PowerShell-komentosarjan suoritusongelmien ratkaiseminen Windows Server 2008 R2:ssa

Daniel Marino
Perjantai 12. heinäkuuta 2024 klo 14.20.03
PowerShell

PowerShell-komentosarjan suoritusrajoitusten vianmääritys

Kun työskentelet Windows Server 2008 R2:n kanssa, käyttäjät voivat kohdata virheen, joka osoittaa, että PowerShell-komentosarjojen suorittaminen on poistettu käytöstä järjestelmässä. Tämä ongelma voi ilmetä yritettäessä ajaa komentosarjaa cmd.exe-tiedoston kautta, vaikka suorituskäytännöksi olisi asetettu Rajoittamaton.

Huolimatta vahvistuksesta, että suorituskäytännöksi on asetettu Rajoittamaton, komentosarjat saattavat silti epäonnistua, mikä aiheuttaa turhautumista ja haittaa edistymistä. Tässä oppaassa tarkastellaan tämän ongelman yleisiä syitä ja annetaan vaiheita, joilla varmistetaan komentosarjan onnistunut suorittaminen.

Komento Kuvaus
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force Asettaa väliaikaisesti komentosarjan suorituskäytännöksi Ohita nykyisessä PowerShell-istunnossa, jolloin kaikki komentosarjat voidaan suorittaa ilman rajoituksia.
powershell -File .\Management_Install.ps1 Suorittaa määritetyn PowerShell-komentosarjatiedoston komentoriviltä.
New-SelfSignedCertificate Luo uuden itseallekirjoitetun varmenteen, jota voidaan käyttää PowerShell-komentosarjojen allekirjoittamiseen luotettavaa suoritusta varten.
Export-Certificate Vie sertifikaatin tiedostoon, joka voidaan sitten tuoda muihin varmennevarastoihin.
Import-Certificate Tuo varmenteen tiettyyn varmennevarastoon, kuten Trusted Publishers tai Root Certification Authorities.
Set-AuthenticodeSignature Allekirjoittaa PowerShell-komentosarjan määritetyllä varmenteella, jolloin se voidaan suorittaa järjestelmissä, joissa komentosarjan allekirjoituskäytännöt ovat käytössä.

PowerShellin komentosarjan suorituskäytäntöjen ymmärtäminen ja käyttöönotto

Toimitetut komentosarjat pyrkivät ratkaisemaan ongelman, joka liittyy PowerShell-komentosarjan suorittamisen estoon Windows Server 2008 R2:ssa. Ensimmäinen komentosarja asettaa suorituskäytännöksi Bypass nykyiselle PowerShell-istunnolle käyttämällä Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force -toimintoa. Tämä komento sallii kaikkien komentosarjojen suorittamisen ilman rajoituksia tilapäisesti. Komentosarja siirtyy sitten hakemistoon, joka sisältää Management_Install.ps1-komentosarjan, ja suorittaa sen käyttämällä powershell-komentoa .Management_Install.ps1. Tämä lähestymistapa varmistaa, että suorituskäytännön muutos on vain väliaikainen eikä vaikuta järjestelmän yleiseen suojausasentoon.

Toinen komentosarja, erätiedosto, asettaa myös suorituskäytännöksi Ohita, mutta tekee sen komentoriviltä. Se käyttää powershell -komentoa "Set-ExecutionPolicy Bypass -Scope Process -Force" tämän saavuttamiseksi. Suorituskäytännön muuttamisen jälkeen komentosarja siirtyy komentosarjahakemistoon ja suorittaa PowerShell-komentosarjan käyttämällä powershell -tiedostoa .Management_Install.ps1. Eräkomentosarja päättyy tauko-komennolla, jotta komentokehoteikkuna pysyy auki, jolloin käyttäjä voi nähdä kaikki tulosteet tai virheilmoitukset. Tämä menetelmä on hyödyllinen prosessin automatisoinnissa ja integroinnissa suurempiin eräprosesseihin.

