about_Execution_Policies

簡短描述

描述 PowerShell 執行原則,並說明如何管理這些原則。

完整描述

PowerShell 的執行原則是一項安全功能,可控制 PowerShell 載入組態檔和執行腳本的條件。 此功能有助於防止執行惡意指令碼。

在 Windows 電腦上,您可以為本機電腦、目前使用者或特定會話設定執行原則。 您也可以使用群組原則設定來設定電腦和使用者的執行原則。

本機電腦和目前使用者的執行原則會儲存在登錄中。 您不需要在 PowerShell 設定檔中設定執行原則。 特定會話的執行原則只會儲存在記憶體中,並在會話關閉時遺失。

執行原則不是限制使用者動作的安全性系統。 例如,當使用者無法執行腳本時,可以在命令列輸入腳本內容,輕鬆地略過原則。 相反地,執行原則可協助使用者設定基本規則,並防止他們不小心違反這些規則。

在非 Windows 電腦上,預設執行原則是 Unrestricted 且無法變更。 Cmdlet Set-ExecutionPolicy 可供使用,但 PowerShell 會顯示不支援的主控台訊息。 雖然 Get-ExecutionPolicy 在非 Windows 平臺上傳 Unrestricted 回,但行為確實相符 Bypass ,因為這些平臺不會實作Windows 安全性區域。

PowerShell 執行原則

這些原則的強制執行只會在 Windows 平臺上發生。 PowerShell 執行原則如下所示:

AllSigned

  • 腳本可以執行。
  • 要求所有指令碼與設定檔需由信任的發行者簽署,包括您在本機電腦上編寫的指令碼。
  • 在您尚未分類為受信任或未受信任的發行者執行腳本之前,提示您。
  • 執行已簽署但惡意腳本的風險。

Bypass

  • 不會封鎖任何項目,且不會顯示警告或提示。
  • 此執行原則是針對 PowerShell 腳本內建至較大應用程式的組態所設計,或針對 PowerShell 是其本身安全性模型之程式的基礎組態所設計。

Default

  • 設定預設執行原則。
  • Restricted 適用于 Windows 用戶端。
  • 適用于 Windows 伺服器的RemoteSigned

RemoteSigned

  • Windows 伺服器電腦的預設執行原則。
  • 腳本可以執行。
  • 需要來自受信任發行者的數位簽章,這些腳本和組態檔是從網際網路下載,其中包含電子郵件和立即訊息程式。
  • 在本機電腦上撰寫的腳本上不需要數位簽章,也不會從網際網路下載。
  • 如果腳本遭到解除封鎖,則執行從網際網路下載且未簽署的腳本,例如使用 Unblock-File Cmdlet。
  • 從網際網路以外的來源執行未簽署的腳本,以及可能為惡意的已簽署腳本的風險。

Restricted

  • Windows 用戶端電腦的預設執行原則。
  • 允許個別命令,但不允許腳本。
  • 防止執行所有腳本檔案,包括格式化和組態檔 (.ps1xml) 、模組腳本檔案 (.psm1) ,以及 powerShell 設定檔 (.ps1) 。

Undefined

  • 目前範圍中未設定執行原則。
  • 如果所有範圍中的執行原則是 Undefined ,則有效的執行原則適用于 Restricted Windows 用戶端,而 RemoteSigned for Windows Server 則為 。

Unrestricted

  • 非 Windows 電腦的預設執行原則,無法變更。
  • 未簽署的腳本可以執行。 執行惡意腳本的風險。
  • 在執行不是來自近端內部網路區域的腳本和組態檔之前,警告使用者。

注意

在無法區分通用命名慣例 (UNC) 路徑與網際網路路徑的系統上,可能無法使用 RemoteSigned 執行原則來執行 UNC 路徑所識別的腳本。

執行原則範圍

您可以設定只在特定範圍中有效的執行原則。

的有效值為 ScopeMachinePolicyUserPolicyProcess、CurrentUserLocalMachineLocalMachine 是設定執行原則時的預設值。

