Rješavanje problema s izvršavanjem PowerShell skripte na Windows Server 2008 R2

Rješavanje problema s izvršavanjem PowerShell skripte na Windows Server 2008 R2
Rješavanje problema s izvršavanjem PowerShell skripte na Windows Server 2008 R2
Daniel Marino
Petak, 12. srpnja 2024. u 14:11:13

Rješavanje problema s ograničenjima izvršavanja PowerShell skripte

Kada rade sa sustavom Windows Server 2008 R2, korisnici mogu naići na pogrešku koja ukazuje da je izvršenje PowerShell skripti onemogućeno u sustavu. Ovaj problem može nastati prilikom pokušaja pokretanja skripte putem cmd.exe, čak i nakon postavljanja pravila izvršavanja na Neograničeno.

Unatoč potvrđivanju da je pravilo izvršavanja postavljeno na Neograničeno, skripte se možda neće uspjeti izvršiti, uzrokujući frustraciju i ometajući napredak. Ovaj će vodič istražiti uobičajene uzroke ovog problema i dati korake za osiguranje uspješnog izvršavanja skripte.

Naredba Opis
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force Privremeno postavlja politiku izvršavanja skripte na Zaobiđi za trenutnu PowerShell sesiju, dopuštajući izvršavanje svih skripti bez ograničenja.
powershell -File .\Management_Install.ps1 Izvršava navedenu datoteku PowerShell skripte iz naredbenog retka.
New-SelfSignedCertificate Stvara novi samopotpisani certifikat koji se može koristiti za potpisivanje PowerShell skripti za pouzdano izvršavanje.
Export-Certificate Izvozi certifikat u datoteku, koja se potom može uvesti u druga spremišta certifikata.
Import-Certificate Uvozi certifikat u određeno spremište certifikata, kao što su pouzdani izdavači ili korijenska tijela za izdavanje certifikata.
Set-AuthenticodeSignature Potpisuje PowerShell skriptu s određenim certifikatom, dopuštajući njezino izvršavanje na sustavima s omogućenim pravilima potpisivanja skripte.

Razumijevanje i implementacija pravila izvršavanja skripti u PowerShell

Navedene skripte imaju za cilj riješiti problem onemogućavanja izvršavanja PowerShell skripte na Windows Server 2008 R2. Prva skripta postavlja politiku izvršavanja na **Bypass** za trenutnu PowerShell sesiju koristeći **Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force**. Ova naredba omogućuje privremeno izvođenje svih skripti bez ograničenja. Skripta zatim ide do direktorija koji sadrži skriptu **Management_Install.ps1** i izvršava je pomoću **powershell .Management_Install.ps1**. Ovaj pristup osigurava da je promjena politike izvršenja samo privremena i da ne utječe na cjelokupno sigurnosno stanje sustava.

Druga skripta, batch datoteka, također postavlja politiku izvršavanja na **Bypass**, ali to čini iz naredbenog retka. Za to koristi **powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force"**. Nakon promjene pravila izvršavanja, skripta odlazi u direktorij skripte i pokreće PowerShell skriptu koristeći **powershell -File .Management_Install.ps1**. Skupna skripta završava naredbom **pause** kako bi prozor naredbenog retka ostao otvoren, dopuštajući korisniku da vidi izlaz ili poruku o pogrešci. Ova metoda je korisna za automatizaciju procesa i njegovu integraciju u veće šaržne procese.

Potpisivanje skripte i sigurnost u PowerShell-u

Treći primjer skripte pokazuje kako potpisati skriptu PowerShell da bi bila u skladu sa strožim pravilima izvršavanja. Prvo se kreira samopotpisani certifikat pomoću **New-SelfSignedCertificate**. Taj se certifikat zatim može izvesti s **Export-Certificate** i uvesti u pouzdana spremišta certifikata pomoću **Import-Certificate**. Uvozom certifikata u trgovine **TrustedPublisher** i **Root**, sustav će vjerovati skriptama potpisanim ovim certifikatom. Skripta **Management_Install.ps1** se zatim potpisuje pomoću **Set-AuthenticodeSignature**.

Potpisivanje skripti osigurava da se samo pouzdane skripte mogu izvršavati na sustavu, pružajući dodatni sloj sigurnosti. Ovaj je pristup osobito koristan u okruženjima sa strogim sigurnosnim zahtjevima gdje su pravila izvršavanja postavljena na **AllSigned** ili **RemoteSigned**. Potpisivanjem skripte administratori mogu osigurati da se skripte ne mijenjaju i da su iz pouzdanog izvora, čime se smanjuju potencijalni sigurnosni rizici. Ova metoda kombinira sigurnost s funkcionalnošću, dopuštajući pokretanje potrebnih skripti uz održavanje integriteta sustava.

