描述 PowerShell 執行原則,並說明如何管理它們。
PowerShell 的執行原則是一項安全功能,可控制 PowerShell 載入組態檔和執行腳本的條件。 此功能有助於防止執行惡意指令碼。
在 Windows 電腦上,您可以為本機電腦、目前使用者或特定會話設定執行原則。 您也可以使用群組原則設定來設定電腦和使用者的執行原則。
本機電腦和目前使用者的執行原則會儲存在登錄中。 您不需要在 PowerShell 設定檔中設定執行原則。
特定會話的執行原則只會儲存在記憶體中,並在會話關閉時遺失。
執行原則不是限制使用者動作的安全性系統。 例如,當使用者無法執行腳本時,可以在命令列輸入腳本內容,輕鬆地略過原則。 相反地,執行原則可協助使用者設定基本規則,並防止他們不小心違反這些規則。
在非 Windows 電腦上,預設執行原則是
Unrestricted
且無法變更。 Cmdlet
Set-ExecutionPolicy
可供使用,但 PowerShell 會顯示不支援的主控台訊息。 雖然
Get-ExecutionPolicy
在非 Windows 平臺上傳
Unrestricted
回,但行為實際上會相符
Bypass
,因為這些平臺不會實作Windows 安全性區域。
PowerShell 執行原則
這些原則的強制執行只會發生在 Windows 平臺上。 PowerShell 執行原則如下所示:
AllSigned
腳本可以執行。
要求所有指令碼與設定檔需由信任的發行者簽署,包括您在本機電腦上編寫的指令碼。
在您尚未分類為受信任或未受信任的發行者執行腳本之前,提示您。
執行已簽署但惡意腳本的風險。
Bypass
不會封鎖任何項目,且不會顯示警告或提示。
此執行原則是針對 PowerShell 腳本內建至較大的應用程式或 PowerShell 是具有其安全性模型之程式基礎的組態所設計。
Default
設定預設執行原則。
Restricted
適用于 Windows 用戶端。
適用于 Windows 伺服器的
RemoteSigned
。
RemoteSigned
Windows Server 電腦的預設執行原則。
腳本可以執行。
需要來自受信任發行者的數位簽章,這些腳本和組態檔是從網際網路下載,其中包含電子郵件和立即傳訊程式。
不需要在本機電腦上撰寫且未從網際網路下載的腳本上使用數位簽章。
如果腳本已解除封鎖,則執行從網際網路下載且未簽署的腳本,例如使用
Unblock-File
Cmdlet。
從網際網路以外的來源執行未簽署腳本的風險,以及可能為惡意的已簽署腳本。
Restricted
Windows 用戶端電腦的預設執行原則。
允許個別命令,但不允許腳本。
防止執行所有腳本檔案,包括格式化和組態檔 ()
.ps1xml
、模組腳本檔案 (
.psm1
) ,以及 PowerShell
.ps1
設定檔 () 。
Undefined
目前範圍內沒有設定執行原則。
如果所有範圍中的執行原則為
Undefined
,則有效的執行原則適用于
Restricted
Windows 用戶端,而
RemoteSigned
for Windows Server 則為 。
Unrestricted
非 Windows 電腦的預設執行原則,無法變更。
未簽署的腳本可以執行。 執行惡意腳本的風險。
在執行不是來自本機內部網路區域的腳本和組態檔之前,警告使用者。
在無法區別通用命名慣例 (UNC) 路徑與網際網路路徑的系統上,可能無法使用
RemoteSigned
執行原則來執行 UNC 路徑所識別的腳本。
執行原則範圍
您可以設定只在特定範圍內有效的執行原則。
的有效值為
Scope
MachinePolicy
、
UserPolicy
、
Process
、CurrentUser
和
LocalMachine
。
LocalMachine
是設定執行原則時的預設值。
這些
Scope
值會依優先順序列出。 優先順序較高的原則在目前會話中有效,即使設定優先順序較低的原則也一樣。
如需詳細資訊,請參閱
Set-ExecutionPolicy
。
MachinePolicy
為電腦的所有使用者設定群組原則。
UserPolicy
由電腦目前使用者的群組原則設定。
Process
範圍
Process
只會影響目前的 PowerShell 會話。 執行原則會儲存在環境變數
$env:PSExecutionPolicyPreference
中,而不是登錄。 關閉 PowerShell 會話時,會刪除變數和值。
CurrentUser
執行原則只會影響目前的使用者。 它會儲存在
HKEY_CURRENT_USER登錄
子機碼中。
LocalMachine
