Menyelesaikan Masalah Eksekusi Skrip PowerShell di Windows Server 2008 R2

Menyelesaikan Masalah Eksekusi Skrip PowerShell di Windows Server 2008 R2
Menyelesaikan Masalah Eksekusi Skrip PowerShell di Windows Server 2008 R2
Daniel Marino
Jumat, 12 Juli 2024 14.30.23

Memecahkan Masalah Pembatasan Eksekusi Skrip PowerShell

Saat bekerja dengan Windows Server 2008 R2, pengguna mungkin mengalami kesalahan yang menunjukkan bahwa eksekusi skrip PowerShell dinonaktifkan pada sistem. Masalah ini dapat muncul ketika mencoba menjalankan skrip melalui cmd.exe, bahkan setelah mengatur kebijakan eksekusi ke Tidak Dibatasi.

Meskipun kebijakan eksekusi sudah diatur ke Tidak Dibatasi, skrip mungkin masih gagal dijalankan, sehingga menyebabkan frustrasi dan menghambat kemajuan. Panduan ini akan mengeksplorasi penyebab umum masalah ini dan memberikan langkah-langkah untuk memastikan keberhasilan eksekusi skrip.

Memerintah Keterangan
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force Menetapkan sementara kebijakan eksekusi skrip ke Lewati untuk sesi PowerShell saat ini, sehingga memungkinkan eksekusi semua skrip tanpa batasan.
powershell -File .\Management_Install.ps1 Menjalankan file skrip PowerShell yang ditentukan dari baris perintah.
New-SelfSignedCertificate Membuat sertifikat baru yang ditandatangani sendiri, yang dapat digunakan untuk menandatangani skrip PowerShell untuk eksekusi tepercaya.
Export-Certificate Mengekspor sertifikat ke file, yang kemudian dapat diimpor ke penyimpanan sertifikat lainnya.
Import-Certificate Mengimpor sertifikat ke penyimpanan sertifikat tertentu, seperti Penerbit Tepercaya atau Otoritas Sertifikasi Root.
Set-AuthenticodeSignature Menandatangani skrip PowerShell dengan sertifikat tertentu, memungkinkannya dijalankan pada sistem dengan kebijakan penandatanganan skrip diaktifkan.

Memahami dan Menerapkan Kebijakan Eksekusi Skrip di PowerShell

Skrip yang disediakan bertujuan untuk mengatasi masalah eksekusi skrip PowerShell yang dinonaktifkan pada Windows Server 2008 R2. Skrip pertama menetapkan kebijakan eksekusi ke **Bypass** untuk sesi PowerShell saat ini menggunakan **Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force**. Perintah ini memungkinkan semua skrip dijalankan tanpa batasan untuk sementara. Skrip kemudian menavigasi ke direktori yang berisi skrip **Management_Install.ps1** dan menjalankannya menggunakan **powershell .Management_Install.ps1**. Pendekatan ini memastikan bahwa perubahan kebijakan eksekusi hanya bersifat sementara dan tidak mempengaruhi postur keamanan sistem secara keseluruhan.

Skrip kedua, file batch, juga menetapkan kebijakan eksekusi ke **Bypass** tetapi melakukannya dari baris perintah. Ia menggunakan **powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force"** untuk mencapai hal ini. Setelah mengubah kebijakan eksekusi, skrip menavigasi ke direktori skrip dan menjalankan skrip PowerShell menggunakan **powershell -File .Management_Install.ps1**. Skrip batch diakhiri dengan perintah **pause** untuk menjaga jendela prompt perintah tetap terbuka, memungkinkan pengguna melihat output atau pesan kesalahan apa pun. Metode ini berguna untuk mengotomatiskan proses dan mengintegrasikannya ke dalam proses batch yang lebih besar.

