Giải quyết các sự cố thực thi tập lệnh PowerShell trên Windows Server 2008 R2

Giải quyết các sự cố thực thi tập lệnh PowerShell trên Windows Server 2008 R2
Giải quyết các sự cố thực thi tập lệnh PowerShell trên Windows Server 2008 R2
Daniel Marino
15:14:03 Thứ Sáu, 12 tháng 7, 2024

Khắc phục sự cố hạn chế thực thi tập lệnh PowerShell

Khi làm việc với Windows Server 2008 R2, người dùng có thể gặp phải lỗi cho biết việc thực thi tập lệnh PowerShell bị tắt trên hệ thống. Sự cố này có thể phát sinh khi cố chạy tập lệnh qua cmd.exe, ngay cả sau khi đặt chính sách thực thi thành Không giới hạn.

Mặc dù xác nhận rằng chính sách thực thi được đặt thành Không giới hạn, các tập lệnh vẫn có thể không thực thi được, gây ra sự thất vọng và cản trở tiến trình. Hướng dẫn này sẽ khám phá những nguyên nhân phổ biến của sự cố này và cung cấp các bước để đảm bảo thực thi tập lệnh thành công.

Yêu cầu Sự miêu tả
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force Tạm thời đặt chính sách thực thi tập lệnh thành Bỏ qua cho phiên PowerShell hiện tại, cho phép thực thi tất cả tập lệnh mà không bị hạn chế.
powershell -File .\Management_Install.ps1 Thực thi tệp tập lệnh PowerShell được chỉ định từ dòng lệnh.
New-SelfSignedCertificate Tạo chứng chỉ tự ký mới, chứng chỉ này có thể được sử dụng để ký các tập lệnh PowerShell nhằm thực thi đáng tin cậy.
Export-Certificate Xuất chứng chỉ thành một tệp, sau đó có thể nhập chứng chỉ này vào các kho chứng chỉ khác.
Import-Certificate Nhập chứng chỉ vào kho chứng chỉ được chỉ định, chẳng hạn như Nhà xuất bản đáng tin cậy hoặc Cơ quan cấp chứng chỉ gốc.
Set-AuthenticodeSignature Ký tập lệnh PowerShell với chứng chỉ được chỉ định, cho phép tập lệnh được thực thi trên các hệ thống đã bật chính sách ký tập lệnh.

Hiểu và triển khai các chính sách thực thi tập lệnh trong PowerShell

Các tập lệnh được cung cấp nhằm mục đích giải quyết vấn đề thực thi tập lệnh PowerShell bị vô hiệu hóa trên Windows Server 2008 R2. Tập lệnh đầu tiên đặt chính sách thực thi thành **Bỏ qua** cho phiên PowerShell hiện tại bằng cách sử dụng **Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force**. Lệnh này cho phép tạm thời tất cả các tập lệnh chạy mà không bị hạn chế. Sau đó, tập lệnh sẽ điều hướng đến thư mục chứa tập lệnh **management_Install.ps1** và thực thi tập lệnh đó bằng cách sử dụng **powershell .management_Install.ps1**. Cách tiếp cận này đảm bảo rằng việc thay đổi chính sách thực thi chỉ là tạm thời và không ảnh hưởng đến trạng thái bảo mật chung của hệ thống.

Tập lệnh thứ hai, một tệp bó, cũng đặt chính sách thực thi thành **Bỏ qua** nhưng thực hiện như vậy từ dòng lệnh. Nó sử dụng **powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force"** để đạt được điều này. Sau khi thay đổi chính sách thực thi, tập lệnh sẽ điều hướng đến thư mục tập lệnh và chạy tập lệnh PowerShell bằng cách sử dụng **powershell -File .management_Install.ps1**. Tập lệnh bó kết thúc bằng lệnh **tạm dừng** để giữ cửa sổ nhắc lệnh mở, cho phép người dùng xem bất kỳ thông báo lỗi hoặc đầu ra nào. Phương pháp này rất hữu ích để tự động hóa quy trình và tích hợp nó vào các quy trình hàng loạt lớn hơn.

