Reševanje težav z izvajanjem skripta PowerShell v sistemu Windows Server 2008 R2

Reševanje težav z izvajanjem skripta PowerShell v sistemu Windows Server 2008 R2
Reševanje težav z izvajanjem skripta PowerShell v sistemu Windows Server 2008 R2
Daniel Marino
Petek, 12. julij 2024 15:01:55

Odpravljanje težav z omejitvami izvajanja skripta PowerShell

Pri delu s sistemom Windows Server 2008 R2 lahko uporabniki naletijo na napako, ki kaže, da je v sistemu onemogočeno izvajanje skriptov PowerShell. Ta težava se lahko pojavi pri poskusu zagona skripta prek cmd.exe, tudi po nastavitvi pravilnika izvajanja na Neomejeno.

Kljub potrditvi, da je pravilnik izvajanja nastavljen na Neomejeno, se skripti morda še vedno ne bodo izvajali, kar bo povzročilo frustracije in oviralo napredek. Ta vodnik bo raziskal pogoste vzroke te težave in zagotovil korake za zagotovitev uspešnega izvajanja skripta.

Ukaz Opis
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force Začasno nastavi pravilnik izvajanja skriptov na Bypass za trenutno sejo PowerShell, kar omogoča izvajanje vseh skriptov brez omejitev.
powershell -File .\Management_Install.ps1 Iz ukazne vrstice izvede navedeno skriptno datoteko PowerShell.
New-SelfSignedCertificate Ustvari novo samopodpisano potrdilo, ki ga je mogoče uporabiti za podpisovanje skriptov PowerShell za zaupanja vredno izvajanje.
Export-Certificate Izvozi potrdilo v datoteko, ki jo je nato mogoče uvoziti v druge shrambe potrdil.
Import-Certificate Uvozi potrdilo v določeno shrambo potrdil, kot so zaupanja vredni založniki ali korenski certifikacijski organi.
Set-AuthenticodeSignature Podpiše skript PowerShell z določenim potrdilom, kar omogoča njegovo izvajanje v sistemih z omogočenimi pravilniki za podpisovanje skriptov.

Razumevanje in implementacija pravilnikov o izvajanju skriptov v PowerShell

Zagotovljeni skripti so namenjeni reševanju težave z onemogočenim izvajanjem skripta PowerShell v sistemu Windows Server 2008 R2. Prvi skript nastavi pravilnik izvajanja na **Bypass** za trenutno sejo PowerShell z uporabo **Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force**. Ta ukaz omogoča, da se vsi skripti začasno izvajajo brez omejitev. Skript se nato pomakne do imenika, ki vsebuje skript **Management_Install.ps1**, in ga izvede s pomočjo **powershell .Management_Install.ps1**. Ta pristop zagotavlja, da je sprememba pravilnika izvajanja le začasna in ne vpliva na splošno varnostno stanje sistema.

Drugi skript, paketna datoteka, prav tako nastavi politiko izvajanja na **Bypass**, vendar to stori v ukazni vrstici. Za dosego tega uporablja **powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force"**. Po spremembi pravilnika izvajanja se skript pomakne v imenik skriptov in zažene skript PowerShell z uporabo **powershell -File .Management_Install.ps1**. Paketni skript se konča z ukazom **začasno ustavi**, da ostane okno ukaznega poziva odprto, kar uporabniku omogoča ogled izhodnih podatkov ali sporočil o napakah. Ta metoda je uporabna za avtomatizacijo procesa in njegovo integracijo v večje šaržne procese.

Podpisovanje skripta in varnost v PowerShell

Tretji primer skripta prikazuje, kako podpisati skript PowerShell za skladnost s strožjimi pravilniki o izvajanju. Najprej se samopodpisano potrdilo ustvari z uporabo **New-SelfSignedCertificate**. To potrdilo je nato mogoče izvoziti z **Export-Certificate** in uvoziti v zaupanja vredne shrambe potrdil z uporabo **Import-Certificate**. Z uvozom potrdila v shrambi **TrustedPublisher** in **Root** bo sistem zaupal skriptom, podpisanim s tem potrdilom. Skript **Management_Install.ps1** je nato podpisan z uporabo **Set-AuthenticodeSignature**.

Podpisovanje skriptov zagotavlja, da se lahko v sistemu izvajajo samo zaupanja vredni skripti, kar zagotavlja dodatno raven varnosti. Ta pristop je še posebej uporaben v okoljih s strogimi varnostnimi zahtevami, kjer so pravilniki izvajanja nastavljeni na **AllSigned** ali **RemoteSigned**. S podpisom skripta lahko skrbniki zagotovijo, da skripti niso spremenjeni in da izvirajo iz zaupanja vrednega vira, s čimer ublažijo morebitna varnostna tveganja. Ta metoda združuje varnost s funkcionalnostjo in omogoča izvajanje potrebnih skriptov ob ohranjanju celovitosti sistema.

