Windows Server 2008 R2 での PowerShell スクリプト実行の問題の解決

Daniel Marino
2024年7月12日金曜日 14:33:55
PowerShell

PowerShell スクリプトの実行制限のトラブルシューティング

Windows Server 2008 R2 を使用している場合、システムで PowerShell スクリプトの実行が無効になっていることを示すエラーが発生する場合があります。この問題は、実行ポリシーを制限なしに設定した後でも、cmd.exe 経由でスクリプトを実行しようとすると発生する可能性があります。

実行ポリシーが「無制限」に設定されていることを確認しても、スクリプトの実行が失敗し、フラストレーションが生じ、進行が妨げられる場合があります。このガイドでは、この問題の一般的な原因を調査し、スクリプトを正常に実行するための手順を説明します。

指示 説明
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force 現在の PowerShell セッションのスクリプト実行ポリシーを一時的にバイパスに設定し、制限なしですべてのスクリプトの実行を許可します。
powershell -File .\Management_Install.ps1 指定された PowerShell スクリプト ファイルをコマンド ラインから実行します。
New-SelfSignedCertificate 新しい自己署名証明書を作成します。これを使用して、信頼できる実行のための PowerShell スクリプトに署名できます。
Export-Certificate 証明書をファイルにエクスポートし、他の証明書ストアにインポートできます。
Import-Certificate 信頼された発行者やルート証明機関などの指定された証明書ストアに証明書をインポートします。
Set-AuthenticodeSignature 指定された証明書を使用して PowerShell スクリプトに署名し、スクリプト署名ポリシーが有効になっているシステムでスクリプトを実行できるようにします。

PowerShell でのスクリプト実行ポリシーの理解と実装

提供されるスクリプトは、Windows Server 2008 R2 で PowerShell スクリプトの実行が無効になる問題に対処することを目的としています。最初のスクリプトは、Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force を使用して、現在の PowerShell セッションの実行ポリシーを Bypass に設定します。このコマンドを使用すると、すべてのスクリプトを一時的に制限なしで実行できます。次に、スクリプトは Management_Install.ps1 スクリプトを含むディレクトリに移動し、powershell .Management_Install.ps1 を使用してスクリプトを実行します。このアプローチにより、実行ポリシーの変更は一時的なものにすぎず、システム全体のセキュリティ体制に影響を与えません。

2 番目のスクリプトであるバッチ ファイルも実行ポリシーを バイパス に設定しますが、これはコマンド ラインから実行します。これを実現するには、powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force" を使用します。実行ポリシーを変更した後、スクリプトはスクリプト ディレクトリに移動し、powershell -File .Management_Install.ps1 を使用して PowerShell スクリプトを実行します。バッチ スクリプトは pause コマンドで終了し、コマンド プロンプト ウィンドウを開いたままにし、ユーザーが出力やエラー メッセージを確認できるようにします。この方法は、プロセスを自動化し、より大規模なバッチ プロセスに統合する場合に役立ちます。

PowerShell のスクリプト署名とセキュリティ

3 番目のスクリプトの例は、より厳格な実行ポリシーに準拠するために PowerShell スクリプトに署名する方法を示しています。まず、New-SelfSignedCertificate を使用して自己署名証明書が作成されます。この証明書は Export-Certificate を使用してエクスポートし、Import-Certificate を使用して信頼できる証明書ストアにインポートできます。証明書を TrustedPublisher ストアと Root ストアにインポートすると、システムはこの証明書で署名されたスクリプトを信頼します。次に、スクリプト Management_Install.ps1 は Set-AuthenticodeSignature を使用して署名されます。

スクリプト署名により、信頼されたスクリプトのみがシステム上で実行できるようになり、追加のセキュリティ層が提供されます。このアプローチは、実行ポリシーが AllSigned または RemoteSigned に設定されている厳しいセキュリティ要件がある環境で特に役立ちます。スクリプトに署名することで、管理者はスクリプトが改ざんされておらず、信頼できるソースからのものであることを保証できるため、潜在的なセキュリティ リスクを軽減できます。この方法ではセキュリティと機能が組み合わされており、システムの整合性を維持しながら必要なスクリプトを実行できます。

PowerShell で実行ポリシーをバイパスに設定する

PowerShell スクリプト 

# Ensure the script execution policy is set to Bypass
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force

# Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

# Execute the PowerShell script
powershell .\Management_Install.ps1

バッチ スクリプトを使用して実行ポリシーを変更し、PowerShell スクリプトを実行する

バッチスクリプト 

@echo off

:: Set PowerShell execution policy to Bypass
powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force"

:: Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

:: Run the PowerShell script
powershell -File .\Management_Install.ps1

pause

署名付き PowerShell スクリプトの作成

署名付きの PowerShell スクリプト 

# Sample script content
Write-Output "Executing Management Install Script"

# Save this script as Management_Install.ps1

# To sign the script, follow these steps:
# 1. Create a self-signed certificate (if you don't have one)
$cert = New-SelfSignedCertificate -DnsName "PowerShellLocalCert" -CertStoreLocation "Cert:\LocalMachine\My"

# 2. Export the certificate to a file
Export-Certificate -Cert $cert -FilePath "C:\PowerShellLocalCert.cer"

# 3. Import the certificate to Trusted Publishers and Trusted Root Certification Authorities
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\TrustedPublisher"
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\Root"

# 4. Sign the script with the certificate
Set-AuthenticodeSignature -FilePath .\Management_Install.ps1 -Certificate $cert

スクリプト実行ポリシーのコンプライアンスとシステムセキュリティの確保

Windows Server 2008 R2 を管理する場合、PowerShell で利用可能なさまざまな実行ポリシーと、それらがスクリプトの実行にどのような影響を与えるかを理解することが重要です。 PowerShell 実行ポリシーは、有害な可能性のあるスクリプトの実行を防止するように設計されています。 4 つの主要なポリシーは、Restricted、AllSigned、RemoteSigned、Unrestricted です。 制限付き はデフォルトのポリシーであり、スクリプトの実行を許可しません。 AllSigned では、すべてのスクリプトと構成ファイルが信頼できる発行者によって署名されている必要があります。 RemoteSigned では、インターネットからダウンロードされるすべてのスクリプトと構成ファイルが信頼できる発行者によって署名される必要がありますが、ローカルで作成されたスクリプトは署名なしで実行できます。

これらのポリシーを理解することは、管理者が環境に適切なセキュリティ レベルを選択するのに役立ちます。スクリプトを定期的に実行する必要があるシナリオでは、ポリシーを 無制限 に設定すると、すべてのスクリプトが制限なしで実行できるため、危険が伴う可能性があります。代わりに、管理者は、RemoteSigned または AllSigned を使用して、セキュリティと機能のバランスをとることを検討する必要があります。スクリプトに署名し、証明書を管理することで、管理者は信頼できるスクリプトのみがシステムで実行されるようにし、悪意のあるコードが実行されるリスクを軽減できます。

  1. システム上の現在の実行ポリシーを確認するにはどうすればよいですか?
  2. コマンドを使用する PowerShell で現在の実行ポリシーを確認します。
  3. すべてのユーザーの実行ポリシーを永続的に変更するにはどうすればよいですか?
  4. コマンドを使用する すべてのユーザーの実行ポリシーを変更します。
  5. ポリシー制限により実行できないスクリプトが発生した場合はどうすればよいですか?
  6. 次を使用して、ポリシーを バイパス に一時的に設定します。 そしてスクリプトを実行します。
  7. 無制限 ポリシーを使用しても安全ですか?
  8. Unrestricted の使用は、すべてのスクリプトの実行を許可し、セキュリティ リスクとなる可能性があるため、運用環境では推奨されません。
  9. PowerShell スクリプトに署名するにはどうすればよいですか?
  10. 次を使用して自己署名証明書を作成します。 次に、次を使用してスクリプトに署名します 。
  11. スクリプトの実行を信頼できるスクリプトのみに制限できますか?
  12. はい、実行ポリシーを AllSigned または RemoteSigned に設定し、スクリプトに署名することで可能です。
  13. AllSigned ポリシーと RemoteSigned ポリシーの違いは何ですか?
  14. AllSigned では、信頼できる発行者によるすべてのスクリプトの署名が必要ですが、RemoteSigned では、インターネットからダウンロードされたスクリプトの署名のみが必要です。
  15. スクリプト署名用の自己署名証明書を作成するにはどうすればよいですか?
  16. コマンドを使用する 自己署名証明書を作成します。
  17. スクリプト実行ポリシーを無効にすることによるセキュリティ リスクは何ですか?
  18. スクリプト実行ポリシーを無効にすると、システムが悪意のあるスクリプトにさらされる可能性があり、潜在的なセキュリティ侵害やデータ損失につながる可能性があります。

Windows Server 2008 R2 でスクリプトを実行するには、正しい PowerShell 実行ポリシーを確認することが重要です。ポリシーを次のように設定します または、バッチ ファイルを使用すると実行の問題を一時的に解決できますが、スクリプトに署名すると、より安全で長期的な解決策が得られます。管理者は、さまざまな実行ポリシーがセキュリティに与える影響を認識し、セキュリティと運用上のニーズのバランスをとる対策を実装する必要があります。