這些 Scope 值會依優先順序列出。 優先順序較高的原則在目前的會話中有效,即使在較低層級的優先順序上設定了更嚴格的原則也一樣。

如需詳細資訊,請參閱 Set-ExecutionPolicy

MachinePolicy

為電腦的所有使用者設定群組原則。

UserPolicy

由電腦的目前使用者群組原則設定。

Process

範圍 Process 只會影響目前的 PowerShell 會話。 執行原則會儲存在環境變數 $env:PSExecutionPolicyPreference 中,而不是登錄。 關閉 PowerShell 會話時,會刪除變數和值。

CurrentUser

執行原則只會影響目前的使用者。 它會儲存在 HKEY_CURRENT_USER 登錄子機碼中。

LocalMachine

執行原則會影響目前電腦上的所有使用者。 它會儲存在 HKEY_LOCAL_MACHINE 登錄子機碼中。

使用 PowerShell 管理執行原則

若要取得目前 PowerShell 會話的有效執行原則,請使用 Get-ExecutionPolicy Cmdlet。

下列命令會取得有效的執行原則:

Get-ExecutionPolicy

若要取得影響目前會話的所有執行原則,並以優先順序顯示:

Get-ExecutionPolicy -List

結果看起來類似下列範例輸出:

        Scope ExecutionPolicy
        ----- ---------------
MachinePolicy       Undefined
   UserPolicy       Undefined
      Process       Undefined
  CurrentUser    RemoteSigned
 LocalMachine       AllSigned

在此情況下,有效的執行原則是 RemoteSigned ,因為目前使用者的執行原則優先于本機電腦的執行原則集。

若要針對特定範圍取得執行原則集,請使用 ScopeGet-ExecutionPolicy 參數。

例如,下列命令會取得 CurrentUser 範圍的執行原則:

Get-ExecutionPolicy -Scope CurrentUser

變更執行原則

若要變更 Windows 電腦上的 PowerShell 執行原則,請使用 Set-ExecutionPolicy Cmdlet。 變更會立即生效。 您不需要重新開機 PowerShell。

如果您設定 LocalMachineCurrentUser範圍的執行原則,變更會儲存在登錄中,並維持有效狀態,直到您再次變更為止。

如果您設定範圍的執行原則 Process ,則不會儲存在登錄中。 執行原則會保留,直到目前的進程和任何子進程關閉為止。

注意

在 Windows Vista 和更新版本的 Windows 中,若要執行命令來變更本機電腦 LocalMachine 範圍的執行原則,請使用 [ 以系統管理員身分執行 ] 選項啟動 PowerShell。

若要變更執行原則:

Set-ExecutionPolicy -ExecutionPolicy <PolicyName>

例如:

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned

若要在特定範圍內設定執行原則:

Set-ExecutionPolicy -ExecutionPolicy <PolicyName> -Scope <scope>

例如:

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

變更執行原則的命令可能會成功,但仍無法變更有效的執行原則。

例如,設定本機電腦的執行原則的命令可能會成功,但由目前使用者的執行原則覆寫。

移除執行原則

若要移除特定範圍的執行原則,請將執行原則設定為 Undefined

例如,若要移除本機電腦所有使用者的執行原則:

Set-ExecutionPolicy -ExecutionPolicy Undefined -Scope LocalMachine

若要移除 的執行 Scope 原則:

Set-ExecutionPolicy -ExecutionPolicy Undefined -Scope CurrentUser

如果未在任何範圍中設定執行原則,有效的執行原則為 Restricted ,這是 Windows 用戶端的預設值。

為一個會話設定不同的原則

您可以使用 的 pwsh.exeExecutionPolicy參數,為新的 PowerShell 會話設定執行原則。 此原則只會影響目前的會話和子會話。

若要設定新會話的執行原則,請在命令列啟動 PowerShell,例如 cmd.exe 或從 PowerShell 啟動 PowerShell,然後使用 的 pwsh.exeExecutionPolicy參數來設定執行原則。

例如:

pwsh.exe -ExecutionPolicy AllSigned

您設定的執行原則不會儲存在登錄中。 相反地,它會儲存在環境變數中 $env:PSExecutionPolicyPreference 。 當您關閉原則設定所在的會話時,就會刪除變數。 您無法編輯變數值來變更原則。

