我想向我的组织的IT部门build议,我们在生产计算机上启用PowerShell远程处理,使其更容易pipe理。 我觉得不受限制的访问将比处理签名容易得多:
>Set-ExecutionPolicy Unrestricted 这对于生产机器来说是一个很大的禁忌吗? 这是否会打开一个重大的安全漏洞,还是会被安全地限制在那些已经拥有pipe理权限的机器上?
就个人而言,我会用RemoteSigned而不是Unrestricted 。 你可以阅读这里的差异。
这是重要的片段:
– RemoteSigned:要求从互联网下载的所有脚本和configuration文件都由受信任的发布者签名。
– 不受限制:加载所有configuration文件并运行所有脚本。 如果运行从Internet下载的未签名脚本,则会在运行之前提示您提供权限。
RemoteSigned仍然允许您在没有签名的情况下运行内部脚本,但通过Internet分发的项目必须进行签名。
所有这一切,你真的需要在服务器上运行实际的脚本吗? 如果您正在运行修改服务器的工作站上的pipe理任务,则不需要设置其中的任何一个。 这些设置仅影响相关机器上本地运行的脚本。