Løse problemer med kjøring av PowerShell-skript på Windows Server 2008 R2

Løse problemer med kjøring av PowerShell-skript på Windows Server 2008 R2
Løse problemer med kjøring av PowerShell-skript på Windows Server 2008 R2
Daniel Marino
Fredag 12. juli 2024 14:47:50

Feilsøking av PowerShell-skriptutførelsesbegrensninger

Når du arbeider med Windows Server 2008 R2, kan brukere støte på en feil som indikerer at kjøringen av PowerShell-skript er deaktivert på systemet. Dette problemet kan oppstå når du prøver å kjøre et skript via cmd.exe, selv etter at utførelsespolicyen er satt til Ubegrenset.

Til tross for bekreftelse av at utførelsespolicyen er satt til Ubegrenset, kan skript fortsatt mislykkes i å kjøre, forårsake frustrasjon og hindre fremgang. Denne veiledningen vil utforske de vanlige årsakene til dette problemet og gi trinn for å sikre vellykket skriptutførelse.

Kommando Beskrivelse
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force Setter skriptutførelsespolicyen midlertidig til Bypass for gjeldende PowerShell-økt, og tillater kjøring av alle skript uten begrensninger.
powershell -File .\Management_Install.ps1 Utfører den angitte PowerShell-skriptfilen fra kommandolinjen.
New-SelfSignedCertificate Oppretter et nytt selvsignert sertifikat, som kan brukes til å signere PowerShell-skript for klarert utførelse.
Export-Certificate Eksporterer et sertifikat til en fil, som deretter kan importeres til andre sertifikatlagre.
Import-Certificate Importerer et sertifikat til et spesifisert sertifikatlager, for eksempel Trusted Publishers eller Root Certification Authorities.
Set-AuthenticodeSignature Signerer et PowerShell-skript med et spesifisert sertifikat, slik at det kan kjøres på systemer med skriptsigneringspolicyer aktivert.

Forstå og implementere skriptutførelsespolicyer i PowerShell

Skriptene som tilbys tar sikte på å løse problemet med at kjøring av PowerShell-skript blir deaktivert på Windows Server 2008 R2. Det første skriptet setter utførelsespolicyen til **Bypass** for gjeldende PowerShell-sesjon ved å bruke **Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force**. Denne kommandoen lar alle skript kjøre uten begrensninger midlertidig. Skriptet navigerer deretter til katalogen som inneholder **Management_Install.ps1**-skriptet og kjører det ved hjelp av **powershell .Management_Install.ps1**. Denne tilnærmingen sikrer at endringen i utførelsespolicyen bare er midlertidig og ikke påvirker systemets generelle sikkerhetsposisjon.

Det andre skriptet, en batchfil, setter også utførelsespolicyen til **Bypass**, men gjør det fra kommandolinjen. Den bruker **powershell -kommando "Set-ExecutionPolicy Bypass -Scope Process -Force"** for å oppnå dette. Etter å ha endret utførelsespolicyen, navigerer skriptet til skriptkatalogen og kjører PowerShell-skriptet ved hjelp av **powershell -File .Management_Install.ps1**. Batch-skriptet avsluttes med en **pause**-kommando for å holde ledetekstvinduet åpent, slik at brukeren kan se alle utdata eller feilmeldinger. Denne metoden er nyttig for å automatisere prosessen og integrere den i større batch-prosesser.

Skriptsignering og sikkerhet i PowerShell

Det tredje skripteksemplet viser hvordan du signerer et PowerShell-skript for å overholde strengere utførelsespolicyer. Først opprettes et selvsignert sertifikat ved hjelp av **New-SelfSignedCertificate**. Dette sertifikatet kan deretter eksporteres med **Export-Certificate** og importeres til klarerte sertifikatlagre ved hjelp av **Import-Certificate**. Ved å importere sertifikatet til **TrustedPublisher** og **Root**-lagrene, vil systemet stole på skript signert med dette sertifikatet. Skriptet **Management_Install.ps1** signeres deretter med **Set-AuthenticodeSignature**.

Skriptsignering sikrer at bare klarerte skript kan kjøres på systemet, noe som gir et ekstra lag med sikkerhet. Denne tilnærmingen er spesielt nyttig i miljøer med strenge sikkerhetskrav der utførelsespolicyer er satt til **AllSigned** eller **RemoteSigned**. Ved å signere skriptet kan administratorer sikre at skriptene ikke tukles med og er fra en pålitelig kilde, og dermed redusere potensielle sikkerhetsrisikoer. Denne metoden kombinerer sikkerhet med funksjonalitet, slik at nødvendige skript kan kjøres samtidig som systemets integritet opprettholdes.

