通过组策略集中控制PowerShell安全性设置

PowerShell是一种新的命令行Shell和脚本语言，用于系统管理和自动化。Windows PowerShell基于。NET Framework，它使IT专业人员和开发人员能够控制和自动化Windows和应用程序的管理。
Windows PowerShell不仅仅是一种常规的脚本语言。他内置了安全功能，还有一些额外的安全选项，你可以根据实际情况进行设置。
1。Windows PowerShell默认安全
在PowerShell界面下，我们刚开始使用它的时候，可能只是运行一些简单的命令。这和安全性无关，但是你必须在PowerShell界面中才能做这些事情。这本身就是安全。
PowerShell中的一些默认安全设置可以确保任何恶意尝试都可以被拦截。
1.1 PowerShell不会运行没有路径的脚本
第一个默认安全措施:PowerShell不会运行当前文件夹中的脚本。这样，恶意脚本在尝试拦截cmdlets和命令名时将会失败。
例如，如果要运行C:\文件夹中名为Example.ps1的脚本，则需要在命令行中包含该脚本的完整路径，即使当前目录位于C:\Scripts文件夹中。
当您尝试在没有路径的情况下运行Example.ps1脚本时，系统会提示您一条错误消息。
当您运行包含绝对路径的脚本时，执行结果如图2所示。
1.2所有PowerShell脚本必须实时交互才能运行
另一个默认设置:所有脚本必须交互。这种安全措施确保Powershell脚本文件不会执行带有病毒的脚本。这也意味着您必须在PowerShell界面之前实时运行脚本。
此默认设置与PowerShell中的ExecutionPolicy关联。执行策略时，默认情况下ExecutionPolicy设置为Restricted。
2。自定义PowerShell安全策略选项
PowerShell中的默认执行策略非常安全。它不允许任何来源的任何脚本运行。因此，您创建的脚本无法运行；从Internet下载的脚本不会运行；甚至由可信发行商签名的脚本也无法运行。
因此，在运行脚本之前，我们需要重置ExecutionPolicy。
2.1设置执行策略执行策略选项
执行策略选项有四个级别。这四个级别为您提供了强大的保护，哪些脚本可以运行，哪些脚本需要与其他脚本关联才能运行。
这四个级别的要求包括:
●受限:这是PowerShell的默认配置。此设置意味着无论脚本是否已签名，都不能运行任何脚本。PowerShell中可以运行的是一个单独的命令。
●AllSigned:此设置允许PowerShell运行脚本。
这四个级别的所有要求包括:
●受限:这是PowerShell的默认配置。此设置意味着无论脚本是否已签名，都不能运行任何脚本。PowerShell中可以运行的是一个单独的命令。
●AllSigned:此设置允许PowerShell运行脚本。所有配置文件和脚本都必须由受信任的发布者签名，此处的脚本页面包括您在本地计算机上创建的脚本。但是如果恶意脚本被签名，它仍然可以在PowerShell中执行。
●RemoteSigned:此设置允许脚本运行，但要求从Internet下载的所有脚本必须由受信任的发行者签名。在本地计算机上运行脚本不需要签名。脚本运行前不会有任何提示。对于已签名的恶意脚本，这种安全策略仍然无法阻止。
●无限制:不建议设置为这种执行策略！这允许运行未签名的脚本，包括从互联网下载的所有脚本和配置文件，包括通过Outlook和Messenger下载的文件。执行前会提示是否执行。风险在于，运行安全性无法确认的未签名脚本将被允许执行。
要设置这些执行策略的选项，只需键入set-executionpolicy。
2.2使用组策略集中控制PowerShell安全设置
PowerShell非常强大，但是如果在工作环境中的计算机上无法运行脚本，它也有局限性。首先，您必须在每台计算机上安装PowerShell运行时环境。对于PowerShell的部署，只需要安装一个exe应用程序，非常容易安装。
Examda提示:可以使用ZAP文件，使用组策略推送，也可以集中安装应用程序。请记住，PowerShell目前被用作操作系统的升级包，因此Windows update也可以触发安装操作。
安装PowerShell运行时环境后，建议您调整执行策略以允许脚本运行。由于ExecutionPolicy的默认值受到限制，您需要配置每台计算机来运行该脚本，如果您计划手动设置它，这可能需要几天时间。
您也可以使用组策略来完成此设置。当然，你需要构建自己的管理模板(ADM文件)来实现这个功能，或者从微软网站(http://www.microsoft.com/downloads/details.aspx？FamilyID = 2917 a564-dbbc-4d a7-82 c8-Fe 08 B3 ef 4 e 6d & display lang = en # QuickInfoContainer).建议采用后一种方法下载ADM模板。
下载后，您需要安装admFiles_PowerShell.msi。安装后，您将拥有。C: \ Program Files \ Microsoft组策略文件夹中的ADM文件。如果没有别的，在这方面的设置。ADM模板已经非常安全了！PowerShellExtensionPolicy。ADM此文件需要导入到组策略对象编辑器中。导入后，组策略对象中会出现两个新节点:一个是计算机配置\管理模板\ Windows组件\ Windows PowerShell，另一个是用户配置\管理模板\ Windows组件\ Windows PowerShell，
设置此策略时，会看到三个设置选项！
3。摘要
PowerShell是2008年初结合Windows Server 2008发布的一项新功能。PowerShell自推出以来发展迅速。关注PowerShell的人都希望PowerShell提供内置的安全设置。现在看来，PowerShell在这方面确实不负众望:PowerShell提供了默认的安全设置，脚本被设置为限制执行的策略。即使用记事本创建. ps1文件，脚本也是非常安全的。
即使可以进入PowerShell界面，也必须输入脚本的路径。
除了默认值，我们还可以设置PowerShell的执行策略，通过组策略集中控制PowerShell，提供PowerShell安全性。