PowerShell 脚本执行策略

为防止恶意脚本的执行,PowerShell 中设计了一个叫做执行策略(Execution Policy)的东西(我更倾向于把它叫做脚本执行策略)。我们可以在不同的应用场景中设置不同的策略来防止恶意脚本的执行。本文主要是解释这些执行策略,因为笔者在学习的时候发现它们并不是那么清晰易懂。
PowerShell 提供了 Restricted、AllSigned、RemoteSigned、Unrestricted、Bypass、Undefined 六种类型的执行策略,接下来我们一一介绍。

Restricted

单词 Restricted 的意思是 "受限制的",所以这种执行策略主要是限制脚本的执行。说简单点就是:可以执行单个的命令,但是不能执行脚本。当执行策略为 Restricted 时运行脚本会收到下面的错误:

遗憾的是在 Windows 8, Windows Server 2012, and Windows 8.1 的系统中,Restricted 被设置为默认的执行策略。所以在这些环境中要执行 PowerShell 脚本的第一件事就是调整脚本的执行策略。比如设置成不会限制脚本执行的 Bypass:

Set-ExecutionPolicy -ExecutionPolicy Bypass

注意,设置脚本的执行策略需要管理员权限,因此你需要以管理员权限启动 PowerShell ,然后执行上面的命令。

AllSigned

Signed 在这里指有数字签名的脚本,也就是说 AllSigned 执行策略允许执行所有具有数字签名的脚本。当然我们也可以换个角度说:只能运行具有数字签名的脚本。据我所知我们能见到的绝大多数的 PowerShell 脚本是没有数字签名的。如果运行没有签名的脚本,会提示下面的错误:

接下来我们要搞清楚如何给一个 PowerShell 脚本签名(打上数字签名)?并且在 AllSigned 执行策略下执行这个脚本。
给 PowerShell 脚本签名需要使用 Set-AuthenticodeSignature 命令,当然前提是你得拥有一个合法的数字证书。比如笔者使用的数字证书文件名为 test.pfx。先用数字证书文件构建一个证书对象:

$cert = Get-PfxCertificate -FilePath "test.pfx"

一般情况下都会为证书设置密码,所以这一步需要输入密码进行验证。然后为 demo.ps1 脚本文件签名:

Set-AuthenticodeSignature -FilePath "demo.ps1" `
    -Certificate $cert -IncludeChain "All" `
    -TimeStampServer "http://timestamp.verisign.com/scripts/timstamp.dll"

上图中最后一行中间列显示文件的前面状态为 Valid,表示已经签名成功。让我们再来看看 demo.ps1 脚本文件都发生了什么变化!打开 demo.ps1 文件的属性界面:

比原来多了一个 "Digital Signatures" 标签页,这里便是数字签名的信息。接着打开 demo.ps1 看看:

除了第一行脚本命令外,被添加了很多行的注释,这都是数字签名干的。
接下来我们在 AllSigned 执行策略下运行一下脚本 demo.ps1:

这次的提示是说你的系统还没有信任这个证书的持有者(笔者把证书持有者的信息打码了:)),要不要运行这个脚本?此时就需要用户做出判断了,如果选择  "Always run",不仅会执行该脚本,还会把该证书添加到信任列表中:

上图便是选择 "Always run" 之后证书管理器中的信息,笔者用来签名脚本的数字证书已经被添加到信任列表中了(就是右边红框中的证书信息)。一旦信任了这个数字证书,以后再执行由这个数字证书签名的脚本就不会再有提示了!
注意:数字证书的使用只是增添了一道安全机制,绝不意味着有数字签名的脚本就一定是安全可靠的。国内某证书颁发机构就因为没有底线乱发证书而被谷歌、火狐等产品移出了信任列表。既然有这样的证书颁发机构存在,就会有人借机购买数字证书并给恶意的脚本签名,所以不能仅凭是否有数字签名来区分脚本是否可信。

RemoteSigned

从 Windows Server 2012 R2 开始,PowerShell 中默认的执行策略改成了 RemoteSigned。这个执行策略的意思是:当执行从网络上下载的脚本时,需要脚本具有数字签名,否则不会运行这个脚本。如果是在本地创建的脚本则可以直接执行,不要求脚本具有数字签名。
那么问题来了,PowerShell 是如何知道脚本是本地创建的还是从网络上下载下来的?
原来,在 Windows 提供的 API 中,有个枚举可以标识文件的来源。

public enum SecurityZone
{
    NoZone = -1,
    MyComputer = 0,
    Intranet = 1,
    Trusted = 2,
    Internet = 3,
    Untrusted = 4,
}

当浏览器或者 outlook 这样的工具从网络上下载文件时,应该通过 Windows 系统提供的 API 把这个枚举的值进行更新。让我们从网络上下载一个 powershell 文(其实可以是任何文件),文件名为 0Start.ps1,右键打开属性界面:

上图红框中的内容便是对相关属性的描述。我们还可以通过下面的命令在记事本中以文本的方式显示其属性:

这里显示的已经很清楚了,ZoneId=3 表明这个文件是从网络上下载的。

Unrestricted

这是一种比较宽容的策略,允许运行未签名的脚本。对于从网络上下载的脚本,在运行前会进行安全性提示:

但这仅仅是个提示,还是允许脚本执行的。

Bypass

Bypass 执行策略对脚本的执行不设任何的限制,任何脚本都可以执行,并且不会有安全性提示。

Undefined

Undefined 表示没有设置脚本策略。当然此时会发生继承或应用默认的脚本策略。

Execution Policy Scope

Scope  指执行策略的应用范围。原来我们可以给不同的应用范围设置执行策略。比如进程、当前用户和本机。
Get-ExecutionPolicy 和 Set-ExecutionPolicy 命令默认操作的都是本机的脚本执行策略。如果要获得当前用户的执行策略可以使用 -Scope 选项:

