掌握安全性：有关如何签署 PowerShell 脚本的综合指南

高效、安全地签署 PowerShell 脚本的 7 个专家提示

作为一名软件工程师，您可能遇到过对 PowerShell 脚本进行签名以确保其完整性并防止未经授权的修改的挑战。正确签署脚本不仅证明您编写了代码，而且还确认自您签署代码以来代码未曾更改。在本文中，我们将深入探讨 PowerShell 脚本签名的世界，并分享七个专家技巧，帮助您轻松成功地签署脚本。

1.了解PowerShell脚本执行策略

要理解如何对 PowerShell 脚本进行签名，了解 PowerShell 的内置执行策略至关重要。这些策略规定脚本是否可以在系统上运行并确定其信任级别。四项主要执行政策是：

- 受限（默认）：不允许脚本
- AllSigned：仅允许签名脚本
- RemoteSigned：本地创建的脚本不受限制地运行，而远程下载的脚本必须签名
- 无限制：全部允许使用脚本

为了获得最大的安全性，建议使用 AllSigned 或 RemoteSigned 执行策略。

2. 获取代码签名证书

您需要有效的代码签名证书来签署您的 PowerShell 脚本。主要有两种类型：

- 来自证书颁发机构 (CA) 的公开信任的证书：虽然更受信任，但它们可能很昂贵并且需要您验证您的身份。
- 自签名证书：使用 *New-SelfSignedCertificate 更便宜且易于创建* PowerShell 中的 cmdlet；然而，不太受广泛信任。

要创建自签名证书，请运行以下命令：

New-SelfSignedCertificate -Type CodeSigningCert -Subject “CN=Your Name” -KeyUsage DigitalSignature -TextExtension @(“2.5.29.37={text}1.3.6.1.5.5.7.3.3”)

将 Your Name 替换为您想要的主题名称。

3. 导出代码签名证书

获取证书后，将其导出到PFX（个人信息交换）文件以进行备份并安全存储其私钥。为此，请使用 *Export-PfxCertificate* cmdlet：

$Cert = Get-ChildItem -Path Cert:CurrentUserMy -CodeSigningCert
Export-PfxCertificate -Cert $Cert -FilePath “C:pathtoyourcert.pfx” -Password (ConvertTo-SecureString -String “YourPassword” -Force -AsPlainText)

将 C:pathtoyourcert.pfx 替换为您所需的导出路径，将 YourPassword 替换为安全密码。

4. 将代码签名证书分配给 PowerShell

在签署脚本之前，通过设置 *$env:certs* 环境变量在 PowerShell 中设置正确的代码签名证书：

$env:certs = Get-ChildItem -Path Cert:CurrentUserMy -CodeSigningCert | Select-Object -First 1

5.签署PowerShell脚本

现在，是时候签署你的剧本了！使用 *Set-AuthenticodeSignature* cmdlet 来执行此操作：

Set-AuthenticodeSignature -FilePath “C:pathtoyourscript.ps1” -Certificate $env:certs

将 C:pathtoyourscript.ps1 替换为 PowerShell 脚本的路径。

6. 验证签名脚本

要确认您的脚本已成功签名，请运行以下命令：

Get-AuthenticodeSignature -FilePath “C:pathtoyoursignedscript.ps1”

有效的签名会将*状态*显示为有效并显示签名证书的详细信息。

7. 分发您签名的脚本和证书

最后，将签名的脚本分发给最终用户。如果您使用自签名证书，您还需要向用户提供公钥。他们必须将其安装在*受信任的发布者*证书存储中才能执行脚本。

要导出公钥，请运行：

Export-Certificate -Cert $Cert -FilePath “C:pathtoyourcert.cer”

掌握了这些专家提示，您现在就可以高效、安全地签署 PowerShell 脚本了。请记住，正确签署脚本不仅可以保持完整性，还可以通过确保用户运行真实的、不受影响的代码来培养用户社区内的信任。快乐的脚本编写！

