PowerShell-parancsfájl-végrehajtási problémák megoldása Windows Server 2008 R2 rendszeren

PowerShell-parancsfájl-végrehajtási problémák megoldása Windows Server 2008 R2 rendszeren
PowerShell-parancsfájl-végrehajtási problémák megoldása Windows Server 2008 R2 rendszeren
Daniel Marino
2024. július 12., péntek 14:28:41

A PowerShell-parancsfájl-végrehajtási korlátozások hibaelhárítása

Amikor a Windows Server 2008 R2 rendszerrel dolgozik, a felhasználók hibát észlelhetnek, amely azt jelzi, hogy a PowerShell-parancsfájlok végrehajtása le van tiltva a rendszeren. Ez a probléma akkor fordulhat elő, ha egy parancsfájlt cmd.exe fájlon keresztül próbál futtatni, még akkor is, ha a végrehajtási házirendet Korlátlan értékre állította.

Annak ellenére, hogy megerősítettük, hogy a végrehajtási házirend Korlátlan értékre van állítva, előfordulhat, hogy a szkriptek végrehajtása mégsem sikerül, ami frusztrációt okoz és akadályozza a haladást. Ez az útmutató feltárja a probléma gyakori okait, és lépéseket tesz a szkript sikeres végrehajtásához.

Parancs Leírás
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force Ideiglenesen áthidalásra állítja a parancsfájl-végrehajtási házirendet az aktuális PowerShell-munkamenethez, lehetővé téve az összes parancsfájl korlátozás nélküli végrehajtását.
powershell -File .\Management_Install.ps1 A parancssorból végrehajtja a megadott PowerShell-parancsfájlt.
New-SelfSignedCertificate Létrehoz egy új önaláírt tanúsítványt, amellyel aláírhatja a PowerShell-parancsfájlokat a megbízható végrehajtás érdekében.
Export-Certificate Exportál egy tanúsítványt egy fájlba, amely ezután importálható más tanúsítványtárolókba.
Import-Certificate Tanúsítványt importál egy megadott tanúsítványtárolóba, például a Trusted Publishers vagy a Root Certification Authorities közé.
Set-AuthenticodeSignature Aláír egy PowerShell-szkriptet egy megadott tanúsítvánnyal, lehetővé téve annak végrehajtását olyan rendszereken, amelyeken engedélyezve vannak a szkript-aláírási házirendek.

A parancsfájl-végrehajtási szabályzatok megértése és megvalósítása a PowerShellben

A rendelkezésre bocsátott szkriptek célja a PowerShell-parancsfájl-végrehajtás letiltásának problémája a Windows Server 2008 R2 rendszeren. Az első szkript a végrehajtási házirendet **Bypass** értékre állítja be az aktuális PowerShell-munkamenethez a **Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force** használatával. Ez a parancs lehetővé teszi az összes szkript ideiglenes korlátozás nélküli futtatását. A szkript ezután a **Management_Install.ps1** szkriptet tartalmazó könyvtárba navigál, és a **powershell .Management_Install.ps1** használatával végrehajtja. Ez a megközelítés biztosítja, hogy a végrehajtási szabályzat módosítása csak ideiglenes, és ne legyen hatással a rendszer általános biztonsági helyzetére.

A második szkript, egy kötegfájl, szintén **Bypass**-ra állítja a végrehajtási szabályzatot, de ezt a parancssorból teszi. Ehhez a **powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force"** parancsot használja. A végrehajtási szabályzat módosítása után a szkript a szkriptkönyvtárba navigál, és a **powershell -File .Management_Install.ps1** használatával futtatja a PowerShell-szkriptet. A kötegelt szkript egy **pause** paranccsal végződik, hogy a parancssor ablaka nyitva maradjon, így a felhasználó láthatja a kimeneti vagy hibaüzeneteket. Ez a módszer a folyamat automatizálására és nagyobb kötegelt folyamatokba való integrálására szolgál.

