about_Execution_Policies
Краткое описание
Описывает политики выполнения PowerShell и описывает, как ими управлять.
Подробное описание
Политика выполнения PowerShell — это функция безопасности, управляющая условиями, при которых PowerShell загружает файлы конфигурации и запускает скрипты. Эта функция помогает предотвратить выполнение вредоносных скриптов.
На компьютере с Windows можно задать политику выполнения для локального компьютера, для текущего пользователя или для определенного сеанса. Можно также использовать параметр групповой политики, чтобы задать политики выполнения для компьютеров и пользователей.
Политики выполнения для локального компьютера и текущего пользователя хранятся в реестре. Вам не нужно задавать политики выполнения в профиле PowerShell. Политика выполнения для определенного сеанса хранится только в памяти и теряется при закрытии сеанса.
Политика выполнения не является системой безопасности, которая ограничивает действия пользователей. Например, пользователи могут легко обходить политику, вводя содержимое скрипта в командной строке, если они не могут запустить скрипт. Вместо этого политика выполнения помогает пользователям устанавливать базовые правила и предотвращает их непреднамеренное нарушение.
На компьютерах, отличных от Windows, политика выполнения по умолчанию — Unrestricted и не может быть изменена. Командлет Set-ExecutionPolicy доступен, но PowerShell отображает сообщение консоли о том, что он не поддерживается. Хотя Get-ExecutionPolicy возвращается Unrestricted на платформах, отличных от Windows, поведение на самом деле совпадаетBypass, так как эти платформы не реализуют зоны Безопасность Windows.
Политики выполнения PowerShell
Применение этих политик происходит только на платформах Windows. Ниже приведены политики выполнения PowerShell.
AllSigned- Скрипты могут выполняться.
- требует, чтобы все скрипты и файлы конфигурации, включая скрипты, подготовленные на локальном компьютере, были подписаны доверенным издателем.
- Запрашивает перед выполнением скриптов от издателей, которые вы еще не классифицировали как доверенные или ненадежные.
- Риски выполнения подписанных, но вредоносных сценариев.
Bypass- ничего не блокируется, и никакие предупреждения и запросы не появляются.
- Эта политика выполнения предназначена для конфигураций, в которых скрипт PowerShell встроен в более крупное приложение, или для конфигураций, в которых PowerShell является основой для программы с собственной моделью безопасности.
Default- Задает политику выполнения по умолчанию.
- Restricted для клиентов Windows.
- RemoteSigned для серверов Windows.
RemoteSigned- Политика выполнения по умолчанию для компьютеров Windows Server.
- Скрипты могут выполняться.
- Требуется цифровая подпись доверенного издателя для сценариев и файлов конфигурации, скачанных из Интернета, включая электронную почту и программы обмена мгновенными сообщениями.
- Не требуются цифровые подписи для скриптов, написанных на локальном компьютере и не скачанных из Интернета.
- Выполняет скрипты, загруженные из Интернета и не подписанные, если они разблокированы, например с помощью командлета
Unblock-File. - Рискует выполнение неподписанных скриптов из источников, отличных от Интернета, и подписанных скриптов, которые могут быть вредоносными.
Restricted- Политика выполнения по умолчанию для клиентских компьютеров Windows.
- Разрешает отдельные команды, но не разрешает скрипты.
- Запрещает выполнение всех файлов скриптов, включая файлы форматирования и конфигурации (
.ps1xml), файлы скриптов модуля (.psm1) и профили PowerShell (.ps1).
Undefined- В текущем область не задана политика выполнения.
- Если политика выполнения во всех областях имеет значение Undefined, эффективная политика выполнения — Restricted для клиентов Windows и RemoteSigned для Windows Server.
Unrestricted- Политика выполнения по умолчанию для компьютеров, отличных от Windows, не может быть изменена.
- Неподписанные скрипты могут выполняться. Существует риск выполнения вредоносных сценариев.
- Предупреждает пользователя перед запуском скриптов и файлов конфигурации, которые не находятся в зоне локальной интрасети.
Примечание
В системах, которые не отличают UNC-пути от путей к Интернету, скриптам, определяемым путем UNC, может быть запрещено выполняться с политикой выполнения RemoteSigned .
область политики выполнения
Политику выполнения можно задать только в определенном область.
Допустимые значения для Scope : MachinePolicy, UserPolicy, Process, CurrentUser и LocalMachine. LocalMachine используется по умолчанию при настройке политики выполнения.