我如何利用 ChatGPT AI 赚取被动收入

您需要了解的 40 个 Windows 命令（10 分钟内）

是否可以签署 PowerShell 脚本？

是的，可以对 PowerShell 脚本进行签名。在 PowerShell 命令行上下文中，对脚本进行签名是指添加数字签名，以确保脚本的完整性和真实性。签名对于防止未经授权的更改以及有害或恶意脚本的运行至关重要。

要签署 PowerShell 脚本，您需要执行以下步骤：

1. 获取代码签名证书：您可以从受信任的证书颁发机构 (CA) 获取代码签名证书，或使用 New-SelfSignedCertificate cmdlet 创建自签名证书在 PowerShell 中。

2. 对脚本进行签名：获得有效证书后，请使用 Set-AuthenticodeSignature cmdlet 对脚本进行签名。该命令将如下所示：

Set-AuthenticodeSignature -FilePath “PathToYourScript.ps1” -Certificate (Get-ChildItem -Path Cert:CurrentUserMy -CodeSigningCert)

将 PathToYourScript.ps1 替换为脚本文件的实际路径。

3. 验证签名：对脚本进行签名后，通过执行以下命令使用 Get-AuthenticodeSignature cmdlet 验证签名：

Get-AuthenticodeSignature -FilePath “PathToYourScript.ps1”

注意：如果您使用自签名证书，请确保在将执行脚本的计算机上导入证书。否则，签名将不会被视为有效，并且脚本可能无法运行（取决于执行策略）。

如何对 PowerShell 脚本进行签名以使其能够执行？

要签署 PowerShell 脚本并使其执行，您需要执行以下步骤：

1. 获取代码签名证书：您可以创建自签名证书或从受信任的证书颁发机构 (CA) 获取证书。出于测试目的，自签名证书就足够了。但是，对于生产用途，建议从受信任的 CA 获取证书。

2.导入代码签名证书：获得代码签名证书后，将其导入计算机的个人证书存储中。为此，请打开“证书”MMC 管理单元（在“运行”对话框中键入 certmgr.msc）并导航到“个人”->“证书”。然后，右键单击，选择导入，然后按照向导导入您的证书。

3. 签署 PowerShell 脚本：使用 Set-AuthenticodeSignature cmdlet 签署您的脚本。首先，通过运行以下命令找到您导入的证书：

$cert = Get-ChildItem -Path Cert:CurrentUserMy -CodeSigningCert

接下来，使用 Set-AuthenticodeSignature cmdlet 对脚本进行签名：

Set-AuthenticodeSignature -Certificate $cert -FilePath “Pathtoyourscript.ps1”

4. 配置执行策略：默认情况下，PowerShell 可能设置为不允许执行脚本。您需要更改执行策略以允许签名脚本运行：

Set-ExecutionPolicy RemoteSigned

此命令将执行策略设置为允许运行来自任何源的签名脚本和来自本地计算机的未签名脚本。

5. 运行签名的脚本：现在您可以毫无问题地执行签名的 PowerShell 脚本。

请记住，如果您使用自签名证书，则可能需要将该证书添加到将运行您的脚本的其他计算机上的受信任发布者证书存储中。否则，他们可能不信任签名。

如何在 PowerShell 中插入符号？

在 PowerShell 中，您可以使用符号的 Unicode 表示形式或使用带有 -NoNewline 选项的 Write-Host cmdlet 来插入符号。

要使用其 Unicode 表示形式插入符号，您需要知道要插入的符号的 Unicode 值。例如，假设您要插入 Unicode 值为 U+00A9 的版权符号 (©)。您可以在 PowerShell 中执行此操作，如下所示：

$unicodeSymbol = [char]0x00A9
Write-Host “My Company Name $unicodeSymbol”

另一种方法是使用带有 -NoNewline 选项的 Write-Host cmdlet。这允许您在末尾写入输出而无需换行符，因此您可以继续在同一行上写入。这是一个例子：

Write-Host “My Company Name” -NoNewLine
Write-Host ” ©”

