaminen on ratkaisevan tärkeää komentosarjojen suorittamisessa Windows Server 2008 R2:ssa. Käytännön asettaminen Bypass tai erätiedostojen käyttö voi väliaikaisesti ratkaista suoritusongelmia, mutta komentosarjojen allekirjoittaminen tarjoaa turvallisemman ja pitkäaikaisen ratkaisun. Järjestelmänvalvojien tulee olla tietoisia eri toteutuskäytäntöjen turvallisuusvaikutuksista ja toteuttaa toimenpiteitä, jotka tasapainottavat turvallisuuden ja toiminnalliset tarpeet.