Penandatanganan Skrip dan Keamanan di PowerShell

Contoh skrip ketiga menunjukkan cara menandatangani skrip PowerShell untuk mematuhi kebijakan eksekusi yang lebih ketat. Pertama, sertifikat yang ditandatangani sendiri dibuat menggunakan **New-SelfSignedCertificate**. Sertifikat ini kemudian dapat diekspor dengan **Sertifikat Ekspor** dan diimpor ke penyimpanan sertifikat tepercaya menggunakan **Sertifikat Impor**. Dengan mengimpor sertifikat ke penyimpanan **TrustedPublisher** dan **Root**, sistem akan mempercayai skrip yang ditandatangani dengan sertifikat ini. Skrip **Management_Install.ps1** kemudian ditandatangani menggunakan **Set-AuthenticodeSignature**.

Penandatanganan skrip memastikan bahwa hanya skrip tepercaya yang dapat dijalankan di sistem, sehingga memberikan lapisan keamanan tambahan. Pendekatan ini sangat berguna dalam lingkungan dengan persyaratan keamanan yang ketat di mana kebijakan eksekusi diatur ke **AllSigned** atau **RemoteSigned**. Dengan menandatangani skrip, administrator dapat memastikan bahwa skrip tersebut tidak dirusak dan berasal dari sumber tepercaya, sehingga mengurangi potensi risiko keamanan. Metode ini menggabungkan keamanan dengan fungsionalitas, memungkinkan skrip yang diperlukan dijalankan dengan tetap menjaga integritas sistem.

Mengatur Kebijakan Eksekusi untuk Melewati di PowerShell

Skrip PowerShell 

# Ensure the script execution policy is set to Bypass
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force

# Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

# Execute the PowerShell script
powershell .\Management_Install.ps1

Menggunakan Skrip Batch untuk Memodifikasi Kebijakan Eksekusi dan Menjalankan Skrip PowerShell

Skrip Batch 

@echo off

:: Set PowerShell execution policy to Bypass
powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force"

:: Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

:: Run the PowerShell script
powershell -File .\Management_Install.ps1

pause

Membuat Skrip PowerShell yang Ditandatangani

Skrip PowerShell dengan Penandatanganan 

# Sample script content
Write-Output "Executing Management Install Script"

# Save this script as Management_Install.ps1

# To sign the script, follow these steps:
# 1. Create a self-signed certificate (if you don't have one)
$cert = New-SelfSignedCertificate -DnsName "PowerShellLocalCert" -CertStoreLocation "Cert:\LocalMachine\My"

# 2. Export the certificate to a file
Export-Certificate -Cert $cert -FilePath "C:\PowerShellLocalCert.cer"

# 3. Import the certificate to Trusted Publishers and Trusted Root Certification Authorities
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\TrustedPublisher"
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\Root"

# 4. Sign the script with the certificate
Set-AuthenticodeSignature -FilePath .\Management_Install.ps1 -Certificate $cert

Memastikan Kepatuhan Kebijakan Eksekusi Skrip dan Keamanan Sistem

Saat mengelola Windows Server 2008 R2, penting untuk memahami berbagai kebijakan eksekusi yang tersedia di PowerShell dan pengaruhnya terhadap eksekusi skrip. Kebijakan eksekusi PowerShell dirancang untuk mencegah eksekusi skrip yang berpotensi membahayakan. Empat kebijakan utama adalah **Restricted**, **AllSigned**, **RemoteSigned**, dan **Unrestricted**. **Dibatasi** adalah kebijakan default dan tidak mengizinkan skrip apa pun dijalankan. **AllSigned** mengharuskan semua skrip dan file konfigurasi ditandatangani oleh penerbit tepercaya. **RemoteSigned** mengharuskan semua skrip dan file konfigurasi yang diunduh dari internet ditandatangani oleh penerbit tepercaya, namun mengizinkan skrip yang dibuat secara lokal untuk dijalankan tanpa tanda tangan.