Get-ExecutionPolicy -Scope CurrentUser

同样如果仅修改当前用户的执行策略可以在 Set-ExecutionPolicy 命令中使用 scope 参数。

Set-ExecutionPolicy -ExecutionPolicy <PolicyName> -Scope CurrentUser

总结

很明显,PowerShell 精心设计了脚本的执行策略。遗憾的是在 Windows 8, Windows Server 2012, and Windows 8.1 的系统中,Restricted 被设置为默认的执行策略。这让学习 PowerShell 的新手们多少有些不知所措,因为所有人都会在第一次执行脚本时遭遇不能执行的问题。还好 MS 在新的系统中把默认的执行策略改成了 RemoteSigned,至少对新手来说更友好了。

时间: 2024-10-26 13:51:59

PowerShell 脚本执行策略的相关文章

Windows Powershell脚本执行

在cmd下执行powershell进入shell模式: Windows下的命令都可以执行如: date ping ipconfig shutdown -r ipconfig | select-string -pattern 255 ipconfig | findstr "Address" 1.执行脚本准备: Get-ExecutionPolicy 你可以选择使用的执行策略有: Restricted - 脚本不能运行. RemoteSigned - 本地创建的脚本可以运行,但从网上下载的

2. PowerShell -- 脚本执行权限

1. Powershell  脚本运行的几种权限介绍 Restricted--默认的设置, 不允许任何script运行 AllSigned--只能运行经过数字证书签名的script RemoteSigned--运行本地的script不需要数字签名,但是运行从网络上下载的script就必须要有数字签名 Unrestricted--允许所有的script运行,但是在运行前会提示是否进行操作 Bypass: --允许所有的script运行,没有任何的提示和警告,开发者多时候此策略 2.  查看当前Po

POWERSHELL脚本执行权限

Restricted——默认的设置, 不允许任何script运行 AllSigned——只能运行经过数字证书签名的script RemoteSigned——运行本地的script不需要数字签名,但是运行从网络上下载的script就必须要有数字签名 Unrestricted——允许所有的script运行 使用如下命令让PowerShell运行在无限制的环境之下: Set-ExecutionPolicy Unrestricted

PowerShell 脚本域策略管理

大中型企业中,会设置许多组策略进行日常运维管理 ,毕然里面也存在许多废弃的策略,需要我们定期清理我们的组策略信息.通常我们导出HTML报告方式来帮助我们分析组策略信息: #1 首先需要加载GroupPolicy模块: Import-Module GroupPolicy 将GPO导出为一个HTML报告: Get-GPOReport -All -ReportType html -Path C:\GPOReports\GposReport.html #2 将每个GPO导出生成自己的HTML报告中: G

python虚拟环境virtualenv与powershell 运行脚本由执行策略引起的问题

一.为什么要创建虚拟环境: 应为在开发中会有同时对一个包不同版本的需求,创建多个开发环境就能解决这个问题.或许也会有对python不同版本的需求,这就需要使用程序来管理不同的版本,virtualenv与virtualenvwrapper就好比能创造出来一个一个的独立容器,各个容器之间互不干扰,所以我们就可以在每个容器中安装我们需要的依赖包 虚拟环境是Python解释器的一个私有的副本,在这个环境中你可以安装私有包,而且不会影响系统中安装的全局Python解释器.虚拟环境非常的有用,可以在系统中P

PowerShell【初级篇●执行策略】

Windows PowerShell 执行策略决定是否允许脚本运行,如果它们可以运行,则决定它们是否必须经过数字签名.它还确定是否可以加载配置文件. 默认的执行策略 Restricted 是最安全的执行策略.它不允许任何脚本运行,而且不允许加载任何配置文件,其中包括 Windows PowerShell 配置文件.您仍然能够以交互方式使用 Windows PowerShell. 但是,如果要运行脚本或加载配置文件,则可以更改系统上的执行策略.有关信息和说明,请键入: get-help about

PowerShell~执行策略的介绍

首先看一下无法加载ps1脚本的解决方法 事实上也是由于策略导致的  解决方法主是开启对应的策略 set-ExecutionPolicy RemoteSigned 执行策略更改 执行策略可以防止您执行不信任的脚本.更改执行策略可能会使您面临 about_Execution_Policies 帮助主题中所述的安全风险.是否要更改执行策略? [Y] 是(Y) [N] 否(N) [S] 挂起(S) [?] 帮助 (默认值为“Y”): y 回车就可以了 查看当前的策略 get-executionpolic

云服务程序在启动的时候执行Powershell脚本

如果在云服务程序启动时候,需要执行Powershell脚本,我们需要将脚本嵌入到程序中,并且编写一个cmd来执行这个脚本,具体如下: 1.编写测试的Powershell脚本:每隔10分钟 检测dns $TimeStart = Get-Date $TimeEnd = $timeStart.addminutes(1440) $name = "cnppmedia.blob.core.chinacloudapi.cn." $result = "d:\nslookuplog.txt&q

如何让powershell脚本可以在计划任务中自动执行

今天在测试PS脚本的时候,,突然想到,让脚本每天定时自动执行,因为以前有做过Bat的经验,就想,这个还不简单,直接在windows的计划任务中创建任务不就可以了吗?于是就动手测试了,结果发现悲剧了,PS1后缀的脚本无法直接在计划任务中执行好吧,只能找度娘出马了,于是找了这种方法,自己记录一下1:我这边在我的电脑上写了一个简单的获取服务的脚本,之后保存为services.ps1这样的名称        get-service  | where{$_.status -eq "running"