解决 Windows Server 2008 R2 上的 PowerShell 脚本执行问题

解决 Windows Server 2008 R2 上的 PowerShell 脚本执行问题
解决 Windows Server 2008 R2 上的 PowerShell 脚本执行问题
Daniel Marino
2024年7月12日星期五 下午2:09:28

对 PowerShell 脚本执行限制进行故障排除

使用 Windows Server 2008 R2 时,用户可能会遇到错误,指示系统上禁用了 PowerShell 脚本的执行。尝试通过 cmd.exe 运行脚本时,即使将执行策略设置为“无限制”,也可能会出现此问题。

尽管确认执行策略设置为“无限制”,但脚本仍可能无法执行,从而导致挫败感并阻碍进度。本指南将探讨此问题的常见原因,并提供确保成功执行脚本的步骤。

命令 描述
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force 暂时将当前 PowerShell 会话的脚本执行策略设置为“绕过”,允许不受限制地执行所有脚本。
powershell -File .\Management_Install.ps1 从命令行执行指定的 PowerShell 脚本文件。
New-SelfSignedCertificate 创建新的自签名证书,可用于签署 PowerShell 脚本以实现可信执行。
Export-Certificate 将证书导出到文件,然后可以将其导入到其他证书存储中。
Import-Certificate 将证书导入到指定的证书存储中,例如受信任的发布者或根证书颁发机构。
Set-AuthenticodeSignature 使用指定的证书对 PowerShell 脚本进行签名,允许其在启用了脚本签名策略的系统上执行。

了解和实施 PowerShell 中的脚本执行策略

提供的脚本旨在解决 Windows Server 2008 R2 上禁用 PowerShell 脚本执行的问题。第一个脚本使用 **Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force** 将当前 PowerShell 会话的执行策略设置为 **Bypass**。该命令允许所有脚本暂时不受限制地运行。然后,该脚本导航到包含 **Management_Install.ps1** 脚本的目录,并使用 **powershell .Management_Install.ps1** 执行它。这种方法确保执行策略的更改只是暂时的,不会影响系统的整体安全态势。

第二个脚本是一个批处理文件,也将执行策略设置为**绕过**,但从命令行执行此操作。它使用 **powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force"** 来实现此目的。更改执行策略后,脚本将导航到脚本目录并使用 **powershell -File .Management_Install.ps1** 运行 PowerShell 脚本。批处理脚本以 **pause** 命令结束,以保持命令提示符窗口打开,从而允许用户查看任何输出或错误消息。此方法对于自动化流程并将其集成到更大的批量流程中非常有用。

PowerShell 中的脚本签名和安全性

第三个脚本示例演示如何对 PowerShell 脚本进行签名以遵守更严格的执行策略。首先,使用 **New-SelfSignedCertificate** 创建自签名证书。然后可以使用 **Export-Certificate** 导出该证书,并使用 **Import-Certificate** 导入到受信任的证书存储中。通过将证书导入 **TrustedPublisher** 和 **Root** 存储,系统将信任使用此证书签名的脚本。然后使用 **Set-AuthenticodeSignature** 对脚本 **Management_Install.ps1** 进行签名。

脚本签名可确保只有受信任的脚本才能在系统上执行,从而提供额外的安全层。此方法在执行策略设置为 **AllSigned** 或​​ **RemoteSigned** 的具有严格安全要求的环境中特别有用。通过对脚本进行签名,管理员可以确保脚本不被篡改且来自可信来源,从而降低潜在的安全风险。此方法将安全性与功能结合起来,允许运行必要的脚本,同时保持系统完整性。

在 PowerShell 中将执行策略设置为绕过

PowerShell脚本 

# Ensure the script execution policy is set to Bypass
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process -Force

# Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

# Execute the PowerShell script
powershell .\Management_Install.ps1

使用批处理脚本修改执行策略并运行PowerShell脚本

批处理脚本 

@echo off

:: Set PowerShell execution policy to Bypass
powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force"

:: Navigate to the script directory
cd "C:\Projects\Microsoft.Practices.ESB\Source\Samples\Management Portal\Install\Scripts"

:: Run the PowerShell script
powershell -File .\Management_Install.ps1

pause

创建签名的 PowerShell 脚本

带签名的 PowerShell 脚本 

# Sample script content
Write-Output "Executing Management Install Script"

# Save this script as Management_Install.ps1

# To sign the script, follow these steps:
# 1. Create a self-signed certificate (if you don't have one)
$cert = New-SelfSignedCertificate -DnsName "PowerShellLocalCert" -CertStoreLocation "Cert:\LocalMachine\My"

# 2. Export the certificate to a file
Export-Certificate -Cert $cert -FilePath "C:\PowerShellLocalCert.cer"

# 3. Import the certificate to Trusted Publishers and Trusted Root Certification Authorities
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\TrustedPublisher"
Import-Certificate -FilePath "C:\PowerShellLocalCert.cer" -CertStoreLocation "Cert:\LocalMachine\Root"

# 4. Sign the script with the certificate
Set-AuthenticodeSignature -FilePath .\Management_Install.ps1 -Certificate $cert

确保脚本执行策略合规性和系统安全

管理 Windows Server 2008 R2 时,了解 PowerShell 中可用的不同执行策略以及它们如何影响脚本执行至关重要。 PowerShell 执行策略旨在防止执行可能有害的脚本。四个主要策略是 **Restricted**、**AllSigned**、**RemoteSigned** 和 **Unrestricted**。 **Restricted** 是默认策略,不允许运行任何脚本。 **AllSigned** 要求所有脚本和配置文件均由受信任的发布者签名。 **RemoteSigned** 要求从 Internet 下载的所有脚本和配置文件均由受信任的发布者签名,但允许本地创建的脚本在没有签名的情况下运行。

了解这些策略有助于管理员为其环境选择正确的安全级别。在需要定期执行脚本的场景中,将策略设置为**无限制**可能存在风险,因为它允许所有脚本不受任何限制地运行。相反,管理员应考虑使用 **RemoteSigned** 或​​ **AllSigned** 来平衡安全性与功能。通过签署脚本和管理证书,管理员可以确保只有受信任的脚本在其系统上运行,从而降低运行恶意代码的风险。

有关 PowerShell 脚本执行策略的常见问题和解答

  1. 如何检查系统上当前的执行策略?
  2. 使用命令 Get-ExecutionPolicy 在PowerShell中检查当前的执行策略。
  3. 如何永久更改所有用户的执行策略?
  4. 使用命令 Set-ExecutionPolicy -ExecutionPolicy [PolicyName] -Scope LocalMachine 更改所有用户的执行策略。
  5. 遇到因策略限制而无法执行的脚本怎么办?
  6. 使用以下命令暂时将策略设置为 **绕过** Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process 并运行脚本。
  7. 使用**无限制**政策安全吗?
  8. 不建议在生产环境中使用 **Unrestricted**,因为它允许所有脚本运行,这可能存在安全风险。
  9. 如何签署 PowerShell 脚本?
  10. 使用创建自签名证书 New-SelfSignedCertificate 然后使用签署脚本 Set-AuthenticodeSignature
  11. 我可以限制脚本仅执行受信任的脚本吗?
  12. 是的,通过将执行策略设置为 **AllSigned** 或​​ **RemoteSigned** 并对脚本进行签名。
  13. **AllSigned** 和 **RemoteSigned** 策略之间有什么区别?
  14. **AllSigned** 要求所有脚本都由受信任的发布者签名,而 **RemoteSigned** 只需要对从 Internet 下载的脚本进行签名。
  15. 如何创建用于脚本签名的自签名证书?
  16. 使用命令 New-SelfSignedCertificate -DnsName "PowerShellLocalCert" -CertStoreLocation "Cert:\LocalMachine\My" 创建自签名证书。
  17. 禁用脚本执行策略有哪些安全风险?
  18. 禁用脚本执行策略可能会使您的系统暴露于恶意脚本,从而导致潜在的安全漏洞和数据丢失。

要点

确保正确的 PowerShell 执行策略对于在 Windows Server 2008 R2 上运行脚本至关重要。将政策设置为 Bypass 或使用批处理文件可以暂时解决执行问题,但签名脚本提供了更安全的长期解决方案。管理员应了解不同执行策略的安全影响,并实施平衡安全性与操作需求的措施。