在这两种情况下，输出都是：

My Company Name ©

请记住将 Unicode 值或符号替换为您想要在 PowerShell 脚本中插入的值或符号。

如何签署 PowerShell 脚本（第 2 部分）？

在第 1 部分中，我们讨论了创建用于脚本签名的自签名证书。现在，让我们看看如何使用证书签署 PowerShell 脚本。

第 1 步：验证证书存储中的证书

在签署脚本之前，请确保证书在您的证书存储中可用。要进行验证，请打开证书管理器 (certmgr.msc) 并导航到个人 > 证书。您应该会看到那里列出了您的自签名证书。

第 2 步：签署您的 PowerShell 脚本

要签署您的脚本，请按照下列步骤操作：

1. 在“开始”菜单中搜索 PowerShell，右键单击它，然后选择以管理员身份运行，以管理员权限打开 PowerShell。

2. 运行以下命令从证书存储中获取证书：

$cert = Get-ChildItem -Path Cert:CurrentUserMy -CodeSigningCert

此命令从证书存储中检索代码签名证书并将其存储在 $cert 变量中。

注意：如果您有多个代码签名证书，您可能需要使用主题或其他属性来过滤检索到的证书。

3. 使用 Set-AuthenticodeSignature cmdlet 对脚本进行签名：

Set-AuthenticodeSignature -FilePath “C:PathToYourScript.ps1” -Certificate $cert

将 ”C:PathToYourScript.ps1″ 替换为您要签名的脚本的路径。

执行这些命令后，您的脚本现已使用自签名证书进行签名。运行脚本时，您将不再看到正在运行未签名的脚本警告。

重要说明：

- 默认情况下，PowerShell 的执行策略设置为“受限”，仅允许执行签名脚本。您可以使用 Set-ExecutionPolicy cmdlet 更改执行策略（例如，Set-ExecutionPolicy RemoteSigned 以允许执行本地未签名脚本和远程签名脚本）。

- 请记住，其他系统不信任自签名证书。在企业环境中，您可能希望使用由公司内部证书颁发机构 (CA) 或公共 CA 颁发的证书。

- 您可以通过右键单击脚本文件、选择“属性”并导航到“数字签名”选项卡来查看已签名脚本的签名。

创建和使用自签名证书来签署 PowerShell 脚本以确保其在 PowerShell 命令行环境中的完整性和真实性的过程是什么？

创建和使用自签名证书来签署 PowerShell 脚本涉及几个步骤：

1. 创建自签名证书：使用 New-SelfSignedCertificate cmdlet 创建新的自签名证书。该命令将如下所示：

New-SelfSignedCertificate -DnsName “yourdomain.com” -CertStoreLocation “cert:LocalMachineMy” -FriendlyName “PowerShellScriptSigning”

将 yourdomain.com 替换为有意义的名称，将 PowerShellScriptSigning 替换为易于识别的友好名称。

2.导出自签名证书：将新创建的证书导出到文件，可以在其他机器上导入该文件以信任签名的脚本。使用 Export-Certificate cmdlet：

$cert = Get-ChildItem -Path “Cert:LocalMachineMy” | Where-Object {$_.FriendlyName -eq “PowerShellScriptSigning”}
Export-Certificate -Cert $cert -FilePath “C:your-pathScriptSigningCert.cer”

3.导入证书：导入其他机器上的证书以信任签名的脚本。使用Import-Certificate cmdlet：

$store = “Cert:LocalMachineRoot”
$certPath = “C:your-pathScriptSigningCert.cer”
Import-Certificate -FilePath $certPath -CertStoreLocation $store

4. 对 PowerShell 脚本进行签名：使用 Set-AuthenticodeSignature cmdlet 使用自签名证书对脚本进行签名：

$script = “C:your-pathYourScript.ps1”
$cert = Get-ChildItem -Path “Cert:LocalMachineMy” | Where-Object -FilterScript {$_.FriendlyName -eq “PowerShellScriptSigning”}
Set-AuthenticodeSignature -Certificate $cert -FilePath $script

5. 验证脚本签名：在执行脚本之前使用 Get-AuthenticodeSignature cmdlet 验证脚本的签名：

$script = “C:your-pathYourScript.ps1”
$signature = Get-AuthenticodeSignature -FilePath $script
if ($signature.Status -eq “Valid”) {
. $script
} else {
Write-Host “The script signature is not valid.”
}

