第17章|PowerShell 安全警报——高分学习笔记(运维实战向)
🛡️ 第17章|PowerShell 安全警报——高分学习笔记(运维实战向)
一句话核心:PowerShell 的“安全设计目标”是——不替你越权;尽量防“误触发不可信脚本”;并非反恶意软件的最后防线。
1)PowerShell 的安全模型,你必须先认清
- 不增权、不越权:你在 GUI 做不到的,PowerShell 也做不到。脚本不会让低权限用户“神功附体”。
- 目标是“防误执行”:保护用户不小心运行未知来源脚本;不是阻止你“有意”去跑某个脚本。
- 恶意软件不是 PowerShell 的问题:一旦系统被入侵,攻击者可调用任何技术(含 .NET、WMI、PowerShell…)。安全边界在杀软/EDR/最小权限/补丁等处。
2)执行策略(Execution Policy):功能与定位
定位:防误触脚本的使用规范,不是强安全边界。
查看/设置:
Get-ExecutionPolicy
Set-ExecutionPolicy RemoteSigned -Scope LocalMachine # 需管理员
# 也可单次会话覆盖:
powershell.exe -ExecutionPolicy Bypass
常见策略对比(记忆表)
| 策略 | 能否跑脚本 | 适用场景 | 风险/说明 |
|---|---|---|---|
Restricted(默认) | 否(交互命令可执行) | 极简/拒跑脚本的终端 | 学习环境/无自动化 |
AllSigned | 需要受信任 CA签名 | 高安全要求团队 | 维护成本最高 |
RemoteSigned | 本地脚本可跑;远程/下载脚本需签名 | 官方推荐的平衡方案 | 适配度高 |
Unrestricted | 全部可跑(首次提示) | 实验/紧急排障 | 风险大 |
Bypass | 完全放行 | 内嵌主机应用自行做安全 | 常用于程序内托管 PS,不建议常态化 |
组策略:本地计算机策略 → 用户配置 → 管理模板 → Windows 组件 → Windows PowerShell
GPO 会覆盖本地设置;但命令行
-ExecutionPolicy仍可临时覆盖(因此它不是“硬”安全边界)。
3)代码签名(Code Signing):实名 + 防篡改
它解决了什么?
- 是谁写的:通过**证书颁发机构(CA)**签发的代码签名证书识别作者/组织。
- 有没有改过:脚本签名包含脚本副本摘要,执行时用公钥核验,一改就坏。
最佳实践工作流
-
准备证书
- 优先用企业 PKI 或商业 CA 的“代码签名证书”(Class 3/Code Signing)。
- 没有 PKI?可先用自签(仅用于内部/测试)。
-
给脚本签名
# 1) 选一张代码签名证书
$cert = Get-ChildItem Cert:\CurrentUser\My -CodeSigningCert | Select-Object -First 1
# 2) 对脚本签名
Set-AuthenticodeSignature .\Deploy.ps1 $cert
- 在需要执行脚本的机器上设置策略(建议):
Set-ExecutionPolicy RemoteSigned
自签证书(测试/内部)
$cert = New-SelfSignedCertificate `-Type CodeSigningCert `-Subject "CN=Corp PS Code Signing" `-CertStoreLocation Cert:\CurrentUser\My
Set-AuthenticodeSignature .\MyScript.ps1 $cert
信任链很关键:只信任验证流程可靠的 CA。信任一个不严谨的 CA = 等于不设防。
4)Windows 里额外两道“防手滑”
.ps1默认不是“可执行”类型:双击默认用记事本打开,避免误执行。- 必须显式路径:同目录脚本需
.\test.ps1或绝对路径。
这能防“命令劫持”(有人放个dir.ps1诱你误执行):
.\dir # 执行当前目录脚本
dir # 执行内置命令(非脚本)
5)那些“看似漏洞”的误解
- 复制粘贴代码到控制台、或你主动执行脚本 → 执行策略不拦;这正是它的设计目标(防误,不防故意)。
- “能不能用脚本让普通用户做管理员事?”→ 不能。除非你给了更高权限(例如任务计划/Scheduled Task、服务账号、CredSSP/RunAs 等“封装”手段)。
6)团队落地建议(含企业运维做法)
-
策略基线:
- 开发/运维跳板机:
RemoteSigned - 普通办公终端:
Restricted或RemoteSigned(视实际自动化需求) - 绝不常态化
Unrestricted/Bypass
- 开发/运维跳板机:
-
签名治理:
- 统一用企业 PKI 发放代码签名证书;关键库/脚本强制签名(
AllSigned可用于核心产线机)。 - 选用支持“保存即签”的编辑器(PowerShell Studio / VSCode + 扩展等)降低成本。
- 统一用企业 PKI 发放代码签名证书;关键库/脚本强制签名(
-
文化与流程:
- 从不直接运行网上脚本;先读后跑,必要时“白盒审计”(尤其对含方法调用/注册表改写/网络出站的脚本)。
- 脚本仓库管理:版本控制(Git)、强制 Code Review、发布签名。
-
别动这俩:
- 不要把
.ps1关联为“可执行”。 - 不要关闭“显式路径”要求(避免命令劫持)。
- 不要把
7)速查命令清单(收藏)
# 查策略
Get-ExecutionPolicy -List# 设策略(机器级)
Set-ExecutionPolicy RemoteSigned -Scope LocalMachine# 单次会话覆盖(排障/受控使用)
powershell.exe -ExecutionPolicy Bypass# 查看/选择代码签名证书
Get-ChildItem Cert:\CurrentUser\My -CodeSigningCert# 新建自签(测试/内网)
New-SelfSignedCertificate -Type CodeSigningCert `-Subject "CN=Corp PS Code Signing" -CertStoreLocation Cert:\CurrentUser\My# 给脚本签名
Set-AuthenticodeSignature .\Script.ps1 (Get-ChildItem Cert:\CurrentUser\My -CodeSigningCert | Select -First 1)# 学习文档
Get-Help about_Signing
Get-Help about_Command_Precedence
8)动手实验(考试同款)
- 用管理员打开 PowerShell,设置策略为
RemoteSigned;验证本地脚本可跑、下载脚本需签名。 - 用
New-SelfSignedCertificate生成自签证书,对脚本Set-AuthenticodeSignature签名后执行。 - 试试在当前目录直接敲脚本名与
.\script.ps1的差异,理解防命令劫持。 - 用
powershell.exe -ExecutionPolicy Bypass启动临时会话,体会“非安全边界”的本质(仅实验环境使用)。
9)考点速背(面试/笔试)
- 执行策略的目的?防误执行不可信脚本,不是安全边界。
- 最推荐策略?
RemoteSigned(平衡)。 - AllSigned 与 RemoteSigned 区别?AllSigned 要求所有脚本签名;RemoteSigned 仅远程/下载脚本需签名。
- 为什么要显式路径
.\? 防命令劫持。 - 代码签名价值?识别作者 + 防篡改(公私钥、信任链)。