产品宣传册设计网站建设wamp网站建设

产品宣传册设计网站建设,wamp网站建设,外包工好还是派遣工好,德国设计网站大全第9天重点回顾✅ 执行策略#xff08;Execution Policy#xff09;#xff1a;AllSigned 要求所有脚本必须由受信任发布者签名 ✅ 代码签名#xff1a;使用 Set-AuthenticodeSignature 有效证书 ✅ SecretManagement 模块#xff1a;统一管理凭据/密钥#xff08;支持 A…第9天重点回顾✅执行策略Execution PolicyAllSigned要求所有脚本必须由受信任发布者签名✅代码签名使用Set-AuthenticodeSignature 有效证书✅SecretManagement 模块统一管理凭据/密钥支持 Azure Key Vault、Windows DPAPI 等✅Script Block Logging通过组策略或注册表启用记录所有 PowerShell 脚本内容到Windows 事件日志习题1创建自签名证书并签署脚本在AllSigned策略下运行步骤 1以管理员身份打开 PowerShell需写入本地计算机证书存储# 创建自签名证书仅用于测试有效期1年 $cert New-SelfSignedCertificate -Subject CNPowerShell Test Signing -KeyAlgorithm RSA -KeyLength 2048 -Type CodeSigningCert -CertStoreLocation Cert:\CurrentUser\My -NotAfter (Get-Date).AddYears(1) Write-Host ✅ 证书已创建Thumbprint: $($cert.Thumbprint) -ForegroundColor Green 说明使用CurrentUser\My避免需要管理员权限若用LocalMachine则需提权-Type CodeSigningCert是关键否则无法用于签名步骤 2创建一个测试脚本hello.ps1Write-Host Hello from signed script! -ForegroundColor Cyan | Out-File .\hello.ps1 -Encoding UTF8步骤 3用证书签署脚本Set-AuthenticodeSignature -FilePath .\hello.ps1 -Certificate $cert✅ 成功输出示例Directory: C:\test SignerCertificate Status Path ----------------- ------ ---- [Subject] Valid hello.ps1 CNPowerShell Test Signing ...步骤 4设置执行策略为AllSigned并运行# 设置当前用户策略为 AllSigned Set-ExecutionPolicy -ExecutionPolicy AllSigned -Scope CurrentUser -Force # 首次运行会弹出安全警告 → 选择“运行一次”或“始终运行” .\hello.ps1⚠️关键提示首次运行时PowerShell 会弹出“发布者不受信任”对话框点击“更多选项” → “始终运行”系统会将该证书添加到“受信任的发布者”存储Cert:\CurrentUser\TrustedPublisher之后即可无提示运行 验证证书是否被信任# 查看受信任的发布者 Get-ChildItem Cert:\CurrentUser\TrustedPublisher # 查看脚本签名状态 Get-AuthenticodeSignature .\hello.ps1✅ 若Status为Valid且StatusMessage为 签名有效则成功。✅ 习题2使用 SecretManagement 存储数据库连接字符串目标安全存储敏感字符串如Serverdb;Databaseprod;Usersa;PasswordSecret123!避免明文写入脚本。步骤 1安装必要模块首次使用Install-Module Microsoft.PowerShell.SecretManagement -Force -AllowClobber Install-Module Microsoft.PowerShell.SecretStore -Force # 本地存储后端SecretStore是微软官方提供的本地加密存储基于 DPAPI步骤 2注册 SecretStore 保险库VaultRegister-SecretVault -Name LocalSecretStore -ModuleName Microsoft.PowerShell.SecretStore首次注册会提示设置密码用于解锁本地保险库步骤 3将连接字符串存为SecureString并保存# 构造连接字符串实际中可能来自用户输入或配置 $plainText Serverdb.example.com;DatabaseSalesDB;Useradmin;PasswordPssw0rd! # 转为 SecureString $secureString ConvertTo-SecureString $plainText -AsPlainText -Force # 存入保险库SecretManagement 自动处理 SecureString Set-Secret -Name DB_ConnectionString -Secret $secureString -Vault LocalSecretStore✅ 输出无错误即成功步骤 4在脚本中安全读取# 从保险库获取返回 SecureString $secureConn Get-Secret -Name DB_ConnectionString -Vault LocalSecretStore # 转回明文仅在需要时如传给 SqlConnection $marshal [System.Runtime.InteropServices.Marshal] $ptr $marshal::SecureStringToBSTR($secureConn) $connectionString $marshal::PtrToStringBSTR($ptr) $marshal::FreeBSTR($ptr) Write-Host 连接字符串已加载长度: $($connectionString.Length) 字符 -ForegroundColor Green # 实际使用[System.Data.SqlClient.SqlConnection]::new($connectionString) 安全优势脚本中不出现明文密码SecureString在内存中加密保险库受操作系统保护DPAPI✅ 习题3启用 Script Block Logging 并验证日志目标记录所有执行的 PowerShell 脚本内容到 Windows 事件日志用于审计/取证步骤 1启用 Script Block Logging通过注册表# 创建注册表项需管理员权限 $regPath HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging if (-not (Test-Path $regPath)) { New-Item $regPath -Force | Out-Null } Set-ItemProperty -Path $regPath -Name EnableScriptBlockLogging -Value 1 Set-ItemProperty -Path $regPath -Name EnableScriptBlockInvocationLogging -Value 1 # 可选记录调用上下文 Write-Host ✅ Script Block Logging 已启用。请重启 PowerShell 生效。 -ForegroundColor Yellow计算机配置 → 管理模板 → Windows 组件 → PowerShell → ✔ 启用 PowerShell Script Block 日志记录步骤 2重启 PowerShell运行测试脚本# 任意脚本会被完整记录 Get-Process | Where-Object CPU -gt 100步骤 3在事件查看器中查找日志打开事件查看器eventvwr.msc导航至应用程序和服务日志 → Microsoft → Windows → PowerShell → Operational查找事件 ID 4104Script Block Logging 的标准 ID✅ 日志内容包含完整的脚本文本ScriptBlockText执行用户进程 ID是否被混淆Obfuscated或通过 PowerShell 查询Get-WinEvent -LogName Microsoft-Windows-PowerShell/Operational | Where-Object Id -eq 4104 | Select-Object TimeCreated, Message | Format-List 示例输出片段Message : Creating Scriptblock text (1 of 1): Get-Process | Where-Object CPU -gt 100 ... 第9天安全能力总结技术用途企业价值代码签名 AllSigned防止未授权脚本执行满足合规要求如 PCI DSS、ISO 27001SecretManagement安全存储密钥/密码消除脚本硬编码凭据风险Script Block Logging审计所有 PowerShell 活动满足 SOC2、GDPR 日志留存要求⚠️ 重要安全提醒自签名证书 ≠ 生产方案企业应使用 PKI如 AD CS颁发代码签名证书SecretStore 仅限本地开发生产环境应使用Azure Key Vault或HashiCorp VaultScript Block Logging 需配合 SIEM单独日志难分析建议接入 Splunk/ELK 延伸挑战将 SecretManagement 与 Azure Key Vault 集成编写 GPO 脚本批量部署AllSigned策略使用Get-WinEvent 正则自动检测可疑脚本如IEX