配置PowerShell脚本执行策略

默认情况下，Windows 设置会阻止 PowerShell 脚本运行。从安全角度来看，限制不受信任的恶意代码从 PowerShell 脚本运行非常重要。执行策略确定运行 PowerShell 脚本的设置。在本文中，我们将了解在 Windows 上运行 PS 脚本的可用设置、如何更改执行策略以及如何使用 GPO 为域计算机配置 PowerShell 脚本执行策略。

此系统上禁用运行 PowerShell 脚本

尝试在干净的 Windows 10 上运行任何 PowerShell 脚本（PS1 文件）时，会出现以下错误：

File C:\ps\script.ps1 cannot be loaded because running scripts is disabled on this system. For more information, see about_Execution_Policies at https:/go.microsoft.com/fwlink/?LinkID=135170.
+ CategoryInfo : SecurityError: (:) [], PSSecurityException
+ FullyQualifiedErrorId : UnauthorizedAccess

您可以使用以下命令获取 Windows 中 PowerShell 脚本执行策略的当前设置：

Get-ExecutionPolicy

以下 PowerShell 执行策略值可用：

• Restricted

  - 禁用运行PowerShell脚本，只能在PS控制台中执行交互式命令；

• AllSigned

  - 仅允许由受信任的发布者使用数字签名进行签名的 PS 脚本（您可以使用自签名证书对脚本进行签名并将其添加到受信任的根证书）。运行不受信任的脚本时，会出现以下警告：

  Do you want to run software from this untrusted publisher? File .ps1 is published by CN=test1 and is not trusted on your system. Only run scripts from trusted publishers.

• RemoteSigned

  - 您可以不受任何限制地运行本地PowerShell脚本。您可以运行带数字签名的远程 PS 文件（无法运行从 Internet 下载的 PS1 文件或通过 UNC 路径从共享网络文件夹启动的 PS1 文件）；

• Unrestricted

  - 允许运行所有PowerShell脚本；

  尝试运行第三方 PowerShell 脚本时，系统可能会提示您确认启动（见下文）。

• Bypass 

  - 允许运行任何 PS 文件（不显示警告）。该策略通常用于自动运行 PS 脚本而不显示任何通知（例如，当通过 GPO、SCCM、任务计划程序等运行脚本时），不建议永久使用；

• Default 

  - 将 PowerShell 脚本执行设置重置为默认设置；

  在Windows 10上，PowerShell 执行策略的默认值为受限，在Windows Server 2016上它为RemoteSigned。

• Undefined

  - 政策尚未制定。 Restricted 策略适用于桌面操作系统，RemoteSigned 适用于服务器操作系统。

如何让PowerShell使用执行策略运行脚本？

要更改 PowerShell 脚本执行策略的当前值，请使用 Set-ExecutionPolicy cmdlet。

例如，让我们允许运行本地 PS 脚本文件：

Set-ExecutionPolicy RemoteSigned

按 Y 或 A 确认更改 PS1 脚本的执行策略。

为了避免显示确认提示，您可以使用Force参数。

Set-ExecutionPolicy RemoteSigned -Force

如果您将 PowerShell 执行策略的值设置为无限制，则在尝试通过 UNC 路径或从 Internet 下载的文件从共享文件夹运行远程脚本时，您仍然会看到提示：

Security warning
Run only scripts that you trust. While scripts from the internet can be useful, this script can potentially harm your computer. If you trust this script, use the
Unblock-File cmdlet to allow the script to run without this warning message.
Do you want to run?
[D] Do not run [R] Run once [S] Suspend [?] Help (default is "D")

PowerShell 如何区分本地脚本和远程脚本？这是由于

ZoneId

下载文件时浏览器在备用流中设置的标识符（请参阅文章 Windows 如何知道文件是否是从 Internet 下载的？）。您可以通过在文件属性中选中取消阻止来取消阻止文件，或使用