執行原則會影響目前電腦上的所有使用者。 它會儲存在
HKEY_LOCAL_MACHINE登錄
子機碼中。
使用 PowerShell 管理執行原則
若要取得目前 PowerShell 會話的有效執行原則,請使用
Get-ExecutionPolicy
Cmdlet。
下列命令會取得有效的執行原則:
Get-ExecutionPolicy
若要取得影響目前會話的所有執行原則,並依優先順序顯示:
Get-ExecutionPolicy -List
結果看起來類似下列範例輸出:
Scope ExecutionPolicy
----- ---------------
MachinePolicy Undefined
UserPolicy Undefined
Process Undefined
CurrentUser RemoteSigned
LocalMachine AllSigned
在此情況下,有效的執行原則是 RemoteSigned ,因為目前使用者的執行原則優先于本機電腦所設定的執行原則。
若要針對特定範圍取得執行原則集,請使用 Scope 的 Get-ExecutionPolicy 參數。
例如,下列命令會取得 CurrentUser 範圍的執行原則:
Get-ExecutionPolicy -Scope CurrentUser
變更執行原則
若要變更 Windows 電腦上的 PowerShell 執行原則,請使用 Set-ExecutionPolicy Cmdlet。 變更會立即生效。 您不需要重新開機 PowerShell。
如果您設定 LocalMachine 或 CurrentUser範圍的執行原則,變更會儲存在登錄中,並維持有效狀態,直到您再次變更為止。
如果您設定範圍的執行原則 Process ,則不會儲存在登錄中。 執行原則會保留,直到目前的進程和任何子進程關閉為止。
在 Windows Vista 和更新版本的 Windows 中,若要執行命令來變更本機電腦的執行原則 LocalMachine 範圍,請使用 [ 以系統管理員身分 執行] 選項啟動 PowerShell。
若要變更執行原則:
Set-ExecutionPolicy -ExecutionPolicy <PolicyName>
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
若要在特定範圍內設定執行原則:
Set-ExecutionPolicy -ExecutionPolicy <PolicyName> -Scope <scope>
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser
變更執行原則的命令可以成功,但仍無法變更有效的執行原則。
例如,設定本機電腦的執行原則的命令可以成功,但由目前使用者的執行原則覆寫。
移除執行原則
若要移除特定範圍的執行原則,請將執行原則設定為 Undefined 。
例如,若要移除本機電腦所有使用者的執行原則:
Set-ExecutionPolicy -ExecutionPolicy Undefined -Scope LocalMachine
若要移除 的執行 Scope 原則:
Set-ExecutionPolicy -ExecutionPolicy Undefined -Scope CurrentUser
如果未在任何範圍內設定任何執行原則,則有效的執行原則為 Restricted ,這是 Windows 用戶端的預設值。
為一個會話設定不同的原則
您可以使用 的 pwsh.exeExecutionPolicy參數來設定新 PowerShell 會話的執行原則。 此原則只會影響目前的會話和子會話。
若要設定新會話的執行原則,請在命令列啟動 PowerShell,例如 cmd.exe 或從 PowerShell 啟動 PowerShell,然後使用 的 pwsh.exeExecutionPolicy參數來設定執行原則。
pwsh.exe -ExecutionPolicy AllSigned
您設定的執行原則不會儲存在登錄中。 而是儲存在環境變數中 $env:PSExecutionPolicyPreference 。 當您關閉設定原則的會話時,就會刪除變數。 您無法編輯變數值來變更原則。
在會話期間,為會話設定的執行原則優先于本機電腦或目前使用者登錄中設定的執行原則。 不過,它不會優先于使用群組原則所設定的執行原則。
使用群組原則管理執行原則
您可以使用[開啟腳本執行] 群組原則設定來管理企業中電腦的執行原則。 群組原則設定會覆寫所有範圍內 PowerShell 中設定的執行原則。
