Riešenie problémov so spustením skriptu PowerShell v systéme Windows Server 2008 R2

Riešenie problémov so spustením skriptu PowerShell v systéme Windows Server 2008 R2
Riešenie problémov so spustením skriptu PowerShell v systéme Windows Server 2008 R2
Daniel Marino
Piatok 12. júla 2024, 15:00:06

Riešenie problémov s obmedzeniami vykonávania skriptov PowerShell

Pri práci so systémom Windows Server 2008 R2 sa môže používateľom vyskytnúť chyba, ktorá naznačuje, že vykonávanie skriptov PowerShell je v systéme zakázané. Tento problém môže nastať pri pokuse o spustenie skriptu cez cmd.exe aj po nastavení politiky vykonávania na Neobmedzené.

Napriek potvrdeniu, že politika vykonávania je nastavená na možnosť Neobmedzené, skripty sa stále nemusia spúšťať, čo spôsobuje frustráciu a brzdí pokrok. Táto príručka preskúma bežné príčiny tohto problému a poskytne kroky na zabezpečenie úspešného vykonania skriptu.

Príkaz Popis
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force Dočasne nastaví politiku vykonávania skriptov na možnosť Obísť pre aktuálnu reláciu prostredia PowerShell, čo umožňuje spúšťanie všetkých skriptov bez obmedzenia.
powershell -File .\Management_Install.ps1 Spustí zadaný súbor skriptu PowerShell z príkazového riadka.
New-SelfSignedCertificate Vytvorí nový certifikát s vlastným podpisom, ktorý možno použiť na podpisovanie skriptov PowerShell na dôveryhodné spustenie.
Export-Certificate Exportuje certifikát do súboru, ktorý je možné potom importovať do iných skladov certifikátov.
Import-Certificate Importuje certifikát do určeného skladu certifikátov, ako sú napríklad dôveryhodní vydavatelia alebo koreňové certifikačné autority.
Set-AuthenticodeSignature Podpíše skript PowerShell pomocou zadaného certifikátu, čo umožňuje jeho spustenie v systémoch s povolenými politikami podpisovania skriptov.

Pochopenie a implementácia pravidiel vykonávania skriptov v prostredí PowerShell

Poskytnuté skripty majú za cieľ vyriešiť problém so zakázaním spúšťania skriptov PowerShell v systéme Windows Server 2008 R2. Prvý skript nastaví politiku vykonávania na **Vynechanie** pre aktuálnu reláciu PowerShell pomocou **Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force**. Tento príkaz umožňuje dočasné spustenie všetkých skriptov bez obmedzenia. Skript potom prejde do adresára obsahujúceho skript **Management_Install.ps1** a spustí ho pomocou **powershell .Management_Install.ps1**. Tento prístup zaisťuje, že zmena vykonávacej politiky je len dočasná a neovplyvní celkový stav zabezpečenia systému.

Druhý skript, dávkový súbor, tiež nastavuje politiku vykonávania na **Vynechanie**, ale robí to z príkazového riadku. Na dosiahnutie tohto cieľa používa **powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force"**. Po zmene politiky spustenia skript prejde do adresára skriptov a spustí skript PowerShell pomocou **powershell -File .Management_Install.ps1**. Dávkový skript končí príkazom **pause**, aby zostalo okno príkazového riadka otvorené, čo umožňuje používateľovi vidieť akýkoľvek výstup alebo chybové hlásenia. Táto metóda je užitočná na automatizáciu procesu a jeho integráciu do väčších dávkových procesov.

Podpisovanie skriptov a zabezpečenie v PowerShell

Tretí príklad skriptu ukazuje, ako podpísať skript PowerShell, aby bol v súlade s prísnejšími pravidlami vykonávania. Najprv sa vytvorí certifikát s vlastným podpisom pomocou **New-SelfSignedCertificate**. Tento certifikát je potom možné exportovať pomocou **Export-Certificate** a importovať do dôveryhodných obchodov certifikátov pomocou **Import-Certificate**. Importovaním certifikátu do obchodov **TrustedPublisher** a **Root** bude systém dôverovať skriptom podpísaným týmto certifikátom. Skript **Management_Install.ps1** sa potom podpíše pomocou **Set-AuthenticodeSignature**.

Podpisovanie skriptov zaisťuje, že v systéme sa môžu spúšťať iba dôveryhodné skripty, čo poskytuje ďalšiu vrstvu zabezpečenia. Tento prístup je užitočný najmä v prostrediach s prísnymi bezpečnostnými požiadavkami, kde sú pravidlá vykonávania nastavené na **AllSigned** alebo **RemoteSigned**. Podpísaním skriptu môžu správcovia zabezpečiť, že skripty nie sú sfalšované a pochádzajú z dôveryhodného zdroja, čím sa znížia potenciálne bezpečnostné riziká. Táto metóda kombinuje bezpečnosť s funkčnosťou, čo umožňuje spúšťanie potrebných skriptov pri zachovaní integrity systému.

