powershell запуск скрипта без цифровой подписи
Windows PowerShell. Выполнение сценариев отключено в этой системе
Если скрипт не соответствует этому условию, то выполнение сценариев PowerShell в системе запрещено. Это связано в первую очередь с тем, что в скрипте может находиться вредоносный код, который может нанести вред операционной системе.
PowerShell имеет несколько режимов выполнения, которые определяют, какой тип кода разрешается выполнять. Существует 5 различных режимов выполнения:
По умолчанию для PowerShell используется режим «Ограниченный». В этом режиме, PowerShell работает как интерактивная оболочка. Если вы ранее не настраивали PowerShell, то вместо работы скрипта вы увидите сообщение об ошибке, написанное красным шрифтом как на скриншоте ниже.
Самым безопасным способом решения этой проблемы является – изменение политики выполнения на неограниченную, запуск скрипта, и затем обратный возврат к ограниченной политике.
Для изменения политики выполнения на неограниченную, воспользуемся консолью PowerShell открытую с правами Администратора и выполним следующую команду:
После запуска команды вам будет предложено подтвердить изменение политики выполнения. Ответим Y ( Да ).
Теперь можно запустить скрипт. Однако, вы подвергаете систему серьезному риску, так что по окончании работы скрипта, не забудьте вернуть политику выполнения назад в ограниченный режим. Сделать это можно с помощью следующей команды:
После запуска команды вам будет предложено подтвердить изменение политики выполнения. Ответим Y ( Да )
Далее ниже представлены все команды для изменения политики выполнения.
Блокируется выполнение любых скриптов. Значение по умолчанию.
Разрешено выполнение скриптов, имеющих цифровую подпись.
Разрешено выполнение любых скриптов. При запуске не подписанного скрипта, который был загружен из Интернета, программа может потребовать подтверждение.
Ничего не блокируется, никакие предупреждения и запросы не появляются.
Теперь при выполнении команд не нужно подтверждать производимые изменения.
Запуск скриптов PowerShell
Как запустить скрипт PowerShell?
Есть несколько различных способов запуска скрипта, ниже приведены основные:
Как разрешить выполнение неподписанного скрипта PowerShell?
Оба способа устанавливают политику только для текущего сеанса, при этом, политика безопасности выполнения скриптов PowerShell, прописанная в реестре, не будет изменена и останется прежней. Если вы хотите поменять политику безопасности выполнения скриптов «на постоянно», то используйте такой способ:
3. Разрешить запуск навсегда : запустить оболочку PowerShell от имени «Администратора», затем выполните команду:
Set-ExecutionPolicy RemoteSigned
Однако, я бы не рекомендовал такой способ, чтобы не подвергать ваш компьютер возможным угрозам, т.к. так вы разрешаете выполнение скриптов всем и всегда.
Как запустить скрипт PowerShell в фоновом режиме?
Запуск скрипта PowerShell c параметрами
Собственно запуск нужно делать как если бы вы запускали обычную программу или bat-файл с параметрами. Например, для запуска скрипта с параметрами из командной, можно написать такую команду:
В самом скрипте вы можете получить эти параметры так:
В интегрированной среде PowerShell ISE запустить скрипт с параметрами можно аналогично, используя область команд.
Как запустить скрипт PowerShell с помощью ярлыка?
Осуществить такую задачу можно двумя способами:
Таким образом, например, чтобы запустить скрипт powershell при входе пользователя, можно просто создать ярлык, как описано во 2-м пункте и поместить его в автозагрузку. Так же, создание ярлыка одним из способов выше позволит легко запустить скрипт от имени администратора или от имени любого другого пользователя как обычную программу.
Настройка политики запуска скриптов (Execution Policy) PowerShell
По-умолчанию настройки Windows запрещают запуск скриптов PowerShell. Это необходимо для предотвращения запуска вредоносного кода на PowerShell. Настройки политик запуска PowerShell скриптов определяются в Execution Policy. В этой статье мы рассмотрим доступные политики запуска PS скриптов, как изменить Execution Policy и настроить политики использования PowerShell скриптов на компьютерах в домене.
