Riešenie problémov so spustením skriptu PowerShell v systéme Windows Server 2008 R2

Daniel Marino
Piatok 12. júla 2024, 15:00:06
PowerShell

Riešenie problémov s obmedzeniami vykonávania skriptov PowerShell

Pri práci so systémom Windows Server 2008 R2 sa môže používateľom vyskytnúť chyba, ktorá naznačuje, že vykonávanie skriptov PowerShell je v systéme zakázané. Tento problém môže nastať pri pokuse o spustenie skriptu cez cmd.exe aj po nastavení politiky vykonávania na Neobmedzené.

Napriek potvrdeniu, že politika vykonávania je nastavená na možnosť Neobmedzené, skripty sa stále nemusia spúšťať, čo spôsobuje frustráciu a brzdí pokrok. Táto príručka preskúma bežné príčiny tohto problému a poskytne kroky na zabezpečenie úspešného vykonania skriptu.

Príkaz Popis
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force Dočasne nastaví politiku vykonávania skriptov na možnosť Obísť pre aktuálnu reláciu prostredia PowerShell, čo umožňuje spúšťanie všetkých skriptov bez obmedzenia.
powershell -File .\Management_Install.ps1 Spustí zadaný súbor skriptu PowerShell z príkazového riadka.
New-SelfSignedCertificate Vytvorí nový certifikát s vlastným podpisom, ktorý možno použiť na podpisovanie skriptov PowerShell na dôveryhodné spustenie.
Export-Certificate Exportuje certifikát do súboru, ktorý je možné potom importovať do iných skladov certifikátov.
Import-Certificate Importuje certifikát do určeného skladu certifikátov, ako sú napríklad dôveryhodní vydavatelia alebo koreňové certifikačné autority.
Set-AuthenticodeSignature Podpíše skript PowerShell pomocou zadaného certifikátu, čo umožňuje jeho spustenie v systémoch s povolenými politikami podpisovania skriptov.

Pochopenie a implementácia pravidiel vykonávania skriptov v prostredí PowerShell

Poskytnuté skripty majú za cieľ vyriešiť problém so zakázaním spúšťania skriptov PowerShell v systéme Windows Server 2008 R2. Prvý skript nastaví politiku vykonávania na Vynechanie pre aktuálnu reláciu PowerShell pomocou Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force. Tento príkaz umožňuje dočasné spustenie všetkých skriptov bez obmedzenia. Skript potom prejde do adresára obsahujúceho skript Management_Install.ps1 a spustí ho pomocou powershell .Management_Install.ps1. Tento prístup zaisťuje, že zmena vykonávacej politiky je len dočasná a neovplyvní celkový stav zabezpečenia systému.

Druhý skript, dávkový súbor, tiež nastavuje politiku vykonávania na Vynechanie, ale robí to z príkazového riadku. Na dosiahnutie tohto cieľa používa powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force". Po zmene politiky spustenia skript prejde do adresára skriptov a spustí skript PowerShell pomocou powershell -File .Management_Install.ps1. Dávkový skript končí príkazom pause, aby zostalo okno príkazového riadka otvorené, čo umožňuje používateľovi vidieť akýkoľvek výstup alebo chybové hlásenia. Táto metóda je užitočná na automatizáciu procesu a jeho integráciu do väčších dávkových procesov.

Podpisovanie skriptov a zabezpečenie v PowerShell

Tretí príklad skriptu ukazuje, ako podpísať skript PowerShell, aby bol v súlade s prísnejšími pravidlami vykonávania. Najprv sa vytvorí certifikát s vlastným podpisom pomocou New-SelfSignedCertificate. Tento certifikát je potom možné exportovať pomocou Export-Certificate a importovať do dôveryhodných obchodov certifikátov pomocou Import-Certificate. Importovaním certifikátu do obchodov TrustedPublisher a Root bude systém dôverovať skriptom podpísaným týmto certifikátom. Skript Management_Install.ps1 sa potom podpíše pomocou Set-AuthenticodeSignature.

Podpisovanie skriptov zaisťuje, že v systéme sa môžu spúšťať iba dôveryhodné skripty, čo poskytuje ďalšiu vrstvu zabezpečenia. Tento prístup je užitočný najmä v prostrediach s prísnymi bezpečnostnými požiadavkami, kde sú pravidlá vykonávania nastavené na AllSigned alebo RemoteSigned. Podpísaním skriptu môžu správcovia zabezpečiť, že skripty nie sú sfalšované a pochádzajú z dôveryhodného zdroja, čím sa znížia potenciálne bezpečnostné riziká. Táto metóda kombinuje bezpečnosť s funkčnosťou, čo umožňuje spúšťanie potrebných skriptov pri zachovaní integrity systému.