Nastavenie politiky vykonávania na obídenie v PowerShell

Skript PowerShell 

# Ensure the script execution policy is set to Bypass
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force

# Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

# Execute the PowerShell script
powershell .\Management_Install.ps1

Použitie dávkového skriptu na úpravu pravidiel vykonávania a spustenie skriptu PowerShell

Dávkový skript 

@echo off

:: Set PowerShell execution policy to Bypass
powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force"

:: Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

:: Run the PowerShell script
powershell -File .\Management_Install.ps1

pause

Vytvorenie podpísaného skriptu PowerShell

Skript PowerShell s podpisom 

# Sample script content
Write-Output "Executing Management Install Script"

# Save this script as Management_Install.ps1

# To sign the script, follow these steps:
# 1. Create a self-signed certificate (if you don't have one)
$cert = New-SelfSignedCertificate -DnsName "PowerShellLocalCert" -CertStoreLocation "Cert:\LocalMachine\My"

# 2. Export the certificate to a file
Export-Certificate -Cert $cert -FilePath "C:\PowerShellLocalCert.cer"

# 3. Import the certificate to Trusted Publishers and Trusted Root Certification Authorities
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\TrustedPublisher"
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\Root"

# 4. Sign the script with the certificate
Set-AuthenticodeSignature -FilePath .\Management_Install.ps1 -Certificate $cert

Zabezpečenie súladu s politikou vykonávania skriptov a bezpečnosti systému

Pri správe systému Windows Server 2008 R2 je dôležité porozumieť rôznym politikám vykonávania dostupným v prostredí PowerShell a ich vplyvu na vykonávanie skriptov. Zásady vykonávania prostredia PowerShell sú navrhnuté tak, aby zabránili vykonávaniu potenciálne škodlivých skriptov. Štyri hlavné pravidlá sú **Restricted**, **AllSigned**, **RemoteSigned** a **Unrestricted**. **Obmedzené** je predvolená zásada a nepovoľuje spustenie žiadnych skriptov. **AllSigned** vyžaduje, aby všetky skripty a konfiguračné súbory boli podpísané dôveryhodným vydavateľom. **RemoteSigned** vyžaduje, aby všetky skripty a konfiguračné súbory stiahnuté z internetu boli podpísané dôveryhodným vydavateľom, ale umožňuje spúšťať lokálne vytvorené skripty bez podpisu.

Pochopenie týchto zásad pomáha správcom vybrať správnu úroveň zabezpečenia pre ich prostredie. V scenároch, kde je potrebné pravidelne spúšťať skripty, môže byť nastavenie politiky na **Neobmedzené** riskantné, pretože umožňuje spúšťať všetky skripty bez akýchkoľvek obmedzení. Namiesto toho by správcovia mali zvážiť použitie **RemoteSigned** alebo **AllSigned**, aby vyvážili bezpečnosť a funkčnosť. Podpisovaním skriptov a spravovaním certifikátov môžu správcovia zabezpečiť, aby sa na ich systémoch spúšťali iba dôveryhodné skripty, čím sa znižuje riziko spustenia škodlivého kódu.

Bežné otázky a odpovede o pravidlách vykonávania skriptov PowerShell

  1. Ako skontrolujem aktuálnu politiku vykonávania v mojom systéme?
  2. Použite príkaz Get-ExecutionPolicy v PowerShell a skontrolujte aktuálnu politiku vykonávania.
  3. Ako môžem natrvalo zmeniť politiku vykonávania pre všetkých používateľov?
  4. Použite príkaz Set-ExecutionPolicy -ExecutionPolicy [PolicyName] -Scope LocalMachine zmeniť politiku vykonávania pre všetkých používateľov.
  5. Čo mám robiť, ak sa stretnem so skriptom, ktorý sa nedá spustiť z dôvodu obmedzení politiky?
  6. Dočasne nastavte pravidlo na **Obísť** pomocou Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process a spustite skript.
  7. Je bezpečné používať zásadu **Neobmedzené**?
  8. Použitie **Unrestricted** sa neodporúča pre produkčné prostredia, pretože umožňuje spustenie všetkých skriptov, čo môže predstavovať bezpečnostné riziko.
  9. Ako podpíšem skript PowerShell?
  10. Vytvorte certifikát s vlastným podpisom pomocou New-SelfSignedCertificate a potom podpíšte skript pomocou Set-AuthenticodeSignature.
  11. Môžem obmedziť spustenie skriptu iba na dôveryhodné skripty?
  12. Áno, nastavením politiky vykonávania na **AllSigned** alebo **RemoteSigned** a podpísaním vašich skriptov.
  13. Aký je rozdiel medzi pravidlami **AllSigned** a **RemoteSigned**?
  14. **AllSigned** vyžaduje, aby boli všetky skripty podpísané dôveryhodným vydavateľom, zatiaľ čo **RemoteSigned** vyžaduje podpísanie iba skriptov stiahnutých z internetu.
  15. Ako vytvorím certifikát s vlastným podpisom na podpisovanie skriptov?
  16. Použite príkaz New-SelfSignedCertificate -DnsName "PowerShellLocalCert" -CertStoreLocation "Cert:\LocalMachine\My" na vytvorenie certifikátu s vlastným podpisom.
  17. Aké sú bezpečnostné riziká zakázania politík vykonávania skriptov?
  18. Zakázanie politík vykonávania skriptov môže vystaviť váš systém škodlivým skriptom, čo vedie k potenciálnemu narušeniu bezpečnosti a strate údajov.

Kľúčové informácie

Zabezpečenie správnej politiky vykonávania prostredia PowerShell je kľúčové pre spúšťanie skriptov v systéme Windows Server 2008 R2. Nastavenie politiky na Bypass alebo použitie dávkových súborov môže dočasne vyriešiť problémy s vykonávaním, ale podpisové skripty ponúkajú bezpečnejšie a dlhodobé riešenie. Správcovia by si mali byť vedomí bezpečnostných dôsledkov rôznych vykonávacích politík a implementovať opatrenia, ktoré vyvažujú bezpečnosť s prevádzkovými potrebami.