在會話期間,針對會話設定的執行原則優先于本機電腦或目前使用者登錄中設定的執行原則。 不過,它不會優先于使用 群組原則所設定的執行原則。

使用群組原則管理執行原則

您可以使用[開啟腳本執行群組原則] 設定來管理企業中電腦的執行原則。 群組原則設定會覆寫所有範圍內 PowerShell 中設定的執行原則。

開啟腳本執行原則設定如下所示:

  • 如果您停用 [開啟腳本執行],腳本就不會執行。 這相當於 Restricted 執行原則。

  • 如果啟用 [開啟腳本執行],您可以選取執行原則。 群組原則設定相當於下列執行原則設定:

    群組原則 執行原則
    允許所有腳本 Unrestricted
    允許本機腳本和遠端簽署的腳本 RemoteSigned
    只允許已簽署的腳本 AllSigned
  • 如果未 設定 [開啟腳本執行 ],則不會有任何作用。 PowerShell 中設定的執行原則有效。

PowerShellExecutionPolicy.adm 和 PowerShellExecutionPolicy.admx 檔案會將[開啟腳本執行] 原則新增至下列路徑中群組原則編輯器中的 [電腦設定] 和 [使用者設定] 節點。

針對 Windows XP 和 Windows Server 2003:

Administrative Templates\Windows Components\Windows PowerShell

針對 Windows Vista 和更新版本的 Windows:

Administrative Templates\Classic Administrative Templates\Windows Components\Windows PowerShell

[電腦設定] 節點中設定的原則優先于 [使用者設定] 節點中設定的原則。

如需詳細資訊,請參閱about_Group_Policy_Settings

執行原則優先順序

判斷會話的有效執行原則時,PowerShell 會以下列優先順序評估執行原則:

Group Policy: MachinePolicy
Group Policy: UserPolicy
Execution Policy: Process (or pwsh.exe -ExecutionPolicy)
Execution Policy: CurrentUser
Execution Policy: LocalMachine

管理已簽署和未簽署的腳本

在 Windows 中,Internet Explorer 和 Microsoft Edge 之類的程式會將替代資料流程新增至下載的檔案。 這會將檔案標示為「來自網際網路」。 如果您的 PowerShell 執行原則是 RemoteSigned,PowerShell 將不會執行從網際網路下載的未簽署腳本,其中包括電子郵件和立即訊息程式。

您可以簽署腳本,或選擇執行未簽署的腳本,而不需變更執行原則。

從 PowerShell 3.0 開始,您可以使用 Cmdlet 的 Get-ItemStream參數來偵測因為從網際網路下載而遭到封鎖的檔案。 Unblock-File使用 Cmdlet 解除封鎖腳本,以便您可以在 PowerShell 中執行這些腳本。

如需詳細資訊,請參閱 about_SigningGet-ItemUnblock-File

注意

下載檔案的其他方法可能不會將檔案標示為來自網際網路區域。 部分範例包括:

  • curl.exe
  • Invoke-RestMethod
  • Invoke-WebRequest

Windows Server Core 和 Window Nano Server 上的執行原則

在某些情況下,在 Windows Server Core 或 Windows Nano Server 上執行 PowerShell 6 時,執行原則可能會失敗,並出現下列錯誤:

AuthorizationManager check failed.
At line:1 char:1
+ C:\scriptpath\scriptname.ps1
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : SecurityError: (:) [], PSSecurityException
    + FullyQualifiedErrorId : UnauthorizedAccess

PowerShell 會使用 Windows 桌面殼層中的 API () explorer.exe 來驗證腳本檔案的區域。 Windows Server Core 和 Windows Nano Server 上無法使用 Windows Shell。

如果 Windows 桌面殼層無法使用或沒有回應,您也可以在任何 Windows 系統上收到此錯誤。 例如,在登入期間,PowerShell 登入腳本可能會在 Windows Desktop 就緒之前開始執行,因而導致失敗。

使用 ByPassAllSigned 的執行原則不需要區域檢查,這可避免問題。

另請參閱