Memahami kebijakan ini membantu administrator memilih tingkat keamanan yang tepat untuk lingkungan mereka. Dalam skenario ketika skrip perlu dijalankan secara rutin, menetapkan kebijakan ke **Tidak Dibatasi** bisa berisiko, karena memungkinkan semua skrip dijalankan tanpa batasan apa pun. Sebaliknya, administrator harus mempertimbangkan untuk menggunakan **RemoteSigned** atau **AllSigned** untuk menyeimbangkan keamanan dan fungsionalitas. Dengan menandatangani skrip dan mengelola sertifikat, administrator dapat memastikan bahwa hanya skrip tepercaya yang berjalan di sistem mereka, sehingga mengurangi risiko menjalankan kode berbahaya.

Pertanyaan dan Jawaban Umum tentang Kebijakan Eksekusi Skrip PowerShell

  1. Bagaimana cara memeriksa kebijakan eksekusi saat ini di sistem saya?
  2. Gunakan perintah Get-ExecutionPolicy di PowerShell untuk memeriksa kebijakan eksekusi saat ini.
  3. Bagaimana cara mengubah kebijakan eksekusi untuk semua pengguna secara permanen?
  4. Gunakan perintah Set-ExecutionPolicy -ExecutionPolicy [PolicyName] -Scope LocalMachine untuk mengubah kebijakan eksekusi untuk semua pengguna.
  5. Apa yang harus saya lakukan jika saya menemukan skrip yang tidak dapat dijalankan karena batasan kebijakan?
  6. Tetapkan kebijakan untuk sementara ke **Bypass** menggunakan Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process dan jalankan skripnya.
  7. Apakah aman menggunakan kebijakan **Tidak Dibatasi**?
  8. Penggunaan **Tidak Terbatas** tidak disarankan untuk lingkungan produksi karena memungkinkan semua skrip dijalankan, yang dapat menimbulkan risiko keamanan.
  9. Bagaimana cara menandatangani skrip PowerShell?
  10. Buat sertifikat yang ditandatangani sendiri menggunakan New-SelfSignedCertificate dan kemudian menandatangani skrip menggunakan Set-AuthenticodeSignature.
  11. Bisakah saya membatasi eksekusi skrip hanya pada skrip tepercaya?
  12. Ya, dengan menyetel kebijakan eksekusi ke **AllSigned** atau **RemoteSigned** dan menandatangani skrip Anda.
  13. Apa perbedaan antara kebijakan **AllSigned** dan **RemoteSigned**?
  14. **AllSigned** mengharuskan semua skrip ditandatangani oleh penerbit tepercaya, sedangkan **RemoteSigned** hanya memerlukan skrip yang diunduh dari internet untuk ditandatangani.
  15. Bagaimana cara membuat sertifikat yang ditandatangani sendiri untuk penandatanganan skrip?
  16. Gunakan perintah New-SelfSignedCertificate -DnsName "PowerShellLocalCert" -CertStoreLocation "Cert:\LocalMachine\My" untuk membuat sertifikat yang ditandatangani sendiri.
  17. Apa risiko keamanan dari menonaktifkan kebijakan eksekusi skrip?
  18. Menonaktifkan kebijakan eksekusi skrip dapat membuat sistem Anda terkena skrip berbahaya, sehingga berpotensi menyebabkan pelanggaran keamanan dan kehilangan data.

Poin Penting

Memastikan kebijakan eksekusi PowerShell yang benar sangat penting untuk menjalankan skrip di Windows Server 2008 R2. Menetapkan kebijakan menjadi Bypass atau menggunakan file batch dapat menyelesaikan masalah eksekusi untuk sementara, namun skrip penandatanganan menawarkan solusi jangka panjang yang lebih aman. Administrator harus menyadari implikasi keamanan dari kebijakan pelaksanaan yang berbeda dan menerapkan langkah-langkah yang menyeimbangkan keamanan dengan kebutuhan operasional.