Komentosarjan allekirjoitus ja suojaus PowerShellissä

Kolmas komentosarjaesimerkki osoittaa, kuinka PowerShell-komentosarja allekirjoitetaan tiukempien suorituskäytäntöjen noudattamiseksi. Ensin luodaan itse allekirjoitettu varmenne New-SelfSignedCertificate avulla. Tämä varmenne voidaan sitten viedä Export-Certificate -sovelluksella ja tuoda luotettuihin varmennevarastoihin Import-Certificate -sovelluksella. Kun sertifikaatti tuodaan TrustedPublisher- ja Root-kauppoihin, järjestelmä luottaa tällä varmenteella allekirjoitettuihin komentosarjoihin. Komentosarja Management_Install.ps1 allekirjoitetaan sitten komennolla Set-AuthenticodeSignature.

Komentosarjan allekirjoitus varmistaa, että vain luotetut komentosarjat voivat suorittaa järjestelmässä, mikä tarjoaa lisäsuojaustasoa. Tämä lähestymistapa on erityisen hyödyllinen ympäristöissä, joissa on tiukat tietoturvavaatimukset ja joissa suorituskäytännöt on asetettu arvoon AllSigned tai RemoteSigned. Allekirjoittamalla komentosarjan järjestelmänvalvojat voivat varmistaa, että komentosarjoja ei peukaloida ja että ne ovat peräisin luotettavasta lähteestä, mikä vähentää mahdollisia tietoturvariskejä. Tämä menetelmä yhdistää suojauksen ja toiminnallisuuden, mikä mahdollistaa tarvittavien komentosarjojen suorittamisen järjestelmän eheyden säilyttäen.

Suorituskäytännön asettaminen ohitukselle PowerShellissä

PowerShell-skripti 

# Ensure the script execution policy is set to Bypass
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force

# Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

# Execute the PowerShell script
powershell .\Management_Install.ps1

Eräkomentosarjan käyttäminen suorituskäytännön muokkaamiseen ja PowerShell-skriptin suorittamiseen

Eräskripti 

@echo off

:: Set PowerShell execution policy to Bypass
powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force"

:: Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

:: Run the PowerShell script
powershell -File .\Management_Install.ps1

pause

Allekirjoitetun PowerShell-komentosarjan luominen

PowerShell-skripti allekirjoituksella 

# Sample script content
Write-Output "Executing Management Install Script"

# Save this script as Management_Install.ps1

# To sign the script, follow these steps:
# 1. Create a self-signed certificate (if you don't have one)
$cert = New-SelfSignedCertificate -DnsName "PowerShellLocalCert" -CertStoreLocation "Cert:\LocalMachine\My"

# 2. Export the certificate to a file
Export-Certificate -Cert $cert -FilePath "C:\PowerShellLocalCert.cer"

# 3. Import the certificate to Trusted Publishers and Trusted Root Certification Authorities
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\TrustedPublisher"
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\Root"

# 4. Sign the script with the certificate
Set-AuthenticodeSignature -FilePath .\Management_Install.ps1 -Certificate $cert

Komentosarjan suorituspolitiikan noudattamisen ja järjestelmän suojauksen varmistaminen

Kun hallitset Windows Server 2008 R2:ta, on erittäin tärkeää ymmärtää PowerShellissä käytettävissä olevat erilaiset suorituskäytännöt ja niiden vaikutus komentosarjan suorittamiseen. PowerShell-suorituskäytännöt on suunniteltu estämään mahdollisesti haitallisten komentosarjojen suorittaminen. Neljä pääkäytäntöä ovat Restricted, AllSigned, RemoteSigned ja Unrestricted. Rajoitettu on oletuskäytäntö, eikä se salli skriptien suorittamista. AllSigned edellyttää, että kaikki komentosarjat ja määritystiedostot on allekirjoitettava luotettavan julkaisijan toimesta. RemoteSigned edellyttää, että kaikki Internetistä ladatut skriptit ja määritystiedostot ovat luotettavan julkaisijan allekirjoittamia, mutta sallii paikallisesti luotujen komentosarjojen suorittamisen ilman allekirjoitusta.

