katja56
Goto Top

Powershell Skripte korrekt signieren und via GPO anwenden?

Hi,

habe für unsere Domäne eine Zertifikatsvorlage erstellt, die das Signieren von Powershell Code zulässt. Funktioniert auch alles soweit. Wenn ich nun ein Zertifikat beantrage und zum signieren eines Powershell Skripts verende, erhalte ich nach dem Ausführen des Skripts den Hinweis, dass der Aussteller nicht vertrauenswürdig ist. Soweit so gut. Könnte ja nun meinen persönlichen Benutzer in der GPO als "Vertrauenswürdiger Herausgeber" hinterlegen. Das wiederum erscheint mir aber nicht so schlau, da mein Benutzer nach dem Ausscheiden nun nicht mehr gültig wäre und das Skript auch nicht mehr lauffähig wäre.

Was wäre denn best practice zum signieren von Powershell Skripts und gleichzeitiger Verteilung selbiger via GPO?

Content-ID: 13322867106

Url: https://administrator.de/forum/powershell-skripte-korrekt-signieren-und-via-gpo-anwenden-13322867106.html

Ausgedruckt am: 24.12.2024 um 16:12 Uhr

13676056485
Lösung 13676056485 01.07.2024 aktualisiert um 11:56:45 Uhr
Goto Top
Zitat von @katja56:
Das wiederum erscheint mir aber nicht so schlau, da mein Benutzer nach dem Ausscheiden nun nicht mehr gültig wäre und das Skript auch nicht mehr lauffähig wäre.
Das ist Quatsch. Zertifikate sind so lange gültig bis sie ablaufen oder du sie manuell in der CA zurückziehst. Wenn man sie mit einer Timestamp-Signature versieht laufen Skripte auch nach Ablauf weiterhin. Das Ausscheiden eines Mitarbeiters oder das Löschen des Accounts hat nichts mit der Gültigkeit von Zertifikaten und Signaturen zu tun die sind weiterhin gültig bis sie ablaufen oder man sie zurückzieht, oder man das Vertrauen aus dem Stores entfernt.

PowerShell Code Signing Best Practices for Signing Your Script

Gruß.
Celiko
Celiko 01.07.2024 aktualisiert um 11:58:59 Uhr
Goto Top
Moin,
Wir nutzen ein signiertzertifikat das sich die Kollegen, die scripte signieren wollen, in ihren Benutzerstore ablegen (export und Import mit privaten Schlüssel) . Das können die dann zum signieren verwenden.
So musst du nur ein Zertifikat während der Gültigkeit als vertrauenswürdiger Herausgeber bei den clients mitgeben.

Nur 3 Personen bei uns benötigen das Zertifikat. Keine Ahnung ob das für euch passt

Vg
13676056485
13676056485 01.07.2024 aktualisiert um 12:03:30 Uhr
Goto Top
So musst du nur ein Zertifikat während der Gültigkeit als vertrauenswürdiger Herausgeber bei den clients mitgeben.
Aber man muss dann auch alle Skripts neu signieren wenn der private Key des einen Zertifikats kompromittiert wurde.
katja56
katja56 01.07.2024 um 12:03:11 Uhr
Goto Top
Zitat von @13676056485:

Zitat von @katja56:
Das wiederum erscheint mir aber nicht so schlau, da mein Benutzer nach dem Ausscheiden nun nicht mehr gültig wäre und das Skript auch nicht mehr lauffähig wäre.
Das ist Quatsch. Zertifikate sind so lange gültig bis sie ablaufen oder du sie manuell in der CA zurückziehst. Wenn man sie mit einer Timestamp-Signature versieht laufen Skripte auch nach Ablauf weiterhin. Das Ausscheiden eines Mitarbeiters oder das Löschen des Accounts hat nichts mit der Gültigkeit von Zertifikaten und Signaturen zu tun die sind weiterhin gültig bis sie ablaufen oder man sie zurückzieht, oder man das Vertrauen aus dem Stores entfernt.

PowerShell Code Signing Best Practices for Signing Your Script

Gruß.

Ok, danke. Wieder eine Wissenslücke aufgefüllt.

Ein Zertifikat für alle kommt dann tatsächlich nicht in Frage, wegen des Problems der Kompromittierung und auch deswegen, weil man die Signatur nicht einer Person unmittelbar zuordnen kann.
Celiko
Celiko 01.07.2024 um 15:40:22 Uhr
Goto Top
Zitat von @13676056485:

So musst du nur ein Zertifikat während der Gültigkeit als vertrauenswürdiger Herausgeber bei den clients mitgeben.
Aber man muss dann auch alle Skripts neu signieren wenn der private Key des einen Zertifikats kompromittiert wurde.

Yoa die Zertifikate sind immer 1 Jahr gültig. Alle zwei Jahre räumen wir die alten Zertifikate auf.
Da wir sowieso nur wenige Scripts haben gab es noch nie Probleme
Der ein oder andere hat bestimmt bessere Ansätze 👍

VG