我想向我所在组织的 IT 部门提议,在生产机器上启用 PowerShell 远程处理,以便更轻松地管理它们。我觉得不受限制的访问比处理签名要容易得多:
>Set-ExecutionPolicy Unrestricted
这对于生产机器来说是一个大忌吗?这是否会造成重大安全漏洞,还是可以安全地将其限制在那些在机器上仅具有管理权限的用户身上?
答案1
就我个人而言,我会选择RemoteSigned而不是Unrestricted。你可以阅读关于差异的内容这里。
这是重要的片段:
-- RemoteSigned:要求从互联网下载的所有脚本和配置文件都必须由受信任的发布者签名。
-- 不受限制:加载所有配置文件并运行所有脚本。如果您运行从互联网上下载的未签名脚本,系统会在运行前提示您授予权限。
RemoteSigned 仍然允许您无需签名即可运行内部脚本,但通过互联网分发的项目必须经过签名。
话虽如此,您真的需要在服务器上运行实际脚本吗?如果您从工作站运行修改服务器的管理任务,则无需设置任何内容。这些设置只会影响在相关机器上本地运行的脚本。