Nastavitev pravilnika izvajanja na Bypass v PowerShell

Skript PowerShell 

# Ensure the script execution policy is set to Bypass
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force

# Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

# Execute the PowerShell script
powershell .\Management_Install.ps1

Uporaba paketnega skripta za spreminjanje pravilnika izvajanja in zagon skripta PowerShell

Paketni skript 

@echo off

:: Set PowerShell execution policy to Bypass
powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force"

:: Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

:: Run the PowerShell script
powershell -File .\Management_Install.ps1

pause

Ustvarjanje podpisanega skripta PowerShell

Skript PowerShell s podpisovanjem 

# Sample script content
Write-Output "Executing Management Install Script"

# Save this script as Management_Install.ps1

# To sign the script, follow these steps:
# 1. Create a self-signed certificate (if you don't have one)
$cert = New-SelfSignedCertificate -DnsName "PowerShellLocalCert" -CertStoreLocation "Cert:\LocalMachine\My"

# 2. Export the certificate to a file
Export-Certificate -Cert $cert -FilePath "C:\PowerShellLocalCert.cer"

# 3. Import the certificate to Trusted Publishers and Trusted Root Certification Authorities
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\TrustedPublisher"
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\Root"

# 4. Sign the script with the certificate
Set-AuthenticodeSignature -FilePath .\Management_Install.ps1 -Certificate $cert

Zagotavljanje skladnosti s politiko izvajanja skripta in varnosti sistema

Pri upravljanju sistema Windows Server 2008 R2 je ključno razumeti različne pravilnike izvajanja, ki so na voljo v lupini PowerShell, in njihov vpliv na izvajanje skripta. Politike izvajanja PowerShell so zasnovane tako, da preprečujejo izvajanje potencialno škodljivih skriptov. Štirje glavni pravilniki so **Restricted**, **AllSigned**, **RemoteSigned** in **Unrestricted**. **Omejeno** je privzeti pravilnik in ne dovoljuje izvajanja nobenih skriptov. **AllSigned** zahteva, da vse skripte in konfiguracijske datoteke podpiše zaupanja vreden založnik. **RemoteSigned** zahteva, da vse skripte in konfiguracijske datoteke, prenesene iz interneta, podpiše zaupanja vreden izdajatelj, vendar omogoča, da se lokalno ustvarjeni skripti izvajajo brez podpisa.

Razumevanje teh pravilnikov pomaga skrbnikom izbrati pravo raven varnosti za njihovo okolje. V scenarijih, kjer je treba skripte redno izvajati, je nastavitev pravilnika na **Neomejeno** lahko tvegana, saj omogoča izvajanje vseh skriptov brez kakršnih koli omejitev. Namesto tega naj skrbniki razmislijo o uporabi **RemoteSigned** ali **AllSigned** za ravnotežje med varnostjo in funkcionalnostjo. S podpisovanjem skriptov in upravljanjem potrdil lahko skrbniki zagotovijo, da se v njihovih sistemih izvajajo le zaupanja vredni skripti, kar zmanjša tveganje za izvajanje zlonamerne kode.

Pogosta vprašanja in odgovori o pravilnikih o izvajanju skriptov PowerShell

  1. Kako preverim trenutno politiko izvajanja v svojem sistemu?
  2. Uporabite ukaz Get-ExecutionPolicy v PowerShell, da preverite trenutni pravilnik izvajanja.
  3. Kako lahko trajno spremenim politiko izvajanja za vse uporabnike?
  4. Uporabite ukaz Set-ExecutionPolicy -ExecutionPolicy [PolicyName] -Scope LocalMachine da spremenite politiko izvajanja za vse uporabnike.
  5. Kaj naj storim, če naletim na skript, ki ga ni mogoče izvesti zaradi omejitev pravilnika?
  6. Začasno nastavite pravilnik na **Bypass** z uporabo Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process in zaženite skript.
  7. Ali je varno uporabljati pravilnik **Neomejeno**?
  8. Uporaba **Neomejeno** ni priporočljiva za produkcijska okolja, saj omogoča izvajanje vseh skriptov, kar je lahko varnostno tveganje.
  9. Kako podpišem skript PowerShell?
  10. Ustvarite samopodpisano potrdilo z uporabo New-SelfSignedCertificate in nato podpišite skript z uporabo Set-AuthenticodeSignature.
  11. Ali lahko omejim izvajanje skripta samo na zaupanja vredne skripte?
  12. Da, tako da nastavite pravilnik izvajanja na **AllSigned** ali **RemoteSigned** in podpišete svoje skripte.
  13. Kakšna je razlika med pravilnikoma **AllSigned** in **RemoteSigned**?
  14. **AllSigned** zahteva, da vse skripte podpiše zaupanja vreden založnik, medtem ko **RemoteSigned** zahteva podpis samo skriptov, prenesenih iz interneta.
  15. Kako ustvarim samopodpisano potrdilo za podpisovanje skriptov?
  16. Uporabite ukaz New-SelfSignedCertificate -DnsName "PowerShellLocalCert" -CertStoreLocation "Cert:\LocalMachine\My" za ustvarjanje samopodpisanega potrdila.
  17. Kakšna so varnostna tveganja zaradi onemogočanja politik izvajanja skriptov?
  18. Če onemogočite pravilnike o izvajanju skriptov, lahko vaš sistem izpostavite zlonamernim skriptom, kar povzroči morebitne vdore v varnost in izgubo podatkov.

Ključni zaključki

Zagotavljanje pravilne politike izvajanja lupine PowerShell je ključnega pomena za izvajanje skriptov v sistemu Windows Server 2008 R2. Nastavitev pravilnika na Bypass ali uporaba paketnih datotek lahko začasno reši težave z izvajanjem, vendar podpisovanje skriptov ponuja bolj varno in dolgoročno rešitev. Skrbniki se morajo zavedati varnostnih posledic različnih politik izvajanja in izvajati ukrepe, ki uravnotežijo varnost z operativnimi potrebami.