開啟腳本執行原則設定如下所示:
如果您停用 [開啟腳本執行],腳本就不會執行。 這相當於 Restricted 執行原則。
如果啟用 [開啟腳本執行],您可以選取執行原則。 群組原則設定相當於下列執行原則設定:
PowerShellExecutionPolicy.adm 和 PowerShellExecutionPolicy.admx 檔案會將[開啟腳本執行] 原則新增至下列路徑中群組原則編輯器中的 [電腦設定] 和 [使用者設定] 節點。
針對 Windows XP 和 Windows Server 2003:
Administrative Templates\Windows Components\Windows PowerShell
針對 Windows Vista 和更新版本的 Windows:
Administrative Templates\Classic Administrative Templates\Windows Components\Windows PowerShell
[電腦設定] 節點中設定的原則優先于 [使用者設定] 節點中設定的原則。
如需詳細資訊,請參閱about_Group_Policy_Settings。
執行原則優先順序
判斷會話的有效執行原則時,PowerShell 會以下列優先順序評估執行原則:
Group Policy: MachinePolicy
Group Policy: UserPolicy
Execution Policy: Process (or pwsh.exe -ExecutionPolicy)
Execution Policy: CurrentUser
Execution Policy: LocalMachine
管理已簽署和未簽署的腳本
在 Windows 中,Internet Explorer 和 Microsoft Edge 等程式會將替代資料流程新增至所下載的檔案。 這會將檔案標示為「來自網際網路」。 如果您的 PowerShell 執行原則是 RemoteSigned,PowerShell 將不會執行從網際網路下載的未簽署腳本,其中包含電子郵件和立即訊息程式。
您可以簽署腳本,或選擇執行未簽署的腳本,而不需變更執行原則。
從 PowerShell 3.0 開始,您可以使用 Cmdlet 的 Get-ItemStream參數來偵測因為從網際網路下載而遭到封鎖的檔案。 Unblock-File使用 Cmdlet 將腳本解除封鎖,以便您可以在 PowerShell 中執行這些腳本。
如需詳細資訊,請參閱 about_Signing、 Get-Item和 Unblock-File。
下載檔案的其他方法可能不會將檔案標示為來自網際網路區域。 部分範例包括:
curl.exe
Invoke-RestMethod
Invoke-WebRequest
Windows Server Core 和 Window Nano Server 上的執行原則
在特定情況下,在 Windows Server Core 或 Windows Nano Server 上執行 PowerShell 6 時,執行原則可能會失敗,並出現下列錯誤:
AuthorizationManager check failed.
At line:1 char:1
+ C:\scriptpath\scriptname.ps1
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : SecurityError: (:) [], PSSecurityException
+ FullyQualifiedErrorId : UnauthorizedAccess
PowerShell 會使用 Windows 桌面殼層中的 API (explorer.exe) 來驗證腳本檔案的區域。 Windows Server Core 和 Windows Nano Server 上無法使用 Windows Shell。
如果 Windows 桌面殼層無法使用或沒有回應,您也可以在任何 Windows 系統上收到此錯誤。 例如,在登入期間,PowerShell 登入腳本可能會在 Windows Desktop 就緒之前開始執行,因而導致失敗。
使用 ByPass 或 AllSigned 的執行原則不需要區域檢查,以避免發生問題。
about_Environment_Variables
about_Group_Policy_Settings
about_Pwsh
about_Signing
Get-executionpolicy
Set-ExecutionPolicy
Get-Item
Unblock-File
