Rezolvarea problemelor de execuție a scripturilor PowerShell pe Windows Server 2008 R2

Rezolvarea problemelor de execuție a scripturilor PowerShell pe Windows Server 2008 R2
Rezolvarea problemelor de execuție a scripturilor PowerShell pe Windows Server 2008 R2
Daniel Marino
Vineri, 12 iulie 2024, 14:54:47

Depanarea restricțiilor de execuție a scripturilor PowerShell

Când lucrează cu Windows Server 2008 R2, utilizatorii pot întâmpina o eroare care indică faptul că execuția scripturilor PowerShell este dezactivată pe sistem. Această problemă poate apărea atunci când încercați să rulați un script prin cmd.exe, chiar și după setarea politicii de execuție la Nerestricționat.

În ciuda faptului că se confirmă că politica de execuție este setată la Nerestricționat, scripturile pot să nu se execute, provocând frustrare și împiedicând progresul. Acest ghid va explora cauzele comune ale acestei probleme și va oferi pași pentru a asigura execuția cu succes a scriptului.

Comanda Descriere
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force Setează temporar politica de execuție a scripturilor la Bypass pentru sesiunea curentă PowerShell, permițând executarea tuturor scripturilor fără restricții.
powershell -File .\Management_Install.ps1 Execută fișierul script PowerShell specificat din linia de comandă.
New-SelfSignedCertificate Creează un nou certificat autosemnat, care poate fi folosit pentru a semna scripturi PowerShell pentru execuție de încredere.
Export-Certificate Exportă un certificat într-un fișier, care poate fi apoi importat în alte magazine de certificate.
Import-Certificate Importă un certificat într-un depozit de certificate specificat, cum ar fi editori de încredere sau autorități de certificare rădăcină.
Set-AuthenticodeSignature Semnează un script PowerShell cu un certificat specificat, permițându-i să fie executat pe sisteme cu politici de semnare a scripturilor activate.

Înțelegerea și implementarea politicilor de execuție a scripturilor în PowerShell

Scripturile furnizate urmăresc să rezolve problema dezactivării execuției scripturilor PowerShell pe Windows Server 2008 R2. Primul script setează politica de execuție la **Bypass** pentru sesiunea curentă PowerShell folosind **Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force**. Această comandă permite tuturor scripturilor să ruleze temporar fără restricții. Scriptul navighează apoi la directorul care conține scriptul **Management_Install.ps1** și îl execută folosind **powershell .Management_Install.ps1**. Această abordare asigură că modificarea politicii de execuție este doar temporară și nu afectează situația generală de securitate a sistemului.

Al doilea script, un fișier batch, setează, de asemenea, politica de execuție la **Bypass**, dar face acest lucru din linia de comandă. Utilizează **powershell -Comandă „Set-ExecutionPolicy Bypass -Scope Process -Force”** pentru a realiza acest lucru. După modificarea politicii de execuție, scriptul navighează la directorul de script și rulează scriptul PowerShell folosind **powershell -File .Management_Install.ps1**. Scriptul batch se termină cu o comandă **pauză** pentru a menține deschisă fereastra promptului de comandă, permițând utilizatorului să vadă orice rezultat sau mesaje de eroare. Această metodă este utilă pentru automatizarea procesului și integrarea acestuia în procese de loturi mai mari.

Semnarea scripturilor și securitatea în PowerShell

Al treilea exemplu de script demonstrează cum să semnați un script PowerShell pentru a respecta politicile de execuție mai stricte. În primul rând, se creează un certificat autosemnat folosind **New-SelfSignedCertificate**. Acest certificat poate fi apoi exportat cu **Export-Certificate** și importat în magazine de certificate de încredere folosind **Import-Certificate**. Importând certificatul în magazinele **TrustedPublisher** și **Root**, sistemul va avea încredere în scripturile semnate cu acest certificat. Scriptul **Management_Install.ps1** este apoi semnat folosind **Set-AuthenticodeSignature**.

Semnarea scripturilor asigură că numai scripturile de încredere se pot executa pe sistem, oferind un nivel suplimentar de securitate. Această abordare este utilă în special în mediile cu cerințe stricte de securitate în care politicile de execuție sunt setate la **AllSigned** sau **RemoteSigned**. Prin semnarea scriptului, administratorii se pot asigura că scripturile nu sunt modificate și provin dintr-o sursă de încredere, atenuând astfel potențialele riscuri de securitate. Această metodă combină securitatea cu funcționalitatea, permițând rularea scripturilor necesare, menținând în același timp integritatea sistemului.

