it-swarm-vi.com

Chính sách thực thi RemoteSign của PowerShell khác với AllSign như thế nào?

Tôi vẫn còn khá mới với PowerShell và gần đây đã đọc bài này trong một bài đăng trên blog về việc tạo và sử dụng các tập lệnh PowerShell.

Để ngăn việc thực thi các tập lệnh độc hại, PowerShell thi hành chính sách thực thi. Theo mặc định, chính sách thực thi được đặt thành Hạn chế, điều đó có nghĩa là các tập lệnh PowerShell sẽ không chạy. Bạn có thể xác định chính sách thực thi hiện tại bằng cách sử dụng lệnh ghép ngắn sau:

Get-ExecutionPolicy

Các chính sách thực thi bạn có thể sử dụng là:

  • Bị hạn chế - Tập lệnh giành chiến thắng.
  • RemoteSign - Các tập lệnh được tạo cục bộ sẽ chạy, nhưng các tập lệnh được tải xuống từ Internet sẽ không (trừ khi chúng được ký bởi nhà xuất bản đáng tin cậy).
  • AllSign - Tập lệnh sẽ chỉ chạy nếu chúng được ký bởi nhà xuất bản đáng tin cậy.
  • Không giới hạn - Tập lệnh sẽ chạy bất kể chúng đến từ đâu và chúng có được ký hay không.

Bạn có thể đặt chính sách thực thi PowerShell sườn bằng cách sử dụng lệnh ghép ngắn sau:

Set-ExecutionPolicy <policy name>

Đối với tôi, ký hiệu " trừ khi chúng được ký tên kỹ thuật số bởi nhà xuất bản đáng tin cậy " trong mô tả của Remote Signed dường như ngụ ý rằng nó hoạt động giống như Được chỉ định. Có sự khác biệt nào tôi đang thiếu ở đâu đó không?

28
Iszi

Rõ ràng AllSign yêu cầu tất cả các mô-đun/snapins và tập lệnh phải được ký mã. RemoteSign chỉ yêu cầu đăng nhập cho các tập tin từ xa. Các tập tin từ xa là gì?

Câu trả lời chính tắc có trên blog PowerShell: http://bloss.msdn.com/b/powershell/archive/2007/03/07/how-does-the-remotesign-execut-policy-work.aspx

Nhưng điểm mấu chốt là: RemoteSign chỉ yêu cầu ký mã trên các mô-đun/snapins và tập lệnh được gắn cờ từ vùng "Internet" trong 'Vùng' Luồng dữ liệu thay thế của .Identifier, trừ khi bạn đã kích hoạt "Bảo mật nâng cao Internet Explorer", trong trường hợp đó, nó cũng bao gồm các tệp được gắn cờ "Intranet" và đường dẫn UNC.

16
Jaykul

Sự khác biệt là RemoteSign sẽ chạy các tập lệnh cục bộ không được ký, trong khi AllSign yêu cầu tất cả các tập lệnh phải được ký bất kể Nguồn gốc của chúng.

8
Steve