PowerShell脚本与安全深度解析

### PowerShell脚本与安全深度解析 #### 1. 安全概述 在当今的数字化环境中，安全问题至关重要。PowerShell作为一款强大且易用的工具，却因其特性引发了一些安全担忧。一些人认为应在所有桌面和服务器上禁用PowerShell，部分大公司也因此全面禁止使用它。然而，我们需要深入了解PowerShell的安全机制，避免过度反应。 病毒和恶意软件日益复杂，难以检测。尽管顶尖公司的安全工程师善于识别新的攻击途径并解决问题，但恶意分子总能更快地发现系统漏洞。好消息是，许多恶意行为者会使用PowerShell作为攻击途径，这促使微软和一些可信社区成员加强了PowerShell的安全功能，构建了多层次的深度防御体系。但要明确，PowerShell并非反恶意软件工具，不能在恶意软件入侵时为你提供保护，所以我们要正确认识其安全目标，避免高估。 #### 2. PowerShell执行策略 ##### 2.1 默认执行策略 在客户端操作系统中，默认情况下，PowerShell不会运行任何扩展名为.ps1、.psm1、.pssc或.ps1xml的脚本文件，这由机器范围的执行策略控制。要查看当前的执行策略设置，可以运行`Get-ExecutionPolicy`命令。以下是常见的执行策略及其描述： | 策略 | 描述 | | ---- | ---- | | Restricted | 这是Windows客户端的默认设置，意味着包括配置文件脚本在内的所有PowerShell脚本文件都不会被执行。 | | AllSigned | 要求任何PowerShell脚本文件都包含由受信任的证书颁发机构颁发的代码签名证书的有效数字签名。 | | RemoteSigned | PowerShell将运行本地创建的任何脚本（无论是否签名），但要求其他脚本必须进行数字签名。这是从Windows Server 2012 R2开始的默认服务器设置。 | | Unrestricted | PowerShell将运行任何脚本，几乎不会询问。当运行从外部下载的脚本时，可能会收到提示。这是UNIX和Linux的默认设置。 | | Bypass | PowerShell将运行任何脚本，不会有任何询问。此策略意味着你已采取措施确保脚本的安全性和完整性。 | | Undefined | 未找到执行策略，PowerShell将在作用域列表中向下查找，并使用找到的第一个有效策略。 | ##### 2.2 执行策略的作用范围 PowerShell的执行策略可以在三个作用域级别设置，优先级依次为： - **LocalMachine**：应用于整个机器，存储在`C:\Program Files\PowerShell\7\PowerShell.config.json`配置JSON文件中。 - **CurrentUser**：仅应用于当前用户，存储在用户文档文件夹（`\Documents\PowerShell`）中的当前用户配置JSON文件中（假设未定义）。 - **Process**：控制当前会话，存储在系统变量`$env:PSExecutionPolicyPreference`中。此设置在PowerShell会话关闭后将失效。 这些策略按上述顺序应用，即使较低级别的策略更严格。例如，如果当前用户策略设置为`RemoteSigned`，但机器策略为`Restricted`，脚本仍将执行。从实际角度来看，大多数组织设置机器策略就足够了，其他设置适用于特殊情况。 ##### 2.3 获取执行策略设置 要查看当前的执行策略设置，可以使用`Get-ExecutionPolicy`命令： ```powershell PS C:\> Get-ExecutionPolicy Restricted ``` 该命令将根据作用域设置返回有效策略。你还可以使用以下命令获取所有作用域的设置： ```powershell PS C:\> Get-ExecutionPolicy -List Scope ExecutionPolicy ----- --------------- MachinePolicy Undefined UserPolicy Undefined Process Undefined CurrentUser Undefined LocalMachine Restricted ``` 需要注意的是，此列表的顺序并不代表应用顺序。在上述情况下，`Restricted`策略将生效，尝试运行脚本会得到如下结果： ```powershell PS C:\> C:\work\test.ps1 C:\work\test.ps1 : File C:\work\test.ps1 cannot be loaded because running scripts is disabled on this system. For more information, see about_Execution_Policies at https:/go.microsoft.com/fwlink/?LinkID=135170. ``` ##### 2.4 设置执行策略 修改执行策略的命令是`Set-ExecutionPolicy`，你需要指定策略设置，并可选择指定作用域，默认作用域为本地机器。运行此命令需要有修改相应作用域的权限。例如，要修改本地机器设置，需要以管理员身份运行PowerShell。注意，不能通过此命令更改由组策略管理的设置，也不能在PowerShell运行时更改进