Script aláírás és biztonság a PowerShellben

A harmadik szkriptpélda bemutatja, hogyan írhat alá egy PowerShell-szkriptet a szigorúbb végrehajtási szabályoknak való megfelelés érdekében. Először egy önaláírt tanúsítvány jön létre a **New-SelfSignedCertificate** használatával. Ezt a tanúsítványt ezután az **Export-Certificate** segítségével exportálhatja, és az **Import-Certificate** segítségével megbízható tanúsítványtárolókba importálhatja. Ha importálja a tanúsítványt a **TrustedPublisher** és **Root** tárolókba, a rendszer megbízik az ezzel a tanúsítvánnyal aláírt szkriptekben. A **Management_Install.ps1** szkript ezután aláírásra kerül a **Set-AuthenticodeSignature** használatával.

A szkript-aláírás biztosítja, hogy csak megbízható szkriptek futhassanak a rendszeren, ami további biztonsági réteget biztosít. Ez a megközelítés különösen hasznos olyan szigorú biztonsági követelményeket támasztó környezetekben, ahol a végrehajtási házirendek **AllSigned** vagy **RemoteSigned** értékre vannak állítva. A szkript aláírásával az adminisztrátorok biztosíthatják, hogy a szkripteket ne manipulálják, és megbízható forrásból származzanak, így csökkentve a lehetséges biztonsági kockázatokat. Ez a módszer egyesíti a biztonságot a funkcionalitással, lehetővé téve a szükséges parancsfájlok futtatását a rendszer integritásának megőrzése mellett.

Végrehajtási házirend beállítása megkerülésre a PowerShellben

PowerShell Script 

# Ensure the script execution policy is set to Bypass
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force

# Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

# Execute the PowerShell script
powershell .\Management_Install.ps1

Batch Script használata a végrehajtási házirend módosításához és a PowerShell Script futtatásához

Batch Script 

@echo off

:: Set PowerShell execution policy to Bypass
powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force"

:: Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

:: Run the PowerShell script
powershell -File .\Management_Install.ps1

pause

Aláírt PowerShell-szkript létrehozása

PowerShell-szkript aláírással 

# Sample script content
Write-Output "Executing Management Install Script"

# Save this script as Management_Install.ps1

# To sign the script, follow these steps:
# 1. Create a self-signed certificate (if you don't have one)
$cert = New-SelfSignedCertificate -DnsName "PowerShellLocalCert" -CertStoreLocation "Cert:\LocalMachine\My"

# 2. Export the certificate to a file
Export-Certificate -Cert $cert -FilePath "C:\PowerShellLocalCert.cer"

# 3. Import the certificate to Trusted Publishers and Trusted Root Certification Authorities
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\TrustedPublisher"
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\Root"

# 4. Sign the script with the certificate
Set-AuthenticodeSignature -FilePath .\Management_Install.ps1 -Certificate $cert

A parancsfájl-végrehajtási szabályzatnak való megfelelés és a rendszerbiztonság biztosítása

A Windows Server 2008 R2 kezelése során alapvető fontosságú, hogy megértsük a PowerShellben elérhető különböző végrehajtási házirendeket, és hogy ezek hogyan befolyásolják a szkriptek végrehajtását. A PowerShell végrehajtási házirendjeit úgy tervezték, hogy megakadályozzák a potenciálisan káros szkriptek végrehajtását. A négy fő irányelv a **Korlátozott**, **AllSigned**, **RemoteSigned** és **Unrestricted**. A **Korlátozott** az alapértelmezett házirend, és nem engedélyezi a szkriptek futtatását. Az **AllSigned** használatához minden szkriptet és konfigurációs fájlt alá kell írnia egy megbízható kiadónak. A **RemoteSigned** megköveteli, hogy az internetről letöltött összes szkriptet és konfigurációs fájlt megbízható kiadó írja alá, de lehetővé teszi a helyileg létrehozott szkriptek aláírás nélküli futtatását.

