Цифровая подпись у PowerShell скрипта (файла *.PS1) позволяет при запуске удостовериться, что скрипт подписан доверенным издателем и его код не был изменен. Для подписи кода PowerShell скрипта вам нужно получить сертификат типа Code Signing . Такой сертификат можно:
Таким образом, у вас должен файл сертификата с закрытым ключом в формате .PFX (с X509. Импортируйте этот сертификат в локальное хранилище компьютера:
$PlainTextPass = "Certpass123456"
$pfxpass = $PlainTextPass |ConvertTo-SecureString -AsPlainText -Force
Import-PfxCertificate -filepath "C:PStest.pfx" cert:LocalMachinemy -Password $pfxpass
Если вы хотите использовать самоподписанный сертификат, его можно сгенерировать с помощью PowerShell :
$certFile = New-SelfSignedCertificate -Subject "Certificate to sign PowerShell sсripts" -Type CodeSigningCert -DnsName $env:computername -CertStoreLocation cert:LocalMachinemy
Вывести список доступных сертификатов для подписывания кода скриптов PowerShell в указанном хранилище:
Get-ChildItem cert:LocalMachinemy -CodeSigningCert
Выбрать сертификат можно по его отпечатку:
$signcert = Get-ChildItem -Path "cert:LocalMachinemy" | ? Thumbprint -eq 1A719E6D14E4827370457C3DEDD2D08725BAA95B
Чтобы подписать код указанного PowerShell скрипта, выполните:
$PSScript = "C:PSHardwareReadiness.ps1"
$TimestampServer = "http://timestamp.verisign.com/scripts/timstamp.dll"
Set-AuthenticodeSignature -FilePath $PSScript -Certificate $signcert -TimestampServer $TimestampServer
Set-AuthenticodeSignature : Cannot sign code. The specified certificate is not suitable for code signing.
При подписывании файла PowerShell скрипта, командлет Set-AuthenticodeSignature добавляет в конец текстового файла PS1 блок сигнатуры цифровой подписи, обрамленный специальными метками:
# SIG # Begin signature block_x000D_..........._x000D_..........._x000D_# SIG # End signature block
Блок сигнатуры содержит хэш скрипта, который зашифрован с помощью закрытого ключа.
В свойствах PS1 файла на вкладке Digital Signatures появится информация о наличии подписи у скрипта и информация о сертификате.
По умолчанию настройки политики выполнения PowerShell скриптов в Windows блокируют запуск любых PS1 скриптов (режим Restricted) и при запуске скрипта появится ошибка.
File C:PSHardwareReadiness.ps1 cannot be loaded because running scripts is disabled on this system.
Чтобы разрешить запуск только подписанных PowerShell скриптов, нужно изменить настройки политики на AllSigned . Настройки политики выполнения можно изменить:
Set-ExecutionPolicy AllSigned –Force
Проверьте настройки политики выполнения:
Get-ExecutionPolicy
Если попробовать запустить сейчас подписанный PowerShell скрипт, появится ошибка:
File C:PSHardwareReadiness.ps1 cannot be loaded. A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.
Для запуска подписанного PowerShell скрипта, нужно добавить отпечаток сертификата в корневые доверенные сертификаты. Можно скопировать сертификат из секции Personal в хранилища Trusted Root Certification Authority и Trusted Publisher с помощью графической консоли Certlm.msc
(скопируйте сертификат из Personal хранилища и вставьте его в корневые).
Не забывайте периодически проверять хранилище сертификатов Windows на наличие недоверенных сертфикатов и обновлять списки корневых сертификатов .
Теперь подписанный PowerShell скрипт будет запускаться без предупреждений.
Чтобы проверить действительность подписи PowerShell скрипта, выполните команду:
Get-AuthenticodeSignature C:PSHardwareReadiness.ps1
File .ps1 cannot be loaded. The contents of file .ps1 might have been changed by an unauthorized user or process, because the hash of the file does not match the hash stored in the digital signature
Таким образом, после любой модификации кода подписанного PS1 скрипта его нужно заново переподписать. Также скрипт перестанет запускаться после истечения срока действия сертификата, поэтому за этой датой также нужно следить.
Рекомендуется подписывать все PowerShell скрипты, выполняющиеся с повышенными привилегиями администраторов домена или серверов, а также скрипты, которые запускаются на компьютерах пользователей через GPO .
Как менялся логотип Apple на протяжении многих лет. Логотип Apple — это не просто символ,…
Security Boot Fail при загрузке Acer — решение проблемы При загрузке ноутбука Acer с флешки,…
Ноутбук не включается — варианты решения Если при попытке включить ноутбук вы обнаруживаете, что он…
The AC power adapter wattage and type cannot be determined — причины и решение При…
Свистит или звенит блок питания компьютера — причины и решения Некоторые владельцы ПК могут обратить…
Мигает Caps Lock на ноутбуке HP — почему и что делать? При включении ноутбука HP…