编程笔记 Logo 编程笔记
User Avatar

网站企业备案代理做网站江门

张小明 2026/1/13 10:05:29
网站企业备案代理,做网站江门,wordpress多商户商城插件,私域流量代运营公司第9天重点回顾✅ 执行策略#xff08;Execution Policy#xff09;#xff1a;AllSigned 要求所有脚本必须由受信任发布者签名 ✅ 代码签名#xff1a;使用 Set-AuthenticodeSignature 有效证书 ✅ SecretManagement 模块#xff1a;统一管理凭据/密钥#xff08;支持 A…第9天重点回顾✅执行策略Execution PolicyAllSigned要求所有脚本必须由受信任发布者签名✅代码签名使用Set-AuthenticodeSignature 有效证书✅SecretManagement 模块统一管理凭据/密钥支持 Azure Key Vault、Windows DPAPI 等✅Script Block Logging通过组策略或注册表启用记录所有 PowerShell 脚本内容到Windows 事件日志习题1创建自签名证书并签署脚本在AllSigned策略下运行步骤 1以管理员身份打开 PowerShell需写入本地计算机证书存储# 创建自签名证书仅用于测试有效期1年 $cert New-SelfSignedCertificate -Subject CNPowerShell Test Signing -KeyAlgorithm RSA -KeyLength 2048 -Type CodeSigningCert -CertStoreLocation Cert:\CurrentUser\My -NotAfter (Get-Date).AddYears(1) Write-Host ✅ 证书已创建Thumbprint: $($cert.Thumbprint) -ForegroundColor Green 说明使用CurrentUser\My避免需要管理员权限若用LocalMachine则需提权-Type CodeSigningCert是关键否则无法用于签名步骤 2创建一个测试脚本hello.ps1Write-Host Hello from signed script! -ForegroundColor Cyan | Out-File .\hello.ps1 -Encoding UTF8步骤 3用证书签署脚本Set-AuthenticodeSignature -FilePath .\hello.ps1 -Certificate $cert✅ 成功输出示例Directory: C:\test SignerCertificate Status Path ----------------- ------ ---- [Subject] Valid hello.ps1 CNPowerShell Test Signing ...步骤 4设置执行策略为AllSigned并运行# 设置当前用户策略为 AllSigned Set-ExecutionPolicy -ExecutionPolicy AllSigned -Scope CurrentUser -Force # 首次运行会弹出安全警告 → 选择“运行一次”或“始终运行” .\hello.ps1⚠️关键提示首次运行时PowerShell 会弹出“发布者不受信任”对话框点击“更多选项” → “始终运行”系统会将该证书添加到“受信任的发布者”存储Cert:\CurrentUser\TrustedPublisher之后即可无提示运行 验证证书是否被信任# 查看受信任的发布者 Get-ChildItem Cert:\CurrentUser\TrustedPublisher # 查看脚本签名状态 Get-AuthenticodeSignature .\hello.ps1✅ 若Status为Valid且StatusMessage为 签名有效则成功。✅ 习题2使用 SecretManagement 存储数据库连接字符串目标安全存储敏感字符串如Serverdb;Databaseprod;Usersa;PasswordSecret123!避免明文写入脚本。步骤 1安装必要模块首次使用Install-Module Microsoft.PowerShell.SecretManagement -Force -AllowClobber Install-Module Microsoft.PowerShell.SecretStore -Force # 本地存储后端SecretStore是微软官方提供的本地加密存储基于 DPAPI步骤 2注册 SecretStore 保险库VaultRegister-SecretVault -Name LocalSecretStore -ModuleName Microsoft.PowerShell.SecretStore首次注册会提示设置密码用于解锁本地保险库步骤 3将连接字符串存为SecureString并保存# 构造连接字符串实际中可能来自用户输入或配置 $plainText Serverdb.example.com;DatabaseSalesDB;Useradmin;PasswordPssw0rd! # 转为 SecureString $secureString ConvertTo-SecureString $plainText -AsPlainText -Force # 存入保险库SecretManagement 自动处理 SecureString Set-Secret -Name DB_ConnectionString -Secret $secureString -Vault LocalSecretStore✅ 输出无错误即成功步骤 4在脚本中安全读取# 从保险库获取返回 SecureString $secureConn Get-Secret -Name DB_ConnectionString -Vault LocalSecretStore # 转回明文仅在需要时如传给 SqlConnection $marshal [System.Runtime.InteropServices.Marshal] $ptr $marshal::SecureStringToBSTR($secureConn) $connectionString $marshal::PtrToStringBSTR($ptr) $marshal::FreeBSTR($ptr) Write-Host 连接字符串已加载长度: $($connectionString.Length) 字符 -ForegroundColor Green # 实际使用[System.Data.SqlClient.SqlConnection]::new($connectionString) 安全优势脚本中不出现明文密码SecureString在内存中加密保险库受操作系统保护DPAPI✅ 习题3启用 Script Block Logging 并验证日志目标记录所有执行的 PowerShell 脚本内容到 Windows 事件日志用于审计/取证步骤 1启用 Script Block Logging通过注册表# 创建注册表项需管理员权限 $regPath HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging if (-not (Test-Path $regPath)) { New-Item $regPath -Force | Out-Null } Set-ItemProperty -Path $regPath -Name EnableScriptBlockLogging -Value 1 Set-ItemProperty -Path $regPath -Name EnableScriptBlockInvocationLogging -Value 1 # 可选记录调用上下文 Write-Host ✅ Script Block Logging 已启用。请重启 PowerShell 生效。 -ForegroundColor Yellow计算机配置 → 管理模板 → Windows 组件 → PowerShell → ✔ 启用 PowerShell Script Block 日志记录步骤 2重启 PowerShell运行测试脚本# 任意脚本会被完整记录 Get-Process | Where-Object CPU -gt 100步骤 3在事件查看器中查找日志打开事件查看器eventvwr.msc导航至应用程序和服务日志 → Microsoft → Windows → PowerShell → Operational查找事件 ID 4104Script Block Logging 的标准 ID✅ 日志内容包含完整的脚本文本ScriptBlockText执行用户进程 ID是否被混淆Obfuscated或通过 PowerShell 查询Get-WinEvent -LogName Microsoft-Windows-PowerShell/Operational | Where-Object Id -eq 4104 | Select-Object TimeCreated, Message | Format-List 示例输出片段Message : Creating Scriptblock text (1 of 1): Get-Process | Where-Object CPU -gt 100 ... 第9天安全能力总结技术用途企业价值代码签名 AllSigned防止未授权脚本执行满足合规要求如 PCI DSS、ISO 27001SecretManagement安全存储密钥/密码消除脚本硬编码凭据风险Script Block Logging审计所有 PowerShell 活动满足 SOC2、GDPR 日志留存要求⚠️ 重要安全提醒自签名证书 ≠ 生产方案企业应使用 PKI如 AD CS颁发代码签名证书SecretStore 仅限本地开发生产环境应使用Azure Key Vault或HashiCorp VaultScript Block Logging 需配合 SIEM单独日志难分析建议接入 Splunk/ELK 延伸挑战将 SecretManagement 与 Azure Key Vault 集成编写 GPO 脚本批量部署AllSigned策略使用Get-WinEvent 正则自动检测可疑脚本如IEX
版权声明:本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!