Ezeknek a házirendeknek a megértése segít a rendszergazdáknak kiválasztani a környezetüknek megfelelő biztonsági szintet. Azokban a helyzetekben, amikor a szkripteket rendszeresen kell végrehajtani, a házirend **Korlátlan** értékre állítása kockázatos lehet, mivel lehetővé teszi az összes szkript korlátozás nélküli futtatását. Ehelyett a rendszergazdáknak fontolóra kell venniük a **RemoteSigned** vagy **AllSigned** használatát a biztonság és a funkcionalitás közötti egyensúly érdekében. A parancsfájlok aláírásával és a tanúsítványok kezelésével az adminisztrátorok biztosíthatják, hogy csak megbízható szkriptek fussanak rendszereiken, csökkentve ezzel a rosszindulatú kód futtatásának kockázatát.

Gyakori kérdések és válaszok a PowerShell-parancsfájl-végrehajtási szabályzatokkal kapcsolatban

  1. Hogyan ellenőrizhetem a jelenlegi végrehajtási szabályzatot a rendszeremen?
  2. Használja a parancsot Get-ExecutionPolicy a PowerShellben az aktuális végrehajtási házirend ellenőrzéséhez.
  3. Hogyan módosíthatom véglegesen az összes felhasználó végrehajtási szabályzatát?
  4. Használja a parancsot Set-ExecutionPolicy -ExecutionPolicy [PolicyName] -Scope LocalMachine az összes felhasználó végrehajtási szabályzatának módosításához.
  5. Mi a teendő, ha olyan szkripttel találkozom, amely a házirend-korlátozások miatt nem hajtható végre?
  6. Ideiglenesen állítsa a házirendet **Bypass** értékre a használatával Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process és futtassa a szkriptet.
  7. Biztonságos a **Korlátlan** szabályzat alkalmazása?
  8. A **Unrestricted** használata nem javasolt éles környezetben, mivel lehetővé teszi az összes szkript futtatását, ami biztonsági kockázatot jelenthet.
  9. Hogyan írhatok alá egy PowerShell-szkriptet?
  10. Hozzon létre egy önaláírt tanúsítványt a segítségével New-SelfSignedCertificate majd aláírja a szkriptet a használatával Set-AuthenticodeSignature.
  11. Korlátozhatom a szkriptek végrehajtását csak megbízható szkriptekre?
  12. Igen, ha a végrehajtási házirendet **AllSigned** vagy **RemoteSigned** értékre állítja, és aláírja a szkripteket.
  13. Mi a különbség az **AllSigned** és a **RemoteSigned** irányelvek között?
  14. Az **AllSigned** esetén minden szkriptet megbízható kiadónak kell aláírnia, míg a **RemoteSigned** használatához csak az internetről letöltött szkripteket kell aláírni.
  15. Hogyan hozhatok létre önaláírt tanúsítványt szkript-aláíráshoz?
  16. Használja a parancsot New-SelfSignedCertificate -DnsName "PowerShellLocalCert" -CertStoreLocation "Cert:\LocalMachine\My" önaláírt tanúsítvány létrehozásához.
  17. Milyen biztonsági kockázatokkal jár a parancsfájl-végrehajtási szabályzatok letiltása?
  18. A parancsfájl-végrehajtási házirendek letiltása rosszindulatú szkripteknek teheti ki a rendszert, ami potenciális biztonsági résekhez és adatvesztéshez vezethet.

Kulcs elvitelek

A megfelelő PowerShell-végrehajtási házirend biztosítása kulcsfontosságú a parancsfájlok Windows Server 2008 R2 rendszeren történő futtatásához. A házirend beállítása Bypass vagy kötegfájlok használata ideiglenesen megoldhatja a végrehajtási problémákat, de a szkriptek aláírása biztonságosabb, hosszú távú megoldást kínál. Az adminisztrátoroknak tisztában kell lenniük a különböző végrehajtási politikák biztonsági vonatkozásaival, és olyan intézkedéseket kell végrehajtaniuk, amelyek egyensúlyban tartják a biztonságot a működési igényekkel.