Ký tập lệnh và bảo mật trong PowerShell

Ví dụ tập lệnh thứ ba minh họa cách ký tập lệnh PowerShell để tuân thủ các chính sách thực thi chặt chẽ hơn. Đầu tiên, chứng chỉ tự ký được tạo bằng cách sử dụng **Chứng chỉ tự ký mới**. Sau đó, chứng chỉ này có thể được xuất cùng với **Chứng chỉ xuất khẩu** và được nhập vào các kho chứng chỉ đáng tin cậy bằng cách sử dụng **Chứng chỉ nhập khẩu**. Bằng cách nhập chứng chỉ vào kho lưu trữ **TrustedPublisher** và **Root**, hệ thống sẽ tin cậy các tập lệnh được ký bằng chứng chỉ này. Sau đó, tập lệnh **Quản lý_Install.ps1** được ký bằng cách sử dụng **Set-AuthenticodeSignature**.

Việc ký tập lệnh đảm bảo rằng chỉ những tập lệnh đáng tin cậy mới có thể thực thi trên hệ thống, cung cấp thêm một lớp bảo mật. Cách tiếp cận này đặc biệt hữu ích trong các môi trường có yêu cầu bảo mật nghiêm ngặt trong đó các chính sách thực thi được đặt thành **AllSigned** hoặc **RemoteSigned**. Bằng cách ký vào tập lệnh, quản trị viên có thể đảm bảo rằng tập lệnh không bị giả mạo và đến từ một nguồn đáng tin cậy, do đó giảm thiểu rủi ro bảo mật tiềm ẩn. Phương pháp này kết hợp bảo mật với chức năng, cho phép chạy các tập lệnh cần thiết trong khi vẫn duy trì tính toàn vẹn của hệ thống.

Đặt chính sách thực thi thành bỏ qua trong PowerShell

Tập lệnh PowerShell 

# Ensure the script execution policy is set to Bypass
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force

# Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

# Execute the PowerShell script
powershell .\Management_Install.ps1

Sử dụng tập lệnh Batch để sửa đổi chính sách thực thi và chạy tập lệnh PowerShell

Tập lệnh hàng loạt 

@echo off

:: Set PowerShell execution policy to Bypass
powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force"

:: Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

:: Run the PowerShell script
powershell -File .\Management_Install.ps1

pause

Tạo tập lệnh PowerShell đã ký

Tập lệnh PowerShell có chữ ký 

# Sample script content
Write-Output "Executing Management Install Script"

# Save this script as Management_Install.ps1

# To sign the script, follow these steps:
# 1. Create a self-signed certificate (if you don't have one)
$cert = New-SelfSignedCertificate -DnsName "PowerShellLocalCert" -CertStoreLocation "Cert:\LocalMachine\My"

# 2. Export the certificate to a file
Export-Certificate -Cert $cert -FilePath "C:\PowerShellLocalCert.cer"

# 3. Import the certificate to Trusted Publishers and Trusted Root Certification Authorities
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\TrustedPublisher"
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\Root"

# 4. Sign the script with the certificate
Set-AuthenticodeSignature -FilePath .\Management_Install.ps1 -Certificate $cert

Đảm bảo tuân thủ chính sách thực thi tập lệnh và bảo mật hệ thống

Khi quản lý Windows Server 2008 R2, điều quan trọng là phải hiểu các chính sách thực thi khác nhau có sẵn trong PowerShell và cách chúng tác động đến việc thực thi tập lệnh. Chính sách thực thi PowerShell được thiết kế để ngăn chặn việc thực thi các tập lệnh có khả năng gây hại. Bốn chính sách chính là **Bị hạn chế**, **AllSigned**, **RemoteSigned** và **Unrestricted**. **Bị hạn chế** là chính sách mặc định và không cho phép bất kỳ tập lệnh nào chạy. **AllSigned** yêu cầu tất cả tập lệnh và tệp cấu hình phải được nhà xuất bản đáng tin cậy ký. **RemoteSigned** yêu cầu tất cả các tập lệnh và tệp cấu hình được tải xuống từ internet phải có chữ ký của nhà xuất bản đáng tin cậy nhưng cho phép các tập lệnh được tạo cục bộ chạy mà không cần chữ ký.

