Problemen met de uitvoering van PowerShell-scripts oplossen op Windows Server 2008 R2

Problemen met de uitvoering van PowerShell-scripts oplossen op Windows Server 2008 R2
Problemen met de uitvoering van PowerShell-scripts oplossen op Windows Server 2008 R2
Daniel Marino
Vrijdag 12 juli 2024 om 14:16:32

Problemen met uitvoeringsbeperkingen voor PowerShell-scripts oplossen

Bij het werken met Windows Server 2008 R2 kunnen gebruikers een foutmelding tegenkomen die aangeeft dat de uitvoering van PowerShell-scripts op het systeem is uitgeschakeld. Dit probleem kan zich voordoen wanneer u probeert een script uit te voeren via cmd.exe, zelfs nadat u het uitvoeringsbeleid hebt ingesteld op Onbeperkt.

Ondanks de bevestiging dat het uitvoeringsbeleid is ingesteld op Onbeperkt, kunnen scripts nog steeds niet worden uitgevoerd, wat frustratie veroorzaakt en de voortgang belemmert. In deze handleiding worden de veelvoorkomende oorzaken van dit probleem onderzocht en worden stappen gegeven om een ​​succesvolle uitvoering van het script te garanderen.

Commando Beschrijving
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force Stelt het scriptuitvoeringsbeleid tijdelijk in op Bypass voor de huidige PowerShell-sessie, waardoor de uitvoering van alle scripts zonder beperkingen mogelijk is.
powershell -File .\Management_Install.ps1 Voert het opgegeven PowerShell-scriptbestand uit vanaf de opdrachtregel.
New-SelfSignedCertificate Creëert een nieuw zelfondertekend certificaat, dat kan worden gebruikt om PowerShell-scripts te ondertekenen voor vertrouwde uitvoering.
Export-Certificate Exporteert een certificaat naar een bestand, dat vervolgens in andere certificaatarchieven kan worden geïmporteerd.
Import-Certificate Importeert een certificaat in een opgegeven certificaatarchief, zoals vertrouwde uitgevers of basiscertificeringsinstanties.
Set-AuthenticodeSignature Ondertekent een PowerShell-script met een opgegeven certificaat, waardoor het kan worden uitgevoerd op systemen waarop het scriptondertekeningsbeleid is ingeschakeld.

Scriptuitvoeringsbeleid in PowerShell begrijpen en implementeren

De meegeleverde scripts zijn bedoeld om het probleem op te lossen waarbij de uitvoering van PowerShell-scripts is uitgeschakeld op Windows Server 2008 R2. Het eerste script stelt het uitvoeringsbeleid in op **Bypass** voor de huidige PowerShell-sessie met behulp van **Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force**. Met deze opdracht kunnen alle scripts tijdelijk zonder beperkingen worden uitgevoerd. Het script navigeert vervolgens naar de map met het script **Management_Install.ps1** en voert het uit met behulp van **powershell .Management_Install.ps1**. Deze aanpak zorgt ervoor dat de wijziging in het uitvoeringsbeleid slechts tijdelijk is en geen invloed heeft op de algehele beveiligingssituatie van het systeem.

Het tweede script, een batchbestand, stelt het uitvoeringsbeleid ook in op **Bypass**, maar doet dit vanaf de opdrachtregel. Het gebruikt **powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force"** om dit te bereiken. Nadat het uitvoeringsbeleid is gewijzigd, navigeert het script naar de scriptmap en voert het PowerShell-script uit met behulp van **powershell -File .Management_Install.ps1**. Het batchscript eindigt met een **pauze**-opdracht om het opdrachtpromptvenster open te houden, zodat de gebruiker eventuele uitvoer- of foutmeldingen kan zien. Deze methode is handig om het proces te automatiseren en te integreren in grotere batchprocessen.

