5
Powershell Skripte korrekt signieren und via GPO anwenden?
Hi,
habe für unsere Domäne eine Zertifikatsvorlage erstellt, die das Signieren von Powershell Code zulässt. Funktioniert auch alles soweit. Wenn ich nun ein Zertifikat beantrage und zum signieren eines Powershell Skripts verende, erhalte ich nach dem Ausführen des Skripts den Hinweis, dass der Aussteller nicht vertrauenswürdig ist. Soweit so gut. Könnte ja nun meinen persönlichen Benutzer in der GPO als "Vertrauenswürdiger Herausgeber" hinterlegen. Das wiederum erscheint mir aber nicht so schlau, da mein Benutzer nach dem Ausscheiden nun nicht mehr gültig wäre und das Skript auch nicht mehr lauffähig wäre.
Was wäre denn best practice zum signieren von Powershell Skripts und gleichzeitiger Verteilung selbiger via GPO?
habe für unsere Domäne eine Zertifikatsvorlage erstellt, die das Signieren von Powershell Code zulässt. Funktioniert auch alles soweit. Wenn ich nun ein Zertifikat beantrage und zum signieren eines Powershell Skripts verende, erhalte ich nach dem Ausführen des Skripts den Hinweis, dass der Aussteller nicht vertrauenswürdig ist. Soweit so gut. Könnte ja nun meinen persönlichen Benutzer in der GPO als "Vertrauenswürdiger Herausgeber" hinterlegen. Das wiederum erscheint mir aber nicht so schlau, da mein Benutzer nach dem Ausscheiden nun nicht mehr gültig wäre und das Skript auch nicht mehr lauffähig wäre.
Was wäre denn best practice zum signieren von Powershell Skripts und gleichzeitiger Verteilung selbiger via GPO?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 13322867106
Url: https://administrator.de/contentid/13322867106
Printed on: July 3, 2024 at 11:07 o'clock
5 Comments
Latest comment
Zitat von @katja56:
Das wiederum erscheint mir aber nicht so schlau, da mein Benutzer nach dem Ausscheiden nun nicht mehr gültig wäre und das Skript auch nicht mehr lauffähig wäre.
Das ist Quatsch. Zertifikate sind so lange gültig bis sie ablaufen oder du sie manuell in der CA zurückziehst. Wenn man sie mit einer Timestamp-Signature versieht laufen Skripte auch nach Ablauf weiterhin. Das Ausscheiden eines Mitarbeiters oder das Löschen des Accounts hat nichts mit der Gültigkeit von Zertifikaten und Signaturen zu tun die sind weiterhin gültig bis sie ablaufen oder man sie zurückzieht, oder man das Vertrauen aus dem Stores entfernt.Das wiederum erscheint mir aber nicht so schlau, da mein Benutzer nach dem Ausscheiden nun nicht mehr gültig wäre und das Skript auch nicht mehr lauffähig wäre.
PowerShell Code Signing Best Practices for Signing Your Script
Gruß.
1
Moin,
Wir nutzen ein signiertzertifikat das sich die Kollegen, die scripte signieren wollen, in ihren Benutzerstore ablegen (export und Import mit privaten Schlüssel) . Das können die dann zum signieren verwenden.
So musst du nur ein Zertifikat während der Gültigkeit als vertrauenswürdiger Herausgeber bei den clients mitgeben.
Nur 3 Personen bei uns benötigen das Zertifikat. Keine Ahnung ob das für euch passt
Vg
Wir nutzen ein signiertzertifikat das sich die Kollegen, die scripte signieren wollen, in ihren Benutzerstore ablegen (export und Import mit privaten Schlüssel) . Das können die dann zum signieren verwenden.
So musst du nur ein Zertifikat während der Gültigkeit als vertrauenswürdiger Herausgeber bei den clients mitgeben.
Nur 3 Personen bei uns benötigen das Zertifikat. Keine Ahnung ob das für euch passt
Vg
So musst du nur ein Zertifikat während der Gültigkeit als vertrauenswürdiger Herausgeber bei den clients mitgeben.
Aber man muss dann auch alle Skripts neu signieren wenn der private Key des einen Zertifikats kompromittiert wurde.1
Zitat von @WolleRoseKaufe:
PowerShell Code Signing Best Practices for Signing Your Script
Gruß.
Zitat von @katja56:
Das wiederum erscheint mir aber nicht so schlau, da mein Benutzer nach dem Ausscheiden nun nicht mehr gültig wäre und das Skript auch nicht mehr lauffähig wäre.
Das ist Quatsch. Zertifikate sind so lange gültig bis sie ablaufen oder du sie manuell in der CA zurückziehst. Wenn man sie mit einer Timestamp-Signature versieht laufen Skripte auch nach Ablauf weiterhin. Das Ausscheiden eines Mitarbeiters oder das Löschen des Accounts hat nichts mit der Gültigkeit von Zertifikaten und Signaturen zu tun die sind weiterhin gültig bis sie ablaufen oder man sie zurückzieht, oder man das Vertrauen aus dem Stores entfernt.Das wiederum erscheint mir aber nicht so schlau, da mein Benutzer nach dem Ausscheiden nun nicht mehr gültig wäre und das Skript auch nicht mehr lauffähig wäre.
PowerShell Code Signing Best Practices for Signing Your Script
Gruß.
Ok, danke. Wieder eine Wissenslücke aufgefüllt.
Ein Zertifikat für alle kommt dann tatsächlich nicht in Frage, wegen des Problems der Kompromittierung und auch deswegen, weil man die Signatur nicht einer Person unmittelbar zuordnen kann.
Zitat von @WolleRoseKaufe:
So musst du nur ein Zertifikat während der Gültigkeit als vertrauenswürdiger Herausgeber bei den clients mitgeben.
Aber man muss dann auch alle Skripts neu signieren wenn der private Key des einen Zertifikats kompromittiert wurde.Yoa die Zertifikate sind immer 1 Jahr gültig. Alle zwei Jahre räumen wir die alten Zertifikate auf.
Da wir sowieso nur wenige Scripts haben gab es noch nie Probleme
Der ein oder andere hat bestimmt bessere Ansätze 👍
VG