SEブログ

【PowerShell】実行ポリシーを変更する

こんにちは!SE ブログの相馬です。

 

 

 

検証環境を作っているうちに、PowerShell の実行ポリシーを変更する内容がいくつか出てきましたので、PowerShell の実行ポリシーの変更方法を記事毎に書くよりも、纏めて記事にリンクさせるほうが良いかなと思い書きました。

 

 

 

PowerShell の実行ポリシーとは何か

 

 

PowerShell でスクリプトを実行する上で、どの程度まで実行する事を許可するかを設定する事ができるポリシーになります。

 

 

つまり、コマンドレットのみ実行を許可させるのか、デジタル署名が付いている場合のみ許可するのか、或いは全てのスクリプトを警告なしに実行させるのかといった事になります。

 

 

また、一見セキュリティの機能に見えますが、PowerShell の実行ポリシーはセキュリティの機能では無いようです。ついでにですが、PowerShell のセキュリティについては Microsoft のサイトにあります。

 

 

Windows PowerShell Script Security | Microsoft TechNet

 

 

 

PowerShell を使い始める前にする事

 

 

PowerShell を使い始める際にまずする事は、実行ポリシーを選択する事かと思います。

 

 

実行ポリシーが厳しすぎるとスクリプトが実行できませんし、逆に甘すぎると、セキュリティ的に問題が発生する可能性が出てきます。

 

 

ですので、この実行ポリシーを適切なレベルに設定する必要があります。

 

 

マイクロソフトのサイトにも書いてありますが(以下引用です)、実行ポリシーを甘すぎる設定にする事は余り良くはないと思います。

 

 

実行ポリシーはユーザーの操作を制限するセキュリティ システムではありません。たとえば、ユーザーはスクリプトを実行できないとき、コマンド ラインでスクリプトの内容を入力すると、容易にポリシーを回避できます。一方で、実行ポリシーを使用して基本的な規則を設定することで、意図せずに違反することを防止することができます。

 

引用元:about_Execution_Policies | Microsoft Developers Network

 

 

とはいえ、デフォルトは Restricted ではスクリプトを実行する事ができません。

 

 

という事で早速みてゆきましょう。

 

 

 

PowerShell の実行ポリシーを確認する

 

 

現在の実行ポリシーの種類を確認します。

 

PS C:\WINDOWS\system32> Get-ExecutionPolicy

実行ポリシーの種類

 

実行ポリシー 説明 安全性

(個人的見解)

Restricted 個別のコマンドは許可しますが、スクリプトは実行できません。

(Windows Server 2012 R2 を除く全てのバージョンでのデフォルトになります。)

但しスクリプトは動作しません。

AllSigned スクリプトは実行できますが、デジタル署名が付いてなければなりません。

(そのスクリプトをローカル PC で書いても同じです。)

未署名のスクリプトを実行すると、実行を許可するか拒否するか確認ダイアログが表示されます。

(ユーザーが許可を選べば実行します。)

RemoteSigned スクリプトは実行できますが、以下の条件下になります。

インターネットからダウンロードしたスクリプト或いはコンフィグファイル、メールの添付ファイルに含まれているものも含めてデジタル署名が付いていなければなりません。(或いは、ユーザーがUnblock-File コマンド、またはファイルのプロパティからファイルのブロックを解除していなければなりません。)

ローカルコンピューターで書かれたスクリプトは実行できます。

(Windows Server 2012 R2 のデフォルトになります。)

Unrestricted 未署名のスクリプトでも実行できます。

インターネットからダウンロードしたファイルがブロック解除されていなければ、実行時に警告が表示されます。

(ユーザーが実行を許可すれば実行できます。)

Bypass 警告やユーザーへの確認なしに、全てのスクリプトが実行ができます。

 

 

 

PowerShell の実行ポリシーを変更する

 

 

では、実行ポリシーを変更してみます。ここでは、RemoteSigned に変更する事とします。

 

PS C:\WINDOWS\system32> Set-ExecutionPolicy -ExecutionPolicy RemoteSigned

 

 

 

まとめ

 

 

 

以上になります。いかがでしょうか。

 

 

実際は「とりあえず Bypass にしてしまおうという」という考え方よりも、「まずは RemoteSigned に設定し、スクリプトが動く状態にする」といった感じでしょうか。

 

 

とはいえ、余り無いかもしれませんが企業のセキュリティポリシーにも抵触する部分でもあるかもしれませんので、気を付けたほうが良いかもしませんね。

 

 

また、別の記事にはなりますが、スクリプトに署名を入れる事もできます。スクリプトに署名を付けて、特定のスクリプトのみ動作させる事もできますので、ご興味がある方は見ていただけますと嬉しいです。

 

【PowerShell】スクリプトに署名する方法について

 

 

 

では最後までお読みいただきありがとうございました!