PowerShell skripta izpildes problēmu risināšana operētājsistēmā Windows Server 2008 R2

PowerShell skripta izpildes problēmu risināšana operētājsistēmā Windows Server 2008 R2
PowerShell skripta izpildes problēmu risināšana operētājsistēmā Windows Server 2008 R2
Daniel Marino
Piektdiena, 2024. gada 12. jūlijs 14:39:11

PowerShell skripta izpildes ierobežojumu problēmu novēršana

Strādājot ar Windows Server 2008 R2, lietotāji var saskarties ar kļūdu, kas norāda, ka PowerShell skriptu izpilde sistēmā ir atspējota. Šī problēma var rasties, mēģinot palaist skriptu, izmantojot cmd.exe, pat pēc izpildes politikas iestatīšanas uz Neierobežots.

Neskatoties uz apstiprinājumu, ka izpildes politika ir iestatīta uz Neierobežots, skriptus joprojām var neizdoties izpildīt, radot vilšanos un kavējot progresu. Šajā rokasgrāmatā tiks izpētīti šīs problēmas izplatītākie cēloņi un sniegti pasākumi, lai nodrošinātu veiksmīgu skripta izpildi.

Pavēli Apraksts
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force Pašreizējai PowerShell sesijai īslaicīgi iestata skripta izpildes politiku uz apiet, ļaujot bez ierobežojumiem izpildīt visus skriptus.
powershell -File .\Management_Install.ps1 Izpilda norādīto PowerShell skripta failu no komandrindas.
New-SelfSignedCertificate Izveido jaunu pašparakstītu sertifikātu, ko var izmantot, lai parakstītu PowerShell skriptus uzticamai izpildei.
Export-Certificate Eksportē sertifikātu failā, ko pēc tam var importēt citos sertifikātu krātuvēs.
Import-Certificate Importē sertifikātu noteiktā sertifikātu krātuvē, piemēram, Trusted Publishers vai Root Certification Authorities.
Set-AuthenticodeSignature Paraksti PowerShell skriptu ar noteiktu sertifikātu, ļaujot to izpildīt sistēmās ar iespējotām skriptu parakstīšanas politikām.

Skriptu izpildes politiku izpratne un ieviešana programmā PowerShell

Nodrošināto skriptu mērķis ir novērst PowerShell skriptu izpildes atspējošanas problēmu operētājsistēmā Windows Server 2008 R2. Pirmais skripts iestata izpildes politiku uz **Bypass** pašreizējā PowerShell sesijā, izmantojot **Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force**. Šī komanda ļauj visiem skriptiem īslaicīgi darboties bez ierobežojumiem. Pēc tam skripts pāriet uz direktoriju, kurā ir **Management_Install.ps1** skripts, un izpilda to, izmantojot **powershell .Management_Install.ps1**. Šī pieeja nodrošina, ka izpildes politikas izmaiņas ir tikai īslaicīgas un neietekmē sistēmas vispārējo drošības stāvokli.

Otrais skripts, sērijveida fails, arī iestata izpildes politiku uz **Apiet**, bet to dara komandrindā. Lai to panāktu, tiek izmantota **powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force"**. Pēc izpildes politikas maiņas skripts pāriet uz skriptu direktoriju un palaiž PowerShell skriptu, izmantojot **powershell -File .Management_Install.ps1**. Pakešu skripts beidzas ar komandu **pauze**, lai komandu uzvednes logs būtu atvērts, ļaujot lietotājam redzēt visus izvades vai kļūdu ziņojumus. Šī metode ir noderīga procesa automatizēšanai un integrēšanai lielākos pakešu procesos.

Skriptu parakstīšana un drošība programmā PowerShell

Trešais skripta piemērs parāda, kā parakstīt PowerShell skriptu, lai tas atbilstu stingrākām izpildes politikām. Vispirms tiek izveidots pašparakstīts sertifikāts, izmantojot **New-SelfSignedCertificate**. Pēc tam šo sertifikātu var eksportēt ar **Eksporta sertifikātu** un importēt uzticamos sertifikātu veikalos, izmantojot **Importa sertifikātu**. Importējot sertifikātu **TrustedPublisher** un **Root** veikalos, sistēma uzticēsies skriptiem, kas parakstīti ar šo sertifikātu. Pēc tam skripts **Management_Install.ps1** tiek parakstīts, izmantojot **Set-AuthenticodeSignature**.

Skriptu parakstīšana nodrošina, ka sistēmā var izpildīt tikai uzticamus skriptus, nodrošinot papildu drošības līmeni. Šī pieeja ir īpaši noderīga vidēs ar stingrām drošības prasībām, kur izpildes politikas ir iestatītas uz **AllSigned** vai **RemoteSigned**. Parakstot skriptu, administratori var nodrošināt, ka skripti netiek bojāti un ir no uzticama avota, tādējādi mazinot iespējamos drošības riskus. Šī metode apvieno drošību ar funkcionalitāti, ļaujot palaist nepieciešamos skriptus, vienlaikus saglabājot sistēmas integritāti.

