Os riscos de segurança ao ignorar a política de execução no PowerShell?

3

Sei que você pode ignorar a política de execução atual no PowerShell passando -ExecutionPolicy Bypass na linha de comando, mas o que isso realmente faz?

Eu sei que ele permite que scripts sejam executados, mas suponho que ele impeça um usuário padrão de executar cmdlets que possam comprometer um sistema / rede?

Se você está perguntando por que eu quero permitir que usuários padrão executem scripts do PowerShell, basicamente temos um aplicativo na rede que possui vários switches que podem ser passados para ele. Às vezes, o usuário pode precisar alterar esses switches. Então, estou pensando que o PowerShell pode ser o melhor caminho a seguir.

O script é assim:

$app = "C:\Path\To\Application.exe"
$path = "C:\Path\To\File.dat"
$switches = @('/switch1', '/switch2', '/switch3')

Start-Process $app "-File ""$path"" ""$switches"""
    
por Jake 22.11.2015 / 16:52

1 resposta

2

Vamos começar com o padrão básico ExecutionPolicy , que é Restricted :

Restricted
1. Permits individual commands, but will not run scripts.
2. Prevents running of all script files, including formatting and configuration files (.ps1xml), module script files (.psm1), and Windows PowerShell profiles (.ps1).

Se você ignorar o ExecutionPolicy , você permitiria que qualquer script do Windows PowerShell fosse executado ou fosse criado por alguém internamente ou baixado ...

Bypass
1. Nothing is blocked and there are no warnings or prompts.
2. This execution policy is designed for configurations in which a Windows PowerShell script is built in to a larger application or for configurations in which Windows PowerShell is the foundation for a program that has its own security model.

Provavelmente, é melhor definir ExecutionPolicy como RemoteSigned (portanto, assinar seus scripts do PowerShell) ou Unrestricted (fazer com que esses executem esse script garantam que seja o correto, pois receberão um pop-up). / p>

Você pode fazer uma leitura mais aprofundada de cada ExecutionPolicy nas about_ExecutionPolicies artigo.

    
por 24.11.2015 / 21:49