Scriptondertekening en beveiliging in PowerShell

In het derde scriptvoorbeeld ziet u hoe u een PowerShell-script kunt ondertekenen om te voldoen aan een strenger uitvoeringsbeleid. Eerst wordt een zelfondertekend certificaat gemaakt met behulp van **New-SelfSignedCertificate**. Dit certificaat kan vervolgens worden geëxporteerd met **Export-Certificate** en geïmporteerd in vertrouwde certificaatarchieven met behulp van **Import-Certificate**. Door het certificaat in de **TrustedPublisher**- en **Root**-winkels te importeren, vertrouwt het systeem scripts die met dit certificaat zijn ondertekend. Het script **Management_Install.ps1** wordt vervolgens ondertekend met **Set-AuthenticodeSignature**.

Scriptondertekening zorgt ervoor dat alleen vertrouwde scripts op het systeem kunnen worden uitgevoerd, wat een extra beveiligingslaag oplevert. Deze aanpak is vooral handig in omgevingen met strenge beveiligingsvereisten waar het uitvoeringsbeleid is ingesteld op **AllSigned** of **RemoteSigned**. Door het script te ondertekenen kunnen beheerders ervoor zorgen dat er niet met de scripts wordt geknoeid en dat ze afkomstig zijn van een vertrouwde bron, waardoor potentiële veiligheidsrisico's worden beperkt. Deze methode combineert beveiliging met functionaliteit, waardoor de benodigde scripts kunnen worden uitgevoerd terwijl de systeemintegriteit behouden blijft.

Uitvoeringsbeleid instellen op omzeilen in PowerShell

PowerShell-script 

# Ensure the script execution policy is set to Bypass
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force

# Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

# Execute the PowerShell script
powershell .\Management_Install.ps1

Batchscript gebruiken om het uitvoeringsbeleid te wijzigen en PowerShell-script uit te voeren

Batch-script 

@echo off

:: Set PowerShell execution policy to Bypass
powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force"

:: Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

:: Run the PowerShell script
powershell -File .\Management_Install.ps1

pause

Een ondertekend PowerShell-script maken

PowerShell-script met ondertekening 

# Sample script content
Write-Output "Executing Management Install Script"

# Save this script as Management_Install.ps1

# To sign the script, follow these steps:
# 1. Create a self-signed certificate (if you don't have one)
$cert = New-SelfSignedCertificate -DnsName "PowerShellLocalCert" -CertStoreLocation "Cert:\LocalMachine\My"

# 2. Export the certificate to a file
Export-Certificate -Cert $cert -FilePath "C:\PowerShellLocalCert.cer"

# 3. Import the certificate to Trusted Publishers and Trusted Root Certification Authorities
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\TrustedPublisher"
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\Root"

# 4. Sign the script with the certificate
Set-AuthenticodeSignature -FilePath .\Management_Install.ps1 -Certificate $cert

Zorgen voor naleving van het beleid voor scriptuitvoering en systeembeveiliging

Bij het beheren van Windows Server 2008 R2 is het van cruciaal belang om de verschillende uitvoeringsbeleidsvormen die beschikbaar zijn in PowerShell te begrijpen en hoe deze de uitvoering van scripts beïnvloeden. Het PowerShell-uitvoeringsbeleid is ontworpen om de uitvoering van mogelijk schadelijke scripts te voorkomen. De vier belangrijkste beleidsregels zijn **Beperkt**, **AllSigned**, **RemoteSigned** en **Onbeperkt**. **Beperkt** is het standaardbeleid en staat niet toe dat scripts worden uitgevoerd. **AllSigned** vereist dat alle scripts en configuratiebestanden zijn ondertekend door een vertrouwde uitgever. **RemoteSigned** vereist dat alle scripts en configuratiebestanden die van internet worden gedownload, worden ondertekend door een vertrouwde uitgever, maar staat toe dat lokaal gemaakte scripts zonder handtekening worden uitgevoerd.