通过执行以下步骤，您可以创建自签名证书、签署 PowerShell 脚本并确保其在 PowerShell 命令行环境中的完整性和真实性。

在 PowerShell 命令行上下文中，如何使用现有代码签名证书对脚本进行签名，以防止在客户端系统上进行未经授权的更改和执行？

要在 PowerShell 命令行中使用现有代码签名证书对脚本进行签名，请执行以下步骤：

1. 使用管理权限打开 PowerShell：右键单击 PowerShell 图标并选择以管理员身份运行。

2. 导入代码签名证书：如果证书存储在文件中，您可以使用 Import-PfxCertificate cmdlet 导入它：

$cert = Import-PfxCertificate -FilePath “” -Password (ConvertTo-SecureString -String “” -AsPlainText -Force) -CertStoreLocation Cert:CurrentUserMy

将“替换为 PFX 证书的文件路径，并将“替换为证书的密码。

如果您的系统上已安装证书，请使用 Get-ChildItem cmdlet 查找它：

$cert = Get-ChildItem -Path ‘Cert:CurrentUserMy’ -CodeSigningCert

3. 对脚本进行签名：使用 Set-AuthenticodeSignature cmdlet 使用导入的证书对脚本进行签名：

Set-AuthenticodeSignature -FilePath “” -Certificate $cert

将“替换为 PowerShell 脚本的文件路径。

4. 验证签名：要确保脚本已成功签名，请使用 Get-AuthenticodeSignature cmdlet：

Get-AuthenticodeSignature -FilePath “”

这些步骤将有助于使用现有代码签名证书对您的 PowerShell 脚本进行签名，从而防止在客户端系统上进行未经授权的更改和执行。

PowerShell 命令行如何处理脚本执行策略，以及在签名和运行签名的 PowerShell 脚本时配置这些策略的最佳实践是什么？

在PowerShell命令行中，脚本执行策略决定了配置文件和脚本的执行条件。这些策略可帮助管理员维护安全的环境，同时允许脚本运行以执行各种任务。 PowerShell 中有四种不同的执行策略：

1. Restricted：这是默认执行策略，不允许任何脚本运行。
2. AllSigned：仅允许那些脚本运行已由受信任的发布者签名。
3. RemoteSigned：允许本地创建的脚本无需签名即可运行，但下载的脚本必须由受信任的发布者签名。
4. 无限制：允许运行所有脚本，无论是否已签名，但在从 Internet 运行未签名的脚本时仍会提示确认。

要配置和管理脚本执行策略，您可以使用 Get-ExecutionPolicy 和 Set-ExecutionPolicy cmdlet。要设置特定的执行策略，请运行以下命令：

Set-ExecutionPolicy RemoteSigned

将 RemoteSigned 替换为所需的执行策略。

配置和运行签名的 PowerShell 脚本的最佳实践涉及以下步骤：

1. 选择适当的执行策略：确定哪种执行策略最适合您组织的安全要求。使用 AllSigned 或 RemoteSigned 以获得更高的安全性。

2. 获取代码签名证书：从受信任的证书颁发机构 (CA)（组织的内部 CA 或公共 CA）获取或创建代码签名证书。

3. 对您的 PowerShell 脚本进行签名：使用 Set-AuthenticodeSignature cmdlet 使用代码签名证书对您的脚本进行签名。

$cert = @(Get-ChildItem cert:CurrentUserMy -CodeSigning)[0]
Set-AuthenticodeSignature -FilePath ‘C:ScriptsMyScript.ps1’ -Certificate $cert

4. 分发证书：确保运行 PowerShell 脚本的所有系统都信任签名证书。安装证书并将其分发到每个系统上的受信任的发布者存储。

5. 定期更新和撤销证书：定期检查和更新您的代码签名证书，并撤销任何受损的证书以维护安全的环境。

通过遵循这些最佳实践，您可以确保执行 PowerShell 脚本的安全环境，同时最大限度地降低未经授权或恶意脚本执行的风险。