Значения Scope перечислены в порядке приоритета. Политика, которая имеет приоритет, действует в текущем сеансе, даже если более ограничительная политика была установлена на более низком уровне приоритета.
Дополнительные сведения см. в разделе Set-ExecutionPolicy.
MachinePolicy
Устанавливается групповая политика для всех пользователей компьютера.
UserPolicy
Задается групповая политика для текущего пользователя компьютера.
Process
Область Process влияет только на текущий сеанс PowerShell. Политика выполнения сохраняется в переменной
$env:PSExecutionPolicyPreferenceсреды , а не в реестре. При закрытии сеанса PowerShell переменная и значение удаляются.CurrentUser
политика выполнения распространяется только на текущего пользователя. Он хранится в подразделе реестра HKEY_CURRENT_USER .
LocalMachine
Политика выполнения влияет на всех пользователей на текущем компьютере. Он хранится в подразделе реестра HKEY_LOCAL_MACHINE .
Управление политикой выполнения с помощью PowerShell
Чтобы получить действующую политику выполнения для текущего сеанса PowerShell, используйте Get-ExecutionPolicy командлет .
Следующая команда возвращает действующую политику выполнения:
Get-ExecutionPolicy
Чтобы получить все политики выполнения, влияющие на текущий сеанс, и отобразить их в порядке приоритета:
Get-ExecutionPolicy -List
Результат выглядит примерно так, как в следующем примере выходных данных:
Scope ExecutionPolicy
----- ---------------
MachinePolicy Undefined
UserPolicy Undefined
Process Undefined
CurrentUser RemoteSigned
LocalMachine AllSigned
В этом случае действующей политикой выполнения является RemoteSigned , так как политика выполнения для текущего пользователя имеет приоритет над политикой выполнения, установленной для локального компьютера.
Чтобы получить набор политики выполнения для определенного область, используйте Scope параметр Get-ExecutionPolicy.
Например, следующая команда получает политику выполнения для область CurrentUser:
Get-ExecutionPolicy -Scope CurrentUser
Изменение политики выполнения
Чтобы изменить политику выполнения PowerShell на компьютере с Windows, используйте Set-ExecutionPolicy командлет . Изменение вступает в силу немедленно. Вам не нужно перезапускать PowerShell.
Если вы задали политику выполнения для областей LocalMachine или CurrentUser, изменение сохраняется в реестре и остается в действии до тех пор, пока вы не измените его снова.
Если вы задали политику выполнения для Process область, она не сохраняется в реестре. Политика выполнения сохраняется до закрытия текущего процесса и всех дочерних процессов.
Примечание
В Windows Vista и более поздних версиях Windows для выполнения команд, изменяющих политику выполнения для локального компьютера, LocalMachine область, запустите PowerShell с параметром Запуск от имени администратора.
Чтобы изменить политику выполнения, выполните следующие действия.
Set-ExecutionPolicy -ExecutionPolicy <PolicyName>
Пример:
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
Чтобы задать политику выполнения в определенном область:
Set-ExecutionPolicy -ExecutionPolicy <PolicyName> -Scope <scope>
Пример:
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser
Команда для изменения политики выполнения может быть успешной, но по-прежнему не изменить действующую политику выполнения.
Например, команда, которая задает политику выполнения для локального компьютера, может быть выполнена успешно, но переопределена политикой выполнения для текущего пользователя.
Удаление политики выполнения
Чтобы удалить политику выполнения для определенного область, задайте для нее значение Undefined.
Например, чтобы удалить политику выполнения для всех пользователей локального компьютера, выполните следующие действия.
Set-ExecutionPolicy -ExecutionPolicy Undefined -Scope LocalMachine
Удаление политики выполнения для :Scope
Set-ExecutionPolicy -ExecutionPolicy Undefined -Scope CurrentUser
Если в область не задана политика выполнения, то действующей политикой выполнения является , которая используется Restrictedпо умолчанию для клиентов Windows.
Настройка другой политики для одного сеанса
Параметр ExecutionPolicypwsh.exe можно использовать для задания политики выполнения для нового сеанса PowerShell. Политика влияет только на текущий и дочерний сеансы.
Чтобы задать политику выполнения для нового сеанса, запустите PowerShell в командной строке, например cmd.exe или из PowerShell, а затем используйте параметр ExecutionPolicy для pwsh.exe установки политики выполнения.