Als u dit beleid begrijpt, kunnen beheerders het juiste beveiligingsniveau voor hun omgeving kiezen. In scenario's waarin scripts regelmatig moeten worden uitgevoerd, kan het instellen van het beleid op **Onbeperkt** riskant zijn, omdat alle scripts hierdoor zonder enige beperking kunnen worden uitgevoerd. In plaats daarvan kunnen beheerders overwegen om **RemoteSigned** of **AllSigned** te gebruiken om een ​​balans te vinden tussen beveiliging en functionaliteit. Door scripts te ondertekenen en certificaten te beheren, kunnen beheerders ervoor zorgen dat alleen vertrouwde scripts op hun systemen worden uitgevoerd, waardoor het risico op het uitvoeren van kwaadaardige code wordt verkleind.

Veelgestelde vragen en antwoorden over het uitvoeringsbeleid voor PowerShell-scripts

  1. Hoe controleer ik het huidige uitvoeringsbeleid op mijn systeem?
  2. Gebruik de opdracht Get-ExecutionPolicy in PowerShell om het huidige uitvoeringsbeleid te controleren.
  3. Hoe kan ik het uitvoeringsbeleid voor alle gebruikers permanent wijzigen?
  4. Gebruik de opdracht Set-ExecutionPolicy -ExecutionPolicy [PolicyName] -Scope LocalMachine om het uitvoeringsbeleid voor alle gebruikers te wijzigen.
  5. Wat moet ik doen als ik een script tegenkom dat niet kan worden uitgevoerd vanwege beleidsbeperkingen?
  6. Stel het beleid tijdelijk in op **Omzeilen** met Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process en voer het script uit.
  7. Is het veilig om het beleid **Onbeperkt** te gebruiken?
  8. Het gebruik van **Onbeperkt** wordt niet aanbevolen voor productieomgevingen, omdat alle scripts hierdoor kunnen worden uitgevoerd, wat een beveiligingsrisico kan vormen.
  9. Hoe onderteken ik een PowerShell-script?
  10. Maak een zelfondertekend certificaat met behulp van New-SelfSignedCertificate en onderteken vervolgens het script met Set-AuthenticodeSignature.
  11. Kan ik de uitvoering van scripts beperken tot alleen vertrouwde scripts?
  12. Ja, door het uitvoeringsbeleid in te stellen op **AllSigned** of **RemoteSigned** en uw scripts te ondertekenen.
  13. Wat is het verschil tussen het beleid **AllSigned** en **RemoteSigned**?
  14. **AllSigned** vereist dat alle scripts zijn ondertekend door een vertrouwde uitgever, terwijl **RemoteSigned** alleen vereist dat scripts die van internet zijn gedownload, zijn ondertekend.
  15. Hoe maak ik een zelfondertekend certificaat voor scriptondertekening?
  16. Gebruik de opdracht New-SelfSignedCertificate -DnsName "PowerShellLocalCert" -CertStoreLocation "Cert:\LocalMachine\My" om een ​​zelfondertekend certificaat te maken.
  17. Wat zijn de beveiligingsrisico's als u het beleid voor het uitvoeren van scripts uitschakelt?
  18. Als u het beleid voor het uitvoeren van scripts uitschakelt, kan uw systeem worden blootgesteld aan kwaadaardige scripts, wat kan leiden tot potentiële inbreuken op de beveiliging en gegevensverlies.

Belangrijkste leerpunten

Het garanderen van het juiste PowerShell-uitvoeringsbeleid is van cruciaal belang voor het uitvoeren van scripts op Windows Server 2008 R2. Het beleid instellen op Bypass of het gebruik van batchbestanden kan uitvoeringsproblemen tijdelijk oplossen, maar het ondertekenen van scripts biedt een veiligere oplossing voor de lange termijn. Beheerders moeten zich bewust zijn van de beveiligingsimplicaties van verschillende uitvoeringsbeleidsvormen en maatregelen implementeren die beveiliging in evenwicht brengen met operationele behoeften.