Вирішення проблем із виконанням сценарію PowerShell у Windows Server 2008 R2

Вирішення проблем із виконанням сценарію PowerShell у Windows Server 2008 R2
Вирішення проблем із виконанням сценарію PowerShell у Windows Server 2008 R2
Daniel Marino
пʼятниця, 12 липня 2024 р. о 15:10:44

Усунення проблем із обмеженнями виконання сценарію PowerShell

Під час роботи з Windows Server 2008 R2 користувачі можуть зіткнутися з помилкою, яка вказує на те, що в системі вимкнено виконання сценаріїв PowerShell. Ця проблема може виникнути під час спроби запустити сценарій через cmd.exe, навіть якщо для політики виконання встановлено значення Unrestricted.

Незважаючи на підтвердження того, що для політики виконання встановлено значення Unrestricted, сценарії все одно можуть не виконуватися, що спричиняє розчарування та перешкоджає прогресу. У цьому посібнику описано поширені причини цієї проблеми та надано кроки для забезпечення успішного виконання сценарію.

Команда опис
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force Тимчасово встановлює політику виконання сценаріїв на Обхід для поточного сеансу PowerShell, що дозволяє виконувати всі сценарії без обмежень.
powershell -File .\Management_Install.ps1 Виконує вказаний файл сценарію PowerShell із командного рядка.
New-SelfSignedCertificate Створює новий самопідписаний сертифікат, який можна використовувати для підпису сценаріїв PowerShell для надійного виконання.
Export-Certificate Експортує сертифікат у файл, який потім можна імпортувати в інші сховища сертифікатів.
Import-Certificate Імпортує сертифікат у вказане сховище сертифікатів, наприклад до надійних видавців або кореневих центрів сертифікації.
Set-AuthenticodeSignature Підписує сценарій PowerShell за допомогою вказаного сертифіката, що дозволяє виконувати його в системах із увімкненими політиками підпису сценаріїв.

Розуміння та впровадження політик виконання сценаріїв у PowerShell

Надані сценарії спрямовані на вирішення проблеми вимкнення виконання сценарію PowerShell у Windows Server 2008 R2. Перший сценарій встановлює політику виконання на **Bypass** для поточного сеансу PowerShell за допомогою **Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force**. Ця команда дозволяє тимчасово запускати всі сценарії без обмежень. Потім сценарій переходить до каталогу, що містить сценарій **Management_Install.ps1**, і виконує його за допомогою **powershell .Management_Install.ps1**. Цей підхід гарантує, що зміна політики виконання є лише тимчасовою та не впливає на загальний стан безпеки системи.

Другий сценарій, пакетний файл, також встановлює політику виконання на **Обхід**, але робить це з командного рядка. Для цього використовується **powershell -команда "Set-ExecutionPolicy Bypass -Scope Process -Force"**. Після зміни політики виконання сценарій переходить до каталогу сценаріїв і запускає сценарій PowerShell за допомогою **powershell -File .Management_Install.ps1**. Пакетний сценарій завершується командою **pause**, щоб вікно командного рядка залишалося відкритим, дозволяючи користувачеві бачити будь-які вихідні дані або повідомлення про помилки. Цей метод корисний для автоматизації процесу та його інтеграції у великі пакетні процеси.

Підписання сценаріїв і безпека в PowerShell

Третій приклад сценарію демонструє, як підписати сценарій PowerShell для відповідності суворішим політикам виконання. Спочатку створюється самопідписаний сертифікат за допомогою **New-SelfSignedCertificate**. Потім цей сертифікат можна експортувати за допомогою **Export-Certificate** та імпортувати в надійні сховища сертифікатів за допомогою **Import-Certificate**. Якщо імпортувати сертифікат у сховища **TrustedPublisher** і **Root**, система буде довіряти сценаріям, підписаним цим сертифікатом. Потім сценарій **Management_Install.ps1** підписується за допомогою **Set-AuthenticodeSignature**.

Підписання сценаріїв гарантує, що в системі можуть виконуватися лише надійні сценарії, забезпечуючи додатковий рівень безпеки. Цей підхід особливо корисний у середовищах із суворими вимогами безпеки, де для політики виконання встановлено значення **AllSigned** або **RemoteSigned**. Підписуючи сценарій, адміністратори можуть переконатися, що сценарії не змінено та походять із надійного джерела, таким чином зменшуючи потенційні ризики для безпеки. Цей метод поєднує безпеку з функціональністю, дозволяючи запускати необхідні сценарії, зберігаючи цілісність системи.

