Powershell Skripte korrekt signieren und via GPO anwenden?
Hi,
habe für unsere Domäne eine Zertifikatsvorlage erstellt, die das Signieren von Powershell Code zulässt. Funktioniert auch alles soweit. Wenn ich nun ein Zertifikat beantrage und zum signieren eines Powershell Skripts verende, erhalte ich nach dem Ausführen des Skripts den Hinweis, dass der Aussteller nicht vertrauenswürdig ist. Soweit so gut. Könnte ja nun meinen persönlichen Benutzer in der GPO als "Vertrauenswürdiger Herausgeber" hinterlegen. Das wiederum erscheint mir aber nicht so schlau, da mein Benutzer nach dem Ausscheiden nun nicht mehr gültig wäre und das Skript auch nicht mehr lauffähig wäre.
Was wäre denn best practice zum signieren von Powershell Skripts und gleichzeitiger Verteilung selbiger via GPO?
habe für unsere Domäne eine Zertifikatsvorlage erstellt, die das Signieren von Powershell Code zulässt. Funktioniert auch alles soweit. Wenn ich nun ein Zertifikat beantrage und zum signieren eines Powershell Skripts verende, erhalte ich nach dem Ausführen des Skripts den Hinweis, dass der Aussteller nicht vertrauenswürdig ist. Soweit so gut. Könnte ja nun meinen persönlichen Benutzer in der GPO als "Vertrauenswürdiger Herausgeber" hinterlegen. Das wiederum erscheint mir aber nicht so schlau, da mein Benutzer nach dem Ausscheiden nun nicht mehr gültig wäre und das Skript auch nicht mehr lauffähig wäre.
Was wäre denn best practice zum signieren von Powershell Skripts und gleichzeitiger Verteilung selbiger via GPO?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 13322867106
Url: https://administrator.de/forum/powershell-skripte-korrekt-signieren-und-via-gpo-anwenden-13322867106.html
Ausgedruckt am: 24.12.2024 um 16:12 Uhr
5 Kommentare
Neuester Kommentar
Zitat von @katja56:
Das wiederum erscheint mir aber nicht so schlau, da mein Benutzer nach dem Ausscheiden nun nicht mehr gültig wäre und das Skript auch nicht mehr lauffähig wäre.
Das ist Quatsch. Zertifikate sind so lange gültig bis sie ablaufen oder du sie manuell in der CA zurückziehst. Wenn man sie mit einer Timestamp-Signature versieht laufen Skripte auch nach Ablauf weiterhin. Das Ausscheiden eines Mitarbeiters oder das Löschen des Accounts hat nichts mit der Gültigkeit von Zertifikaten und Signaturen zu tun die sind weiterhin gültig bis sie ablaufen oder man sie zurückzieht, oder man das Vertrauen aus dem Stores entfernt.Das wiederum erscheint mir aber nicht so schlau, da mein Benutzer nach dem Ausscheiden nun nicht mehr gültig wäre und das Skript auch nicht mehr lauffähig wäre.
PowerShell Code Signing Best Practices for Signing Your Script
Gruß.
Moin,
Wir nutzen ein signiertzertifikat das sich die Kollegen, die scripte signieren wollen, in ihren Benutzerstore ablegen (export und Import mit privaten Schlüssel) . Das können die dann zum signieren verwenden.
So musst du nur ein Zertifikat während der Gültigkeit als vertrauenswürdiger Herausgeber bei den clients mitgeben.
Nur 3 Personen bei uns benötigen das Zertifikat. Keine Ahnung ob das für euch passt
Vg
Wir nutzen ein signiertzertifikat das sich die Kollegen, die scripte signieren wollen, in ihren Benutzerstore ablegen (export und Import mit privaten Schlüssel) . Das können die dann zum signieren verwenden.
So musst du nur ein Zertifikat während der Gültigkeit als vertrauenswürdiger Herausgeber bei den clients mitgeben.
Nur 3 Personen bei uns benötigen das Zertifikat. Keine Ahnung ob das für euch passt
Vg
So musst du nur ein Zertifikat während der Gültigkeit als vertrauenswürdiger Herausgeber bei den clients mitgeben.
Aber man muss dann auch alle Skripts neu signieren wenn der private Key des einen Zertifikats kompromittiert wurde.Zitat von @13676056485:
So musst du nur ein Zertifikat während der Gültigkeit als vertrauenswürdiger Herausgeber bei den clients mitgeben.
Aber man muss dann auch alle Skripts neu signieren wenn der private Key des einen Zertifikats kompromittiert wurde.Yoa die Zertifikate sind immer 1 Jahr gültig. Alle zwei Jahre räumen wir die alten Zertifikate auf.
Da wir sowieso nur wenige Scripts haben gab es noch nie Probleme
Der ein oder andere hat bestimmt bessere Ansätze 👍
VG