Unblock-File

cmdlet。

您还必须区分 PowerShell 执行策略的不同范围：

- 使用 GPO 设置并适用于计算机的所有用户；

- 也使用 GPO 设置并适用于计算机用户；

- 执行策略设置仅应用于当前PowerShell会话（并在powershell.exe进程终止后重置）；

- 执行策略仅应用于当前用户（HKEY_CURRENT_USER 注册表项的参数）；

是针对计算机所有用户的策略（来自 HKEY_LOCAL_MACHINE 注册表项的参数）。

您可以使用 Set-ExecutionPolicy cmdlet 的 Scope 参数设置策略范围。例如：

Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass -Force

让我们检查所有范围的当前 ExecutionPolicy 设置：

Get-ExecutionPolicy -List

Scope ExecutionPolicy
----- ---------------
MachinePolicy Undefined
UserPolicy Undefined
Process Bypass
CurrentUser Undefined
LocalMachine RemoteSigned

您使用 Set-ExecutionPolicy cmdlet 为 CurrentUser 和 LocalMachine 范围设置的执行策略值存储在注册表中。例如，运行以下命令：

Set-ExecutionPolicy -Scope LocalMachine -ExecutionPolicy Restricted -Force

打开 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PowerShell\ShellIds\Microsoft.PowerShell 注册表项并检查 ExecutionPolicy 参数的 REG_SZ 值。它应更改为“受限”（允许的参数值为受限、AllSigned、RemoteSigned、绕过、无限制和未定义）。

CurrentUser 范围的相同设置位于 HKEY_CURRENT_USER\SOFTWARE\Microsoft\PowerShell \ShellIds\Microsoft.PowerShell 下。

这意味着您可以使用组策略首选项通过注册表部署 PowerShell 脚本执行策略设置。

请注意，LocalMachine 级别上具有 AllSigned 值的 ExecutionPolicy 最常在企业环境中使用。它提供了安全性和便利性之间的最佳平衡。对于个人用途，您可以使用计算机上的 RemoteSigned 设置。绕过策略只能用于运行某些任务（例如，使用 GPO 运行脚本或任务计划程序中的任务）。

使用 GPO 在 Active Directory 中设置 PowerShell 执行策略

您可以使用组策略在 Active Directory 域中的服务器或域计算机上配置 PowerShell 脚本的执行策略。

1. 在域 GPO 编辑器中（

   gpmc.msc

   )，创建一个新的 GPO 或编辑现有的 GPO，并将其链接到包含要应用 PowerShell 脚本执行策略的计算机的 OU；

2. 在 GPO 编辑器中打开计算机配置 -> 策略 -> 管理模板 -> Windows 组件 -> Windows PowerShell 并找到打开脚本执行参数。

   用户 GPO 部分 - 用户配置中也有相同的策略，但计算机策略具有更高的优先级。

3. 该策略可能具有三个值：

   1. 仅允许签名脚本 - 对应于 AllSigned 策略

4. 允许本地脚本和远程签名脚本 - 对应于 PS RemoteSigned 政策

5. 允许所有脚本 - 对应于无限制策略
   

   

使用 GPO 配置执行策略后，您将无法手动更改脚本执行策略设置。如果您尝试更改应用 GPO 的计算机上的执行策略设置，则会出现以下错误：

Set-ExecutionPolicy: Windows PowerShell updated your execution policy successfully, but the setting is overridden by a policy defined at a more specific scope. Due to the override, your shell will retain its current effective execution policy of RemoteSigned. Type "Get-ExecutionPolicy -List" to view your execution policy settings.

以同样的方式，您可以使用本地 GPO 编辑器 — gpedit.msc 在独立计算机上配置执行策略。

如何绕过Windows上的PowerShell执行策略？

如果您想在计算机上运行 PowerShell 脚本而不更改执行策略设置，可以使用一些技巧来帮助您。例如，我想运行一个简单的 PS1 脚本来检查它是否以管理员身份运行。

您可以使用 Get-Content 获取脚本内容并将其重定向到 PS 控制台的标准输入流。

Get-Content c:\ps\check_process_elevation.ps1 | PowerShell.exe -noprofile -

或者您可以使用绕过策略运行新的 powershell.exe 进程：

powershell.exe -noprofile -executionpolicy bypass -file c:\ps\check_process_elevation.ps1