Nastavenie politiky vykonávania na obídenie v PowerShell

Skript PowerShell 

# Ensure the script execution policy is set to Bypass
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force

# Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

# Execute the PowerShell script
powershell .\Management_Install.ps1

Použitie dávkového skriptu na úpravu pravidiel vykonávania a spustenie skriptu PowerShell

Dávkový skript 

@echo off

:: Set PowerShell execution policy to Bypass
powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force"

:: Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

:: Run the PowerShell script
powershell -File .\Management_Install.ps1

pause

Vytvorenie podpísaného skriptu PowerShell

Skript PowerShell s podpisom 

# Sample script content
Write-Output "Executing Management Install Script"

# Save this script as Management_Install.ps1

# To sign the script, follow these steps:
# 1. Create a self-signed certificate (if you don't have one)
$cert = New-SelfSignedCertificate -DnsName "PowerShellLocalCert" -CertStoreLocation "Cert:\LocalMachine\My"

# 2. Export the certificate to a file
Export-Certificate -Cert $cert -FilePath "C:\PowerShellLocalCert.cer"

# 3. Import the certificate to Trusted Publishers and Trusted Root Certification Authorities
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\TrustedPublisher"
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\Root"

# 4. Sign the script with the certificate
Set-AuthenticodeSignature -FilePath .\Management_Install.ps1 -Certificate $cert

Zabezpečenie súladu s politikou vykonávania skriptov a bezpečnosti systému

Pri správe systému Windows Server 2008 R2 je dôležité porozumieť rôznym politikám vykonávania dostupným v prostredí PowerShell a ich vplyvu na vykonávanie skriptov. Zásady vykonávania prostredia PowerShell sú navrhnuté tak, aby zabránili vykonávaniu potenciálne škodlivých skriptov. Štyri hlavné pravidlá sú Restricted, AllSigned, RemoteSigned a Unrestricted. Obmedzené je predvolená zásada a nepovoľuje spustenie žiadnych skriptov. AllSigned vyžaduje, aby všetky skripty a konfiguračné súbory boli podpísané dôveryhodným vydavateľom. RemoteSigned vyžaduje, aby všetky skripty a konfiguračné súbory stiahnuté z internetu boli podpísané dôveryhodným vydavateľom, ale umožňuje spúšťať lokálne vytvorené skripty bez podpisu.

Pochopenie týchto zásad pomáha správcom vybrať správnu úroveň zabezpečenia pre ich prostredie. V scenároch, kde je potrebné pravidelne spúšťať skripty, môže byť nastavenie politiky na Neobmedzené riskantné, pretože umožňuje spúšťať všetky skripty bez akýchkoľvek obmedzení. Namiesto toho by správcovia mali zvážiť použitie RemoteSigned alebo AllSigned, aby vyvážili bezpečnosť a funkčnosť. Podpisovaním skriptov a spravovaním certifikátov môžu správcovia zabezpečiť, aby sa na ich systémoch spúšťali iba dôveryhodné skripty, čím sa znižuje riziko spustenia škodlivého kódu.

  1. Ako skontrolujem aktuálnu politiku vykonávania v mojom systéme?
  2. Použite príkaz v PowerShell a skontrolujte aktuálnu politiku vykonávania.
  3. Ako môžem natrvalo zmeniť politiku vykonávania pre všetkých používateľov?
  4. Použite príkaz zmeniť politiku vykonávania pre všetkých používateľov.
  5. Čo mám robiť, ak sa stretnem so skriptom, ktorý sa nedá spustiť z dôvodu obmedzení politiky?
  6. Dočasne nastavte pravidlo na Obísť pomocou a spustite skript.
  7. Je bezpečné používať zásadu Neobmedzené?
  8. Použitie Unrestricted sa neodporúča pre produkčné prostredia, pretože umožňuje spustenie všetkých skriptov, čo môže predstavovať bezpečnostné riziko.
  9. Ako podpíšem skript PowerShell?
  10. Vytvorte certifikát s vlastným podpisom pomocou a potom podpíšte skript pomocou .
  11. Môžem obmedziť spustenie skriptu iba na dôveryhodné skripty?
  12. Áno, nastavením politiky vykonávania na AllSigned alebo RemoteSigned a podpísaním vašich skriptov.
  13. Aký je rozdiel medzi pravidlami AllSigned a RemoteSigned?
  14. AllSigned vyžaduje, aby boli všetky skripty podpísané dôveryhodným vydavateľom, zatiaľ čo RemoteSigned vyžaduje podpísanie iba skriptov stiahnutých z internetu.
  15. Ako vytvorím certifikát s vlastným podpisom na podpisovanie skriptov?
  16. Použite príkaz na vytvorenie certifikátu s vlastným podpisom.
  17. Aké sú bezpečnostné riziká zakázania politík vykonávania skriptov?
  18. Zakázanie politík vykonávania skriptov môže vystaviť váš systém škodlivým skriptom, čo vedie k potenciálnemu narušeniu bezpečnosti a strate údajov.

Zabezpečenie správnej politiky vykonávania prostredia PowerShell je kľúčové pre spúšťanie skriptov v systéme Windows Server 2008 R2. Nastavenie politiky na alebo použitie dávkových súborov môže dočasne vyriešiť problémy s vykonávaním, ale podpisové skripty ponúkajú bezpečnejšie a dlhodobé riešenie. Správcovia by si mali byť vedomí bezpečnostných dôsledkov rôznych vykonávacích politík a implementovať opatrenia, ktoré vyvažujú bezpečnosť s prevádzkovými potrebami.