Izpildes politikas iestatīšana apiešanai programmā PowerShell

PowerShell skripts 

# Ensure the script execution policy is set to Bypass
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force

# Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

# Execute the PowerShell script
powershell .\Management_Install.ps1

Pakešu skripta izmantošana, lai modificētu izpildes politiku un palaistu PowerShell skriptu

Pakešu skripts 

@echo off

:: Set PowerShell execution policy to Bypass
powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force"

:: Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

:: Run the PowerShell script
powershell -File .\Management_Install.ps1

pause

Parakstīta PowerShell skripta izveide

PowerShell skripts ar parakstīšanu 

# Sample script content
Write-Output "Executing Management Install Script"

# Save this script as Management_Install.ps1

# To sign the script, follow these steps:
# 1. Create a self-signed certificate (if you don't have one)
$cert = New-SelfSignedCertificate -DnsName "PowerShellLocalCert" -CertStoreLocation "Cert:\LocalMachine\My"

# 2. Export the certificate to a file
Export-Certificate -Cert $cert -FilePath "C:\PowerShellLocalCert.cer"

# 3. Import the certificate to Trusted Publishers and Trusted Root Certification Authorities
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\TrustedPublisher"
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\Root"

# 4. Sign the script with the certificate
Set-AuthenticodeSignature -FilePath .\Management_Install.ps1 -Certificate $cert

Skriptu izpildes politikas atbilstības un sistēmas drošības nodrošināšana

Pārvaldot Windows Server 2008 R2, ir ļoti svarīgi saprast dažādās PowerShell pieejamās izpildes politikas un to ietekmi uz skripta izpildi. PowerShell izpildes politikas ir izstrādātas, lai novērstu potenciāli kaitīgu skriptu izpildi. Četras galvenās politikas ir **Restricted**, **AllSigned**, **RemoteSigned** un **Unrestricted**. **Ierobežots** ir noklusējuma politika, un tā neļauj palaist nevienu skriptu. Lai izmantotu **AllSigned**, visi skripti un konfigurācijas faili ir jāparaksta uzticamam izdevējam. **RemoteSigned** pieprasa, lai visi no interneta lejupielādētie skripti un konfigurācijas faili būtu jāparaksta uzticamam izdevējam, taču tas ļauj lokāli izveidotos skriptus palaist bez paraksta.

Izpratne par šīm politikām palīdz administratoriem izvēlēties savai videi piemērotāko drošības līmeni. Gadījumos, kad skripti ir jāizpilda regulāri, politikas iestatīšana uz **Neierobežots** var būt riskanta, jo tā ļauj visiem skriptiem darboties bez jebkādiem ierobežojumiem. Tā vietā administratoriem jāapsver iespēja izmantot **RemoteSigned** vai **AllSigned**, lai līdzsvarotu drošību ar funkcionalitāti. Parakstot skriptus un pārvaldot sertifikātus, administratori var nodrošināt, ka viņu sistēmās darbojas tikai uzticami skripti, tādējādi samazinot ļaunprātīga koda palaišanas risku.

Bieži uzdotie jautājumi un atbildes par PowerShell skriptu izpildes politikām

  1. Kā es varu pārbaudīt pašreizējo izpildes politiku savā sistēmā?
  2. Izmantojiet komandu Get-ExecutionPolicy programmā PowerShell, lai pārbaudītu pašreizējo izpildes politiku.
  3. Kā es varu neatgriezeniski mainīt izpildes politiku visiem lietotājiem?
  4. Izmantojiet komandu Set-ExecutionPolicy -ExecutionPolicy [PolicyName] -Scope LocalMachine lai mainītu izpildes politiku visiem lietotājiem.
  5. Kā rīkoties, ja tiek atrasts skripts, kuru nevar izpildīt politikas ierobežojumu dēļ?
  6. Īslaicīgi iestatiet politiku uz **Apiet**, izmantojot Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process un palaist skriptu.
  7. Vai ir droši izmantot politiku **Neierobežots**?
  8. **Neierobežots** nav ieteicams izmantot ražošanas vidēs, jo tas ļauj izpildīt visus skriptus, kas var radīt drošības risku.
  9. Kā parakstīt PowerShell skriptu?
  10. Izveidojiet pašparakstītu sertifikātu, izmantojot New-SelfSignedCertificate un pēc tam parakstiet skriptu, izmantojot Set-AuthenticodeSignature.
  11. Vai es varu ierobežot skripta izpildi tikai uzticamiem skriptiem?
  12. Jā, iestatot izpildes politiku uz **AllSigned** vai **RemoteSigned** un parakstot savus skriptus.
  13. Kāda ir atšķirība starp politikām **AllSigned** un **RemoteSigned**?
  14. **AllSigned** pieprasa, lai visi skripti būtu jāparaksta uzticamam izdevējam, savukārt **RemoteSigned** ir jāparaksta tikai no interneta lejupielādētie skripti.
  15. Kā izveidot pašparakstītu sertifikātu skripta parakstīšanai?
  16. Izmantojiet komandu New-SelfSignedCertificate -DnsName "PowerShellLocalCert" -CertStoreLocation "Cert:\LocalMachine\My" lai izveidotu pašparakstītu sertifikātu.
  17. Kādi ir drošības riski, atspējojot skripta izpildes politikas?
  18. Atspējojot skriptu izpildes politikas, jūsu sistēma var tikt pakļauta ļaunprātīgiem skriptiem, izraisot iespējamus drošības pārkāpumus un datu zudumus.

Key Takeaways

Pareizas PowerShell izpildes politikas nodrošināšana ir ļoti svarīga, lai palaistu skriptus operētājsistēmā Windows Server 2008 R2. Politikas iestatīšana uz Bypass vai pakešfailu izmantošana var īslaicīgi atrisināt izpildes problēmas, taču skriptu parakstīšana piedāvā drošāku, ilgtermiņa risinājumu. Administratoriem jāapzinās dažādu izpildes politiku ietekme uz drošību un jāīsteno pasākumi, kas līdzsvaro drošību ar darbības vajadzībām.