Пример:
pwsh.exe -ExecutionPolicy AllSigned
Заданная политика выполнения не хранится в реестре. Вместо этого он хранится в переменной $env:PSExecutionPolicyPreference среды. Переменная удаляется при закрытии сеанса, в котором задается политика. Изменить политику, изменив значение переменной, нельзя.
Во время сеанса политика выполнения, заданная для сеанса, имеет приоритет над политикой выполнения, заданной в реестре для локального компьютера или текущего пользователя. Однако она не имеет приоритета над политикой выполнения, заданной с помощью групповая политика.
Используйте групповую политику для управления политикой выполнения
Вы можете использовать параметр Включить выполнение скриптов групповая политика для управления политикой выполнения компьютеров на предприятии. Параметр групповой политики переопределяет политики выполнения, заданные в PowerShell во всех областях.
Параметр политики Включить выполнение скриптов:
Если отключить параметр Включить выполнение скриптов, скрипты не будут выполняться. Это эквивалентно политике Restricted выполнения.
Если включить параметр Включить выполнение скриптов, вы можете выбрать политику выполнения. Параметры групповой политики эквивалентны следующим параметрам политики выполнения:
Групповая политика Политика выполнения Разрешить все скрипты Unrestricted Разрешить локальные и удаленные подписанные скрипты RemoteSigned Разрешить только подписанные скрипты AllSigned Если параметр Включить выполнение скриптов не настроен, он не будет применяться. Политика выполнения, заданная в PowerShell, применяется.
Файлы PowerShellExecutionPolicy.adm и PowerShellExecutionPolicy.admx добавляют политику Включить выполнение скриптов в узлы "Конфигурация компьютера" и "Конфигурация пользователя" в редакторе групповой политики в следующие каталоги.
Windows XP и Windows Server 2003:
Administrative Templates\Windows Components\Windows PowerShell
Windows Vista и более поздние версии Windows:
Administrative Templates\Classic Administrative Templates\Windows Components\Windows PowerShell
Политики, заданные в узле "Конфигурация компьютера", имеют приоритет над политиками, заданными в узле "Конфигурация пользователя".
Для получения дополнительной информации см. about_Group_Policy_Settings.
Приоритет политики выполнения
При определении действующей политики выполнения для сеанса PowerShell оценивает политики выполнения в следующем порядке:
Group Policy: MachinePolicy
Group Policy: UserPolicy
Execution Policy: Process (or pwsh.exe -ExecutionPolicy)
Execution Policy: LocalMachine
Execution Policy: CurrentUser
Управление подписанными и неподписаными скриптами
В Windows такие программы, как Internet Обозреватель и Microsoft Edge, добавляют альтернативный поток данных к скачиваемым файлам. Это помечает файл как "поступающий из Интернета". Если ваша политика выполнения PowerShell — RemoteSigned, PowerShell не будет запускать неподписанные скрипты, скачанные из Интернета, включая электронную почту и программы для обмена мгновенными сообщениями.
Вы можете подписать скрипт или запустить неподписанный скрипт, не изменяя политику выполнения.
Начиная с PowerShell 3.0, можно использовать параметр Stream командлета Get-Item для обнаружения файлов, заблокированных из-за загрузки из Интернета. Используйте командлет , Unblock-File чтобы разблокировать скрипты, чтобы их можно было запустить в PowerShell.
Дополнительные сведения см . в разделах about_Signing, Get-Item и Unblock-File.
Примечание
Другие методы скачивания файлов могут не помечать файлы как поступающие из зоны Интернета. Некоторые примеры:
curl.exeInvoke-RestMethodInvoke-WebRequest
Политика выполнения в Windows Server Core и Windows Nano Server
Если PowerShell 6 выполняется в Windows Server Core или Windows Nano Server при определенных условиях, политики выполнения могут завершиться ошибкой со следующей ошибкой:
AuthorizationManager check failed.
At line:1 char:1
+ C:\scriptpath\scriptname.ps1
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : SecurityError: (:) [], PSSecurityException
+ FullyQualifiedErrorId : UnauthorizedAccess
PowerShell использует API в оболочке рабочего стола Windows (explorer.exe) для проверки зоны файла скрипта. Оболочка Windows недоступна в Windows Server Core и Windows Nano Server.
Эта ошибка также может возникнуть в любой системе Windows, если оболочка рабочего стола Windows недоступна или не отвечает. Например, во время входа сценарий входа в PowerShell может начать выполнение до того, как рабочий стол Windows будет готов, что приведет к сбою.
Использование политики выполнения ByPass или AllSigned не требует проверка зоны, что позволяет избежать проблемы.