Việc hiểu rõ các chính sách này sẽ giúp quản trị viên chọn mức độ bảo mật phù hợp cho môi trường của họ. Trong các trường hợp cần thực thi tập lệnh thường xuyên, việc đặt chính sách thành **Không hạn chế** có thể gặp rủi ro vì nó cho phép tất cả các tập lệnh chạy mà không có bất kỳ hạn chế nào. Thay vào đó, quản trị viên nên cân nhắc sử dụng **RemoteSigned** hoặc **AllSigned** để cân bằng giữa bảo mật và chức năng. Bằng cách ký tập lệnh và quản lý chứng chỉ, quản trị viên có thể đảm bảo rằng chỉ những tập lệnh đáng tin cậy mới chạy trên hệ thống của họ, giảm nguy cơ chạy mã độc.

Các câu hỏi và câu trả lời thường gặp về Chính sách thực thi tập lệnh PowerShell

  1. Làm cách nào để kiểm tra chính sách thực thi hiện tại trên hệ thống của tôi?
  2. Sử dụng lệnh Get-ExecutionPolicy trong PowerShell để kiểm tra chính sách thực thi hiện tại.
  3. Làm cách nào tôi có thể thay đổi vĩnh viễn chính sách thực thi cho tất cả người dùng?
  4. Sử dụng lệnh Set-ExecutionPolicy -ExecutionPolicy [PolicyName] -Scope LocalMachine để thay đổi chính sách thực thi cho tất cả người dùng.
  5. Tôi nên làm gì nếu gặp phải một tập lệnh không thể thực thi do các hạn chế về chính sách?
  6. Tạm thời đặt chính sách thành **Bỏ qua** bằng cách sử dụng Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process và chạy tập lệnh.
  7. Sử dụng chính sách **Không hạn chế** có an toàn không?
  8. Bạn không nên sử dụng **Không hạn chế** cho môi trường sản xuất vì nó cho phép tất cả các tập lệnh chạy, điều này có thể gây ra rủi ro bảo mật.
  9. Làm cách nào để ký tập lệnh PowerShell?
  10. Tạo chứng chỉ tự ký bằng cách sử dụng New-SelfSignedCertificate và sau đó ký vào tập lệnh bằng cách sử dụng Set-AuthenticodeSignature.
  11. Tôi có thể hạn chế việc thực thi tập lệnh chỉ ở những tập lệnh đáng tin cậy không?
  12. Có, bằng cách đặt chính sách thực thi thành **AllSigned** hoặc **RemoteSigned** và ký tập lệnh của bạn.
  13. Sự khác biệt giữa các chính sách **AllSigned** và **RemoteSigned** là gì?
  14. **AllSigned** yêu cầu tất cả các tập lệnh phải được ký bởi một nhà xuất bản đáng tin cậy, trong khi **RemoteSigned** chỉ yêu cầu các tập lệnh được tải xuống từ internet phải được ký.
  15. Làm cách nào để tạo chứng chỉ tự ký để ký tập lệnh?
  16. Sử dụng lệnh New-SelfSignedCertificate -DnsName "PowerShellLocalCert" -CertStoreLocation "Cert:\LocalMachine\My" để tạo chứng chỉ tự ký.
  17. Rủi ro bảo mật khi vô hiệu hóa chính sách thực thi tập lệnh là gì?
  18. Việc vô hiệu hóa các chính sách thực thi tập lệnh có thể khiến hệ thống của bạn gặp phải các tập lệnh độc hại, dẫn đến nguy cơ vi phạm bảo mật và mất dữ liệu.

Bài học chính

Việc đảm bảo chính sách thực thi PowerShell chính xác là rất quan trọng để chạy tập lệnh trên Windows Server 2008 R2. Đặt chính sách thành Bypass hoặc sử dụng tệp bó có thể tạm thời giải quyết các vấn đề thực thi, nhưng việc ký tập lệnh sẽ mang lại giải pháp lâu dài, an toàn hơn. Quản trị viên cần nhận thức được ý nghĩa bảo mật của các chính sách thực thi khác nhau và thực hiện các biện pháp cân bằng giữa bảo mật với nhu cầu vận hành.