Sette utførelsespolicy til å omgå i PowerShell

PowerShell-skript 

# Ensure the script execution policy is set to Bypass
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force

# Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

# Execute the PowerShell script
powershell .\Management_Install.ps1

Bruke batchskript til å endre utførelsespolicy og kjøre PowerShell-skript

Batch Script 

@echo off

:: Set PowerShell execution policy to Bypass
powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force"

:: Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

:: Run the PowerShell script
powershell -File .\Management_Install.ps1

pause

Opprette et signert PowerShell-skript

PowerShell-skript med signering 

# Sample script content
Write-Output "Executing Management Install Script"

# Save this script as Management_Install.ps1

# To sign the script, follow these steps:
# 1. Create a self-signed certificate (if you don't have one)
$cert = New-SelfSignedCertificate -DnsName "PowerShellLocalCert" -CertStoreLocation "Cert:\LocalMachine\My"

# 2. Export the certificate to a file
Export-Certificate -Cert $cert -FilePath "C:\PowerShellLocalCert.cer"

# 3. Import the certificate to Trusted Publishers and Trusted Root Certification Authorities
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\TrustedPublisher"
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\Root"

# 4. Sign the script with the certificate
Set-AuthenticodeSignature -FilePath .\Management_Install.ps1 -Certificate $cert

Sikre samsvar med retningslinjer for skriptkjøring og systemsikkerhet

Når du administrerer Windows Server 2008 R2, er det avgjørende å forstå de forskjellige kjøringspolicyene som er tilgjengelige i PowerShell og hvordan de påvirker skriptkjøringen. PowerShell-utførelsespolicyer er utformet for å forhindre kjøring av potensielt skadelige skript. De fire hovedretningslinjene er **Begrenset**, **Allsignert**, **RemoteSignet** og **Ubegrenset**. **Begrenset** er standardpolicyen og tillater ingen skript å kjøre. **AllSigned** krever at alle skript og konfigurasjonsfiler er signert av en pålitelig utgiver. **RemoteSigned** krever at alle skript og konfigurasjonsfiler som lastes ned fra internett er signert av en klarert utgiver, men lar lokalt opprettede skript kjøres uten signatur.

Å forstå disse retningslinjene hjelper administratorer med å velge riktig sikkerhetsnivå for miljøet deres. I scenarier der skript må kjøres regelmessig, kan det være risikabelt å sette policyen til **Ubegrenset**, siden det lar alle skript kjøre uten noen begrensninger. I stedet bør administratorer vurdere å bruke **RemoteSigned** eller **AllSigned** for å balansere sikkerhet med funksjonalitet. Ved å signere skript og administrere sertifikater kan administratorer sikre at bare klarerte skript kjører på systemene deres, noe som reduserer risikoen for å kjøre skadelig kode.

Vanlige spørsmål og svar om retningslinjer for utførelse av PowerShell-skript

  1. Hvordan sjekker jeg gjeldende utførelsespolicy på systemet mitt?
  2. Bruk kommandoen Get-ExecutionPolicy i PowerShell for å sjekke gjeldende utførelsespolicy.
  3. Hvordan kan jeg endre utførelsespolicyen for alle brukere permanent?
  4. Bruk kommandoen Set-ExecutionPolicy -ExecutionPolicy [PolicyName] -Scope LocalMachine for å endre utførelsespolicyen for alle brukere.
  5. Hva bør jeg gjøre hvis jeg støter på et skript som ikke kan kjøres på grunn av policybegrensninger?
  6. Sett policyen midlertidig til **Omgå** ved å bruke Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process og kjøre skriptet.
  7. Er det trygt å bruke retningslinjene for **Ubegrenset**?
  8. Bruk av **Ubegrenset** anbefales ikke for produksjonsmiljøer da det lar alle skript kjøres, noe som kan utgjøre en sikkerhetsrisiko.
  9. Hvordan signerer jeg et PowerShell-skript?
  10. Opprett et selvsignert sertifikat ved hjelp av New-SelfSignedCertificate og signer deretter skriptet med Set-AuthenticodeSignature.
  11. Kan jeg begrense kjøring av skript til bare klarerte skript?
  12. Ja, ved å sette utførelsespolicyen til **AllSigned** eller **RemoteSigned** og signere skriptene dine.
  13. Hva er forskjellen mellom retningslinjene **AllSigned** og **RemoteSigned**?
  14. **AllSigned** krever at alle skript er signert av en pålitelig utgiver, mens **RemoteSigned** bare krever at skript lastet ned fra internett er signert.
  15. Hvordan oppretter jeg et selvsignert sertifikat for skriptsignering?
  16. Bruk kommandoen New-SelfSignedCertificate -DnsName "PowerShellLocalCert" -CertStoreLocation "Cert:\LocalMachine\My" for å opprette et selvsignert sertifikat.
  17. Hva er sikkerhetsrisikoen ved å deaktivere retningslinjer for kjøring av skript?
  18. Deaktivering av retningslinjer for kjøring av skript kan utsette systemet for ondsinnede skript, noe som kan føre til potensielle sikkerhetsbrudd og tap av data.

Viktige takeaways

Å sikre riktig PowerShell-kjøringspolicy er avgjørende for å kjøre skript på Windows Server 2008 R2. Setter policyen til Bypass eller bruk av batchfiler kan midlertidig løse utførelsesproblemer, men signering av skript gir en sikrere, langsiktig løsning. Administratorer bør være klar over sikkerhetsimplikasjonene av ulike utførelsespolicyer og implementere tiltak som balanserer sikkerhet med operasjonelle behov.