PowerShell 脚本执行策略

简介:

为防止恶意脚本的执行,PowerShell 中设计了一个叫做执行策略(Execution Policy)的东西(我更倾向于把它叫做脚本执行策略)。我们可以在不同的应用场景中设置不同的策略来防止恶意脚本的执行。本文主要是解释这些执行策略,因为笔者在学习的时候发现它们并不是那么清晰易懂。
PowerShell 提供了 Restricted、AllSigned、RemoteSigned、Unrestricted、Bypass、Undefined 六种类型的执行策略,接下来我们一一介绍。

Restricted

单词 Restricted 的意思是 "受限制的",所以这种执行策略主要是限制脚本的执行。说简单点就是:可以执行单个的命令,但是不能执行脚本。当执行策略为 Restricted 时运行脚本会收到下面的错误:

遗憾的是在 Windows 8, Windows Server 2012, and Windows 8.1 的系统中,Restricted 被设置为默认的执行策略。所以在这些环境中要执行 PowerShell 脚本的第一件事就是调整脚本的执行策略。比如设置成不会限制脚本执行的 Bypass:

Set-ExecutionPolicy -ExecutionPolicy Bypass

注意,设置脚本的执行策略需要管理员权限,因此你需要以管理员权限启动 PowerShell ,然后执行上面的命令。

AllSigned

Signed 在这里指有数字签名的脚本,也就是说 AllSigned 执行策略允许执行所有具有数字签名的脚本。当然我们也可以换个角度说:只能运行具有数字签名的脚本。据我所知我们能见到的绝大多数的 PowerShell 脚本是没有数字签名的。如果运行没有签名的脚本,会提示下面的错误:

接下来我们要搞清楚如何给一个 PowerShell 脚本签名(打上数字签名)?并且在 AllSigned 执行策略下执行这个脚本。
给 PowerShell 脚本签名需要使用 Set-AuthenticodeSignature 命令,当然前提是你得拥有一个合法的数字证书。比如笔者使用的数字证书文件名为 test.pfx。先用数字证书文件构建一个证书对象:

$cert = Get-PfxCertificate -FilePath "test.pfx"

一般情况下都会为证书设置密码,所以这一步需要输入密码进行验证。然后为 demo.ps1 脚本文件签名:

Set-AuthenticodeSignature -FilePath "demo.ps1" `
    -Certificate $cert -IncludeChain "All" `
    -TimeStampServer "http://timestamp.verisign.com/scripts/timstamp.dll"

上图中最后一行中间列显示文件的前面状态为 Valid,表示已经签名成功。让我们再来看看 demo.ps1 脚本文件都发生了什么变化!打开 demo.ps1 文件的属性界面:

比原来多了一个 "Digital Signatures" 标签页,这里便是数字签名的信息。接着打开 demo.ps1 看看:

除了第一行脚本命令外,被添加了很多行的注释,这都是数字签名干的。
接下来我们在 AllSigned 执行策略下运行一下脚本 demo.ps1:

这次的提示是说你的系统还没有信任这个证书的持有者(笔者把证书持有者的信息打码了:)),要不要运行这个脚本?此时就需要用户做出判断了,如果选择  "Always run",不仅会执行该脚本,还会把该证书添加到信任列表中:

上图便是选择 "Always run" 之后证书管理器中的信息,笔者用来签名脚本的数字证书已经被添加到信任列表中了(就是右边红框中的证书信息)。一旦信任了这个数字证书,以后再执行由这个数字证书签名的脚本就不会再有提示了!
注意:数字证书的使用只是增添了一道安全机制,绝不意味着有数字签名的脚本就一定是安全可靠的。国内某证书颁发机构就因为没有底线乱发证书而被谷歌、火狐等产品移出了信任列表。既然有这样的证书颁发机构存在,就会有人借机购买数字证书并给恶意的脚本签名,所以不能仅凭是否有数字签名来区分脚本是否可信。

RemoteSigned

从 Windows Server 2012 R2 开始,PowerShell 中默认的执行策略改成了 RemoteSigned。这个执行策略的意思是:当执行从网络上下载的脚本时,需要脚本具有数字签名,否则不会运行这个脚本。如果是在本地创建的脚本则可以直接执行,不要求脚本具有数字签名。
那么问题来了,PowerShell 是如何知道脚本是本地创建的还是从网络上下载下来的?
原来,在 Windows 提供的 API 中,有个枚举可以标识文件的来源。

复制代码
public enum SecurityZone
{
    NoZone = -1,
    MyComputer = 0,
    Intranet = 1,
    Trusted = 2,
    Internet = 3,
    Untrusted = 4,
}
复制代码

当浏览器或者 outlook 这样的工具从网络上下载文件时,应该通过 Windows 系统提供的 API 把这个枚举的值进行更新。让我们从网络上下载一个 powershell 文(其实可以是任何文件),文件名为 0Start.ps1,右键打开属性界面:

上图红框中的内容便是对相关属性的描述。我们还可以通过下面的命令在记事本中以文本的方式显示其属性:

这里显示的已经很清楚了,ZoneId=3 表明这个文件是从网络上下载的。

Unrestricted

这是一种比较宽容的策略,允许运行未签名的脚本。对于从网络上下载的脚本,在运行前会进行安全性提示:

但这仅仅是个提示,还是允许脚本执行的。

Bypass

Bypass 执行策略对脚本的执行不设任何的限制,任何脚本都可以执行,并且不会有安全性提示。

Undefined

Undefined 表示没有设置脚本策略。当然此时会发生继承或应用默认的脚本策略。

Execution Policy Scope

Scope  指执行策略的应用范围。原来我们可以给不同的应用范围设置执行策略。比如进程、当前用户和本机。
Get-ExecutionPolicy 和 Set-ExecutionPolicy 命令默认操作的都是本机的脚本执行策略。如果要获得当前用户的执行策略可以使用 -Scope 选项:

Get-ExecutionPolicy -Scope CurrentUser

同样如果仅修改当前用户的执行策略可以在 Set-ExecutionPolicy 命令中使用 scope 参数。

Set-ExecutionPolicy -ExecutionPolicy <PolicyName> -Scope CurrentUser

总结

很明显,PowerShell 精心设计了脚本的执行策略。遗憾的是在 Windows 8, Windows Server 2012, and Windows 8.1 的系统中,Restricted 被设置为默认的执行策略。这让学习 PowerShell 的新手们多少有些不知所措,因为所有人都会在第一次执行脚本时遭遇不能执行的问题。还好 MS 在新的系统中把默认的执行策略改成了 RemoteSigned,至少对新手来说更友好了。


本文转自sparkdev博客园博客,原文链接:http://www.cnblogs.com/sparkdev/p/7460518.html,如需转载请自行联系原作者

相关文章
|
2月前
|
存储 安全 Windows
PowerShell系列(六):PowerShell脚本执行策略梳理
【2月更文挑战第1篇】PowerShell 脚本执行策略用于控制何时以及何种方式执行 PowerShell 脚
|
1月前
|
存储 SQL 运维
使用PowerShell进行自动化脚本编写:入门与实战
【6月更文挑战第6天】本文介绍了PowerShell作为Windows系统管理的自动化工具,用于提升效率和减少错误。内容涵盖PowerShell基础,如变量、命令执行、管道、条件和循环语句、函数。实战案例展示了如何用PowerShell脚本进行文件备份。此外,还提及PowerShell的进阶功能,如模块、远程管理和与其他工具集成。学习和应用PowerShell能有效提升IT运维自动化水平。
|
8月前
|
安全 API
Powershell脚本分析
Powershell脚本分析
|
2月前
|
运维 开发工具 Windows
PowerShell系列(五):PowerShell通过脚本方式运行笔记
【1月更文挑战第7天】方便迁移,比如在之前工作经验积累下来的运维脚本,可以保存下来。如果业务场景用的到的话,直接文件拷贝过来就可以运行。
|
2月前
|
前端开发 微服务 Windows
PowerShell 命令窗口执行 pnpm 命令报错 无法加载文件 pnpm.ps1,因为在此系统上禁止运行脚本
PowerShell 命令窗口执行 pnpm 命令报错 无法加载文件 pnpm.ps1,因为在此系统上禁止运行脚本
|
10月前
|
SQL 数据库
PowerShell 脚本必备命令
PowerShell 脚本必备命令
|
Windows
powershell配置anaconda及解决【无法加载文件C:\Users\xxx\Documents\WindowsPowerShell\profile.ps1,因为在此系统上禁止运行脚本】的问题
powershell配置anaconda及解决【无法加载文件C:\Users\xxx\Documents\WindowsPowerShell\profile.ps1,因为在此系统上禁止运行脚本】的问题
2174 0
|
11月前
|
C# C++
PowerShell脚本中实现限时读取用户输入
突然想到之前倒腾PowerShell的时候实现了一个限时读取用户输入的函数
166 0
|
资源调度
关于vscode,powershell运行yarn报错禁止运行脚本解决办法
关于vscode,powershell运行yarn报错禁止运行脚本解决办法
166 0
关于vscode,powershell运行yarn报错禁止运行脚本解决办法
|
Web App开发 前端开发 JavaScript
vbs学习,书籍,看书笔记(5) 客户端web脚本 .Power shell 使用 脚本文件的类型2
vbs学习,书籍,看书笔记(5) 客户端web脚本 .Power shell 使用 脚本文件的类型2
vbs学习,书籍,看书笔记(5) 客户端web脚本 .Power shell 使用 脚本文件的类型2