Postavljanje pravila izvršavanja za zaobilaženje u PowerShell-u

PowerShell skripta 

# Ensure the script execution policy is set to Bypass
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force

# Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

# Execute the PowerShell script
powershell .\Management_Install.ps1

Korištenje paketne skripte za izmjenu pravila izvršavanja i pokretanje PowerShell skripte

Skupna skripta 

@echo off

:: Set PowerShell execution policy to Bypass
powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force"

:: Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

:: Run the PowerShell script
powershell -File .\Management_Install.ps1

pause

Stvaranje potpisane PowerShell skripte

PowerShell skripta s potpisom 

# Sample script content
Write-Output "Executing Management Install Script"

# Save this script as Management_Install.ps1

# To sign the script, follow these steps:
# 1. Create a self-signed certificate (if you don't have one)
$cert = New-SelfSignedCertificate -DnsName "PowerShellLocalCert" -CertStoreLocation "Cert:\LocalMachine\My"

# 2. Export the certificate to a file
Export-Certificate -Cert $cert -FilePath "C:\PowerShellLocalCert.cer"

# 3. Import the certificate to Trusted Publishers and Trusted Root Certification Authorities
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\TrustedPublisher"
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\Root"

# 4. Sign the script with the certificate
Set-AuthenticodeSignature -FilePath .\Management_Install.ps1 -Certificate $cert

Osiguravanje usklađenosti s pravilima izvršavanja skripti i sigurnosti sustava

Kada upravljate sustavom Windows Server 2008 R2, ključno je razumjeti različite politike izvršavanja dostupne u PowerShell-u i kako one utječu na izvršavanje skripte. Pravila izvršavanja PowerShell-a dizajnirana su za sprječavanje izvršavanja potencijalno štetnih skripti. Četiri glavna pravila su **Ograničeno**, **Svepotpisano**, **Udaljenopotpisano** i **Neograničeno**. **Ograničeno** je zadano pravilo i ne dopušta pokretanje nijedne skripte. **AllSigned** zahtijeva da sve skripte i konfiguracijske datoteke potpiše pouzdani izdavač. **RemoteSigned** zahtijeva da sve skripte i konfiguracijske datoteke preuzete s interneta potpiše pouzdani izdavač, ali dopušta pokretanje lokalno stvorenih skripti bez potpisa.

Razumijevanje ovih pravila pomaže administratorima odabrati pravu razinu sigurnosti za svoje okruženje. U scenarijima u kojima se skripte moraju redovito izvršavati, postavljanje pravila na **Neograničeno** može biti riskantno jer dopušta svim skriptama da se izvode bez ikakvih ograničenja. Umjesto toga, administratori bi trebali razmotriti korištenje **RemoteSigned** ili **AllSigned** kako bi uravnotežili sigurnost i funkcionalnost. Potpisivanjem skripti i upravljanjem certifikatima, administratori mogu osigurati da se samo pouzdane skripte izvode na njihovim sustavima, smanjujući rizik od pokretanja zlonamjernog koda.

Uobičajena pitanja i odgovori o pravilima izvršavanja skripte PowerShell

  1. Kako mogu provjeriti trenutnu politiku izvršavanja na svom sustavu?
  2. Koristite naredbu Get-ExecutionPolicy u PowerShell za provjeru trenutne politike izvršavanja.
  3. Kako mogu trajno promijeniti politiku izvršavanja za sve korisnike?
  4. Koristite naredbu Set-ExecutionPolicy -ExecutionPolicy [PolicyName] -Scope LocalMachine za promjenu pravila izvršavanja za sve korisnike.
  5. Što trebam učiniti ako naiđem na skriptu koja se ne može izvršiti zbog ograničenja pravila?
  6. Privremeno postavite pravilo na **Bypass** pomoću Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process i pokrenite skriptu.
  7. Je li sigurno koristiti pravilo **Neograničeno**?
  8. Korištenje **Neograničeno** se ne preporučuje za proizvodna okruženja jer dopušta pokretanje svih skripti, što može predstavljati sigurnosni rizik.
  9. Kako mogu potpisati PowerShell skriptu?
  10. Stvorite samopotpisani certifikat pomoću New-SelfSignedCertificate a zatim potpišite skriptu pomoću Set-AuthenticodeSignature.
  11. Mogu li ograničiti izvršavanje skripti samo na pouzdane skripte?
  12. Da, postavljanjem pravila izvršavanja na **AllSigned** ili **RemoteSigned** i potpisivanjem vaših skripti.
  13. Koja je razlika između pravila **AllSigned** i **RemoteSigned**?
  14. **AllSigned** zahtijeva da sve skripte potpiše izdavač od povjerenja, dok **RemoteSigned** zahtijeva da budu potpisane samo skripte preuzete s interneta.
  15. Kako mogu stvoriti samopotpisani certifikat za potpisivanje skripte?
  16. Koristite naredbu New-SelfSignedCertificate -DnsName "PowerShellLocalCert" -CertStoreLocation "Cert:\LocalMachine\My" za izradu samopotpisanog certifikata.
  17. Koji su sigurnosni rizici onemogućavanja pravila izvršavanja skripte?
  18. Onemogućavanje pravila izvršavanja skripti može izložiti vaš sustav zlonamjernim skriptama, što dovodi do potencijalnih sigurnosnih proboja i gubitka podataka.

Ključni zahvati

Osiguravanje ispravne politike izvršavanja PowerShell-a ključno je za pokretanje skripti na Windows Server 2008 R2. Postavljanje pravila na Bypass ili korištenje batch datoteka može privremeno riješiti probleme s izvršavanjem, ali potpisivanje skripti nudi sigurnije, dugoročno rješenje. Administratori bi trebali biti svjesni sigurnosnih implikacija različitih politika izvršavanja i implementirati mjere koje balansiraju sigurnost i operativne potrebe.