Налаштування політики виконання на обхід у PowerShell

Сценарій PowerShell 

# Ensure the script execution policy is set to Bypass
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force

# Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

# Execute the PowerShell script
powershell .\Management_Install.ps1

Використання пакетного сценарію для зміни політики виконання та запуску сценарію PowerShell

Пакетний сценарій 

@echo off

:: Set PowerShell execution policy to Bypass
powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force"

:: Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

:: Run the PowerShell script
powershell -File .\Management_Install.ps1

pause

Створення підписаного сценарію PowerShell

Сценарій PowerShell із підписом 

# Sample script content
Write-Output "Executing Management Install Script"

# Save this script as Management_Install.ps1

# To sign the script, follow these steps:
# 1. Create a self-signed certificate (if you don't have one)
$cert = New-SelfSignedCertificate -DnsName "PowerShellLocalCert" -CertStoreLocation "Cert:\LocalMachine\My"

# 2. Export the certificate to a file
Export-Certificate -Cert $cert -FilePath "C:\PowerShellLocalCert.cer"

# 3. Import the certificate to Trusted Publishers and Trusted Root Certification Authorities
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\TrustedPublisher"
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\Root"

# 4. Sign the script with the certificate
Set-AuthenticodeSignature -FilePath .\Management_Install.ps1 -Certificate $cert

Забезпечення відповідності політиці виконання сценаріїв і безпеки системи

Під час керування Windows Server 2008 R2 дуже важливо розуміти різні політики виконання, доступні в PowerShell, і те, як вони впливають на виконання сценаріїв. Політики виконання PowerShell призначені для запобігання виконанню потенційно шкідливих сценаріїв. Чотири основні політики: **Restricted**, **AllSigned**, **RemoteSigned** і **Unrestricted**. **Обмежено** є політикою за замовчуванням і не дозволяє запускати жодні сценарії. **AllSigned** вимагає, щоб усі сценарії та конфігураційні файли були підписані надійним видавцем. **RemoteSigned** вимагає, щоб усі сценарії та конфігураційні файли, завантажені з Інтернету, були підписані надійним видавцем, але дозволяє локально створеним сценаріям запускатися без підпису.

Розуміння цих політик допомагає адміністраторам вибрати правильний рівень безпеки для свого середовища. У сценаріях, коли сценарії потрібно виконувати регулярно, встановлення політики на **Необмежений** може бути ризикованим, оскільки це дозволяє всім сценаріям працювати без будь-яких обмежень. Натомість адміністратори повинні розглянути можливість використання **RemoteSigned** або **AllSigned**, щоб збалансувати безпеку та функціональність. Підписуючи сценарії та керуючи сертифікатами, адміністратори можуть переконатися, що в їхніх системах працюють лише надійні сценарії, зменшуючи ризик запуску шкідливого коду.

Поширені запитання та відповіді щодо політики виконання сценаріїв PowerShell

  1. Як перевірити поточну політику виконання в моїй системі?
  2. Використовуйте команду Get-ExecutionPolicy у PowerShell, щоб перевірити поточну політику виконання.
  3. Як я можу остаточно змінити політику виконання для всіх користувачів?
  4. Використовуйте команду Set-ExecutionPolicy -ExecutionPolicy [PolicyName] -Scope LocalMachine щоб змінити політику виконання для всіх користувачів.
  5. Що мені робити, якщо я зіткнувся зі сценарієм, який неможливо виконати через обмеження політики?
  6. Тимчасово встановіть політику на **Обхід** за допомогою Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process і запустіть сценарій.
  7. Чи безпечно використовувати політику **Необмежено**?
  8. Використовувати **Необмежений** не рекомендується для робочих середовищ, оскільки це дозволяє запускати всі сценарії, що може становити загрозу безпеці.
  9. Як підписати сценарій PowerShell?
  10. Створіть самопідписаний сертифікат за допомогою New-SelfSignedCertificate а потім підпишіть сценарій за допомогою Set-AuthenticodeSignature.
  11. Чи можу я обмежити виконання сценаріїв лише надійними сценаріями?
  12. Так, установивши політику виконання на **AllSigned** або **RemoteSigned** і підписавши свої сценарії.
  13. Яка різниця між політиками **AllSigned** і **RemoteSigned**?
  14. **AllSigned** вимагає, щоб усі сценарії були підписані надійним видавцем, тоді як **RemoteSigned** вимагає підписання лише сценаріїв, завантажених з Інтернету.
  15. Як створити самопідписаний сертифікат для підпису сценарію?
  16. Використовуйте команду New-SelfSignedCertificate -DnsName "PowerShellLocalCert" -CertStoreLocation "Cert:\LocalMachine\My" щоб створити самопідписаний сертифікат.
  17. Які ризики для безпеки пов’язані з вимкненням політики виконання сценаріїв?
  18. Вимкнення політики виконання сценаріїв може наражати вашу систему на шкідливі сценарії, що призведе до потенційних порушень безпеки та втрати даних.

Ключові висновки

Забезпечення правильної політики виконання PowerShell має вирішальне значення для запуску сценаріїв у Windows Server 2008 R2. Встановлення політики на Bypass або використання пакетних файлів може тимчасово вирішити проблеми з виконанням, але підписання сценаріїв пропонує більш безпечне, довгострокове рішення. Адміністратори повинні знати про наслідки для безпеки різних політик виконання та впроваджувати заходи, які збалансують безпеку з оперативними потребами.