Näiden käytäntöjen ymmärtäminen auttaa järjestelmänvalvojia valitsemaan ympäristölleen oikean suojaustason. Skenaarioissa, joissa komentosarjat on suoritettava säännöllisesti, käytännön asettaminen arvoon Rajoittamaton voi olla riskialtista, koska se sallii kaikkien komentosarjojen suorittamisen ilman rajoituksia. Sen sijaan järjestelmänvalvojien tulisi harkita RemoteSigned- tai AllSigned-toimintoa tasapainottaakseen turvallisuuden ja toiminnallisuuden. Allekirjoittamalla komentosarjoja ja hallitsemalla varmenteita järjestelmänvalvojat voivat varmistaa, että vain luotetut komentosarjat toimivat heidän järjestelmissään, mikä vähentää haitallisen koodin suorittamisen riskiä.

  1. Kuinka voin tarkistaa nykyisen suorituskäytännön järjestelmässäni?
  2. Käytä komentoa PowerShellissä tarkistaaksesi nykyisen suorituskäytännön.
  3. Kuinka voin muuttaa kaikkien käyttäjien suorituskäytäntöä pysyvästi?
  4. Käytä komentoa muuttaaksesi suorituskäytäntöä kaikille käyttäjille.
  5. Mitä minun pitäisi tehdä, jos kohtaan komentosarjan, jota ei voida suorittaa käytäntörajoitusten vuoksi?
  6. Aseta käytännöksi väliaikaisesti Ohita käyttämällä ja suorita skripti.
  7. Onko turvallista käyttää Rajoittamaton-käytäntöä?
  8. Rajoittamattoman:n käyttöä ei suositella tuotantoympäristöissä, koska se sallii kaikkien komentosarjojen suorittamisen, mikä voi olla turvallisuusriski.
  9. Kuinka allekirjoitan PowerShell-skriptin?
  10. Luo itse allekirjoitettu varmenne käyttämällä ja allekirjoita sitten käsikirjoitus käyttämällä .
  11. Voinko rajoittaa komentosarjan suorittamisen vain luotettaviin komentosarjoihin?
  12. Kyllä, asettamalla suorituskäytännöksi AllSigned tai RemoteSigned ja allekirjoittamalla komentosarjasi.
  13. Mitä eroa on AllSigned- ja RemoteSigned-käytännöillä?
  14. AllSigned edellyttää, että kaikki skriptit on allekirjoitettava luotettavan julkaisijan toimesta, kun taas RemoteSigned edellyttää vain Internetistä ladattujen komentosarjojen allekirjoittamista.
  15. Kuinka luon itse allekirjoitetun varmenteen komentosarjan allekirjoittamista varten?
  16. Käytä komentoa luodaksesi itse allekirjoitetun varmenteen.
  17. Mitä turvallisuusriskejä komentosarjan suorituskäytäntöjen poistaminen käytöstä aiheuttaa?
  18. Komentosarjan suorituskäytäntöjen poistaminen käytöstä voi altistaa järjestelmäsi haitallisille komentosarjoille, mikä voi johtaa mahdollisiin tietoturvaloukkauksiin ja tietojen menettämiseen.

Oikean PowerShell-suorituskäytännön varmistaminen on ratkaisevan tärkeää komentosarjojen suorittamisessa Windows Server 2008 R2:ssa. Käytännön asettaminen tai erätiedostojen käyttö voi väliaikaisesti ratkaista suoritusongelmia, mutta komentosarjojen allekirjoittaminen tarjoaa turvallisemman ja pitkäaikaisen ratkaisun. Järjestelmänvalvojien tulee olla tietoisia eri toteutuskäytäntöjen turvallisuusvaikutuksista ja toteuttaa toimenpiteitä, jotka tasapainottavat turvallisuuden ja toiminnalliset tarpeet.