汕头网站排名优化报价社区网站制作

Kotaemon音频转录检索增强一体化流程设计 在企业智能化浪潮中,一个看似简单却长期被忽视的问题正变得愈发关键:那些每天数以千计的会议录音、客服通话和内部讨论,究竟有多少真正转化为了可复用的知识?大多数时候,这些语…

张小明 2026/1/10 14:57:59 网站建设

软件定制开发公司发展前景南通优化网站

量子计算与政治治理:新兴技术的变革力量 1. 量子计算在半导体与行业生态中的潜力 量子计算中的叠加态自旋特性在量子计算和材料科学中是共通的。材料科学家已经拥有捕获离子的设备,半导体行业可以借鉴材料数据科学行业来制造更好的设备。量子计算机以粒子物理学为基础元素,…

张小明 2026/1/10 14:58:05 网站建设

典型网站开发的流程图安徽动漫公司 网站制作 安徽网新

如果把AI原生大模型比作一个拥有广泛基础知识的通识大学生,而AI知识库则扮演了将这位大学生培养成在特定领域内具备专业知识和技能的人才的角色。这意味着AI知识库所提供的不仅是基础的学习材料,更是针对特定场景或行业领域的深入知识、案例研究、实践技…

张小明 2026/1/10 14:58:06 网站建设

长春网站建设 找源晟查询企业营业执照怎么查

LanzouAPI:蓝奏云直链解析的终极解决方案 【免费下载链接】LanzouAPI 蓝奏云直链,蓝奏api,蓝奏解析,蓝奏云解析API,蓝奏云带密码解析 项目地址: https://gitcode.com/gh_mirrors/la/LanzouAPI 蓝奏云作为国内流…

张小明 2026/1/10 14:58:05 网站建设

新网站开发工作总结易语言用客户端和服务器做网站

WSL2 下 PyTorch-GPU 环境搭建:从踩坑到高效开发的实战指南 在深度学习项目中,环境配置往往比模型调参更让人头疼。尤其是对 Windows 用户而言,想用上 GPU 加速的 PyTorch 开发环境,过去几乎意味着必须双系统、虚拟机折腾一番&am…

张小明 2026/1/10 14:58:06 网站建设