Выполнение PowerShell скриптов запрещено для данной системы
При попытке выполнить PowerShell скрипт (файл с расширением PS1) на чистой Windows 10, появляется ошибка:
Текущее значение политики выполнения скриптов PowerShell на компьютере можно получить командой:
Доступны следующие значения PowerShell Execution Policy:
Как разрешить запуск скриптов PowerShell с помощью Execution Policy?
Чтобы изменить текущее значение политики запуска PowerShell скриптов, используется командлет Set-ExecutionPolicy.
Например, разрешим запуск локальных скриптов:
Подтвердите изменение политики запуска PS1 скриптов, нажав Y или A.
Чтобы запрос не появлялся, можно использовать параметр Force.
Set-ExecutionPolicy RemoteSigned –Force
Если вы установили значение политики PowerShell Execution Policy в Unrestricted, то при запуске удаленных скриптов из сетевых каталогов по UNC пути, скачанных из интернета файлов, все равно будет появляться предупреждение:
Также следует различать различные области действия политик выполнения скриптов PowerShell (scopes):
Область применения политики можно указать с помощью параметр Scope командлета Set-ExecutionPolicy. Например:
Проверим текущие настройки ExecutionPolicy для всех областей:
Значение политики выполнения, которые вы задаете с помощью командлета Set-ExecutionPolicy для областей CurrentUser и LocalMachine, хранятся в реестре. Например, выполните командлет:
Откройте ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PowerShell\1\ShellIds\Microsoft.PowerShell и проверьте значение REG_SZ параметра ExecutionPolicy. Оно изменилось на Restricted (допустимые значения параметра Restricted, AllSigned, RemoteSigned, Bypass, Unrestricted и Undefined).
Аналогичные настройки для области CurrentUser находятся в разделе реестра пользователя HKEY_CURRENT_USER\SOFTWARE\Microsoft\PowerShell\1\ShellIds\Microsoft.PowerShell.
Отметим, что чаще всего в корпоративной среде используется ExecutionPolicy со значением AllSigned на уровне LocalMachine. Это обеспечивает максимальный баланс между безопасностью и удобством. Для личного пользования на компьютере можно использовать RemoteSigned. Ну а Bypass политику лучше использовать только для запуска отдельных задач (например для запуска скриптов через GPO или заданий планировщика).
Настройка PowerShell Execution Policy с помощью групповых политик
Вы можете настроить политику выполнения PowerShel скриптов на серверах или компьютерах домена с помощью групповых политик.
После настройки политики выполнения через GPO вы не сможете изменить настройки политики выполнения скриптов вручную. При попытке изменить настройки Execution Policy на компьютере, на который применяется такая GPO, появится ошибка:
Способы обхода политики PowerShell Execution
Есть несколько трюков, которые могут помочь вам, когда нужно запустить на компьютере PowerShell скрипт, не изменяя настройки политики выполнения. Например, я хочу запустить простой PS1 скрипт, который поверяет, что запущен с правами администратора.
Можно с помощью Get-Content получить содержимое скрипта и перенаправить его в стандартныq поток ввода консоли PS.
Блог did5.ru
Про АйТи и около айтишные темы
PowerShell. Выполнение скриптов запрещено для данной системы
По умолчанию выполнение сценариев PowerShell в системе запрещено. Т.к. в скриптах может находится вредоносный код, который может нанести вред системе. По соображениям безопасности скрипты PowerShell должны быть подписаны цифровой подписью, такой подход называется политика выполнения. 
Для тестирования скриптов можно отключить проверку выполнения для локальный скриптов. Для этого запускаем консоль PowerShell от имени администратора и вводим команду:
Подтверждаем изменение политики выполнения – [Y] Да
Теперь все ЛОКАЛЬНЫЕ сценарии PowerShell будут выполняться без подписи и сценарий загруженные из интернета с цифровой подписью надежного издателя.
Чтобы вернуть политику выполнения по умолчанию:
В этом случаем все сценарии запрещены, можно пользоваться только одиночными командами PowerShell в интерактивном режиме.
Есть еще два варианта настройки политики выполнения:
Все сценарии должны иметь цифровую подпись надежного издателя. Перед выполнение сценариев надежных издателей запрашивается подтверждение.
Разрешается выполнение любых сценариев PowerShell без проверки цифровой подписи.
Нашли опечатку в тексте? Пожалуйста, выделите ее и нажмите Ctrl+Enter! Спасибо!
Хотите поблагодарить автора за эту заметку? Вы можете это сделать!
Решаем проблему с подписью скрипта в Powershell
При решении одной конкретной задачи автору довелось работать с данной оболочкой автоматизации, не имея особого опыта взаимодействия с ней. На написание скрипта ушло не более получаса, но по большому счету назвать его скриптом можно было с натяжкой, так как прописанный набор инструкций был непригодным для выполнения в виде скрипта в PowerShell.
Проблема здесь заключается в том, что для выполнения скрипта существуют некоторые ограничения, которые задаются в рамках политики скриптового исполнения. Таким образом, при создании скрипта его мгновенное выполнение на рабочей машине оказалось попросту невозможным. Если мы говорим о рабочем сервере, то проблема, которая решается для локального компьютера изменением настроек политики исполнения на RemoteSigned или Unresricted, в данном случае является более серьезной.
Вполне логично, что готовый исполняемый скрип требует подписи. Способ, который был использован автором для того, чтобы организовать механизм подписи для скрипта, надо сказать, достаточно тернист. Тем не менее, усилия стоили того, и теперь автор спешит поделиться собственным опытом организации такого механизма с нашими читателями.
Как решить проблему подписи?
Начнем с того, что по дефолту на исполнение любых скриптов наложен запрет. И потому для начала нам потребуется разрешить выполнение скриптов только от доверенных издателей, с соответствующим корневым сертификатом. Прописываем из под сеанса админа в PowerShell следующее:
Теперь придется повозиться с утилитой для создания персонального и корневого сертификатов. В соответствии с «инструкцией»
для создания сертификата используется утилита mekecert.exe, которая находится здесь:
%Prоgram Filеs%\Micrоsoft SDKs\Windоws\v7.0A\bin\mаkесеrt
Дальнейшие манипуляции, прописанные ниже, необходимо выполнить под обычным сеансом командной строки:
Для начала создаем корневой сертификат, который будет использовать локальную машину в качестве центра его удостоверения:
Данный способ «бесплатного» получения сертификата используется достаточно часто и считается одним из наиболее практичных.
Теперь создаем персональный пользовательский сертификат дл PowerShell.
С его помощью будут подписываться скрипты при использовании корневого сертификата для его заверения. При успешном выполнении всех манипуляций в обеих строках должно отобразиться состояние « Succeeded ».
При наличии персонального сертификата X509 можно не выполнять манипуляции, которые были описаны выше. Далее проверяем, что ОС распознает сертификат, который мы только что создали. Для этого в Powershell прописываем:
> Gеt-Сhilditеm cеrt:\СurrеntUsеr\my –cоdеsigning
В принципе вы уже имеете возможность подписывать скрипты, но с необходимостью дописывать следующую строку для подписи в PowerShell:
Вполне логично создать скрипт, подписывающий другие скрипты, который можно создать в любом текстовом редакторе, исключая ISE PowerShell. Скрипты, создаваемые в рамках данной среды, могут словить ошибку по типу «Unknown Error».
Скрипт, который нас интересует в данном случае, будет выглядеть так:
Примечания
— Если корневой сертификат на любом компьютере, кроме того, на котором он был создан, не достоверный, скрипт не удастся выполнить в принципе;
— Персональный сертификат издателя при тех же условиях, что и в предыдущем положении, скрипт можно будет выполнить с необходимостью подтверждения.
Для добавления обоих типов сертификатов в список достоверных потребуется использовать консоль mmc (оснастка Cеrtificates). Необходимо добавить сертификаты в папки Trustеd Publishеrs и Trustеd Rооt Cеrtification Authorities.