Setarea politicii de execuție pentru a omite în PowerShell

Script PowerShell 

# Ensure the script execution policy is set to Bypass
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force

# Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

# Execute the PowerShell script
powershell .\Management_Install.ps1

Utilizarea scriptului batch pentru a modifica politica de execuție și a rula scriptul PowerShell

Batch Script 

@echo off

:: Set PowerShell execution policy to Bypass
powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force"

:: Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

:: Run the PowerShell script
powershell -File .\Management_Install.ps1

pause

Crearea unui script PowerShell semnat

Script PowerShell cu semnare 

# Sample script content
Write-Output "Executing Management Install Script"

# Save this script as Management_Install.ps1

# To sign the script, follow these steps:
# 1. Create a self-signed certificate (if you don't have one)
$cert = New-SelfSignedCertificate -DnsName "PowerShellLocalCert" -CertStoreLocation "Cert:\LocalMachine\My"

# 2. Export the certificate to a file
Export-Certificate -Cert $cert -FilePath "C:\PowerShellLocalCert.cer"

# 3. Import the certificate to Trusted Publishers and Trusted Root Certification Authorities
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\TrustedPublisher"
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\Root"

# 4. Sign the script with the certificate
Set-AuthenticodeSignature -FilePath .\Management_Install.ps1 -Certificate $cert

Asigurarea conformității cu politica de execuție a scripturilor și a securității sistemului

Când gestionați Windows Server 2008 R2, este esențial să înțelegeți diferitele politici de execuție disponibile în PowerShell și modul în care acestea influențează execuția scriptului. Politicile de execuție PowerShell sunt concepute pentru a preveni execuția de scripturi potențial dăunătoare. Cele patru politici principale sunt **Restricted**, **AllSigned**, **RemoteSigned** și **Unrestricted**. **Restricționat** este politica implicită și nu permite rularea niciunui script. **AllSigned** necesită ca toate scripturile și fișierele de configurare să fie semnate de un editor de încredere. **RemoteSigned** necesită ca toate scripturile și fișierele de configurare descărcate de pe internet să fie semnate de un editor de încredere, dar permite scripturilor create local să ruleze fără semnătură.

Înțelegerea acestor politici ajută administratorii să aleagă nivelul potrivit de securitate pentru mediul lor. În scenariile în care scripturile trebuie executate în mod regulat, setarea politicii la **Nerestricționat** poate fi riscantă, deoarece permite rularea tuturor scripturilor fără restricții. În schimb, administratorii ar trebui să ia în considerare utilizarea **RemoteSigned** sau **AllSigned** pentru a echilibra securitatea cu funcționalitatea. Prin semnarea scripturilor și gestionarea certificatelor, administratorii se pot asigura că pe sistemele lor rulează numai scripturi de încredere, reducând riscul de a rula cod rău intenționat.

Întrebări și răspunsuri frecvente despre politicile de execuție a scripturilor PowerShell

  1. Cum verific politica de execuție curentă pe sistemul meu?
  2. Utilizați comanda Get-ExecutionPolicy în PowerShell pentru a verifica politica de execuție curentă.
  3. Cum pot schimba permanent politica de execuție pentru toți utilizatorii?
  4. Utilizați comanda Set-ExecutionPolicy -ExecutionPolicy [PolicyName] -Scope LocalMachine pentru a modifica politica de execuție pentru toți utilizatorii.
  5. Ce ar trebui să fac dacă întâlnesc un script care nu poate fi executat din cauza restricțiilor politicii?
  6. Setați temporar politica la **Bypass** folosind Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process și rulați scriptul.
  7. Este sigur să folosiți politica **Nerestricționată**?
  8. Utilizarea **Nerestricționată** nu este recomandată pentru mediile de producție, deoarece permite rularea tuturor scripturilor, ceea ce poate reprezenta un risc de securitate.
  9. Cum semnez un script PowerShell?
  10. Creați un certificat autosemnat folosind New-SelfSignedCertificate și apoi semnați scriptul folosind Set-AuthenticodeSignature.
  11. Pot restricționa execuția scripturilor doar la scripturi de încredere?
  12. Da, setând politica de execuție la **AllSigned** sau **RemoteSigned** și semnând scripturile.
  13. Care este diferența dintre politicile **AllSigned** și **RemoteSigned**?
  14. **AllSigned** necesită semnarea tuturor scripturilor de către un editor de încredere, în timp ce **RemoteSigned** necesită semnarea doar a scripturilor descărcate de pe internet.
  15. Cum creez un certificat autosemnat pentru semnarea scriptului?
  16. Utilizați comanda New-SelfSignedCertificate -DnsName "PowerShellLocalCert" -CertStoreLocation "Cert:\LocalMachine\My" pentru a crea un certificat autosemnat.
  17. Care sunt riscurile de securitate ale dezactivării politicilor de execuție a scripturilor?
  18. Dezactivarea politicilor de execuție a scripturilor vă poate expune sistemul la scripturi rău intenționate, ceea ce duce la potențiale încălcări de securitate și pierderi de date.

Recomandări cheie

Asigurarea politicii de execuție PowerShell corecte este crucială pentru rularea scripturilor pe Windows Server 2008 R2. Setarea politicii la Bypass sau utilizarea fișierelor batch poate rezolva temporar problemele de execuție, dar semnarea scripturilor oferă o soluție mai sigură, pe termen lung. Administratorii ar trebui să fie conștienți de implicațiile de securitate ale diferitelor politici de execuție și să pună în aplicare măsuri care echilibrează securitatea cu nevoile operaționale.