Запуск скрипта без предупреждения

Если у вас имеются скрипты PowerShell, которые были подписаны кем-либо. Даже если этот собственные скрипты, подписанные собственным сертификатом, PowerShell не даст их просто так запустить. Поэтому необходимо выполнить ряд действий, чтобы разрешить запуск скриптов данного автора на всех компьютерах в домене Active Directory. Первое, что необходимо сделать установить политику выполнения на всех компьютерах в AllSigned. Более подробно с необходимыми настройками вы можете ознакомиться в моей статье безопасность PowerShell в Active Directory.

Получение сертификата с публичным ключем

При запуске подписанного скрипта даже сертификатом доверенного центра сертификации, все равно будет всплывать предупреждение о запуске данного скрипта. Происходит это по вполне понятной причине, доверенный центр сертификации может помочь вам определить автора скрипта. Любой может заказать у публичных центров сертификации ключ и подписывать им свои скрипты. Это может сделать даже хакер. Поэтому каждого автора, необходимо будет добавлять в доверенные по отдельности.

Вот пример предупреждения:

Чтобы избежать данного сообщения в дальнейшем необходимо нажать A. При этом публичный ключ будет добавлен в хранилище Trusted Publisher. Более на данном компьютере, скрипты данного автора предупреждения выдавать не будут.

Экспорт сертификата с публичным ключем

Его необходимо будет экспортировать и импотрировать на все компьютеры, на которых предполагается запускать скрипты этого пользователя.

1. В консоле Certificate переходим в Trusted Publisher -> Certificates

public

2. Щелкаем правой кнопкой по сертификату пользователя, чьи скрипты мы желаем разрешить. И выбираем All Tasks -> Export

public1

3. Пропустив несколько шагов по умолчанию выбираем имя файла и путь где будет сохранен файл. Можно выбрать какую-нибудь «шару». К этому файлу должен быть доступ из редактора групповых политик.

public2

4. Завершаем процесс экспорта.

public3

Полученный файл можно импортировать на любой компьютер в узел «доверенные издатели». После этого и на этом компьютере можно будет запускать скрипты данного автора, без каких-либо предупреждений.

Импорт публичного ключа на все компьютеры в AD

Безусловно если вы желаете, чтобы скрипты автора выполнялись без предубеждения на компьютерах в вашем домене, проще всего для этой цели воспользоваться групповыми политиками.

1. Переходим в Group Policy Manager и изменяем групповую политику, которую мы использовали для установки политики выполнения. Хотя можно создать новую.

public4

2. Переходим в узел Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Public Key Policies -> Trusted Publishers

public5

3. Щелкаем правой кнопкой в пустой области и выбираем Import

public6

4. Пропустив несколько шагов выбираем файл, который был указан на 3 шаге.

public7

5. Проверяем, что импорт будет произовдится в Trusted Publisher

public8

6. Завершаем процесс импорта.

public9

После этого обновляем групповые политики на клиентских компьтерах и на них можно будет спокойно выполнять скрипты данного автора. В эту групповую политику необходимо добавить все сертификаты всех разработчиков, которые у вас есть. Поэтому важно, чтобы сертификаты не плодились и увас был файл содержащий приватный ключ сертификата.

One thought on “Запуск скрипта без предупреждения

  1. Спасибо! Теперь я знаю что происходит когда отвечаешь «всегда запускать скрипты с этой подписью»

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *