emeriks
21.02.2018
view3182
view6
0
Goto Top

Windows CA - Codesignatur - PowerShell

gelöstFrageMicrosoftWindows Server
Hi,
wir haben eine interne Windows CA in der Domäne. U.a. stellen wir für die Kollegen auch Zertifikate für die Code-Signierung aus. Damit können/müssen die Kollegen dann u.a. die von ihnen erstellen PS-Scripte signieren.

Die Verteilung des Root-Zertifikat erfolgt über die Domäne. Das funktioniert auch.
Nun hab ich angenommen, dass die signierten Scripte jetzt automatisch als vertraunswürdig gelten würden. Tun sie aber nicht.

Man muss erst explizit die Zertifikate der Autoren (öffentlicher Schlüssel) als "vertrauenswürdiger Herausgeber" auf die Computer verteilen (per GPO), damit das funktioniert.

Ist dem tatsächlich so oder machen wir etwas falsch, haben wir was vergessen?

E.
ShareTeilen
Auf Facebook teilen Auf X (Twitter) teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 365525

Url: https://administrator.de/forum/windows-ca-codesignatur-powershell-365525.html

Ausgedruckt am: 22.04.2025 um 03:04 Uhr

6 Kommentare
Neuester Kommentar
Goto Top
135333
Lösung 135333 21.02.2018 aktualisiert um 10:37:11 Uhr
Goto Top
Ist dem tatsächlich so ?
So ist es
https://social.technet.microsoft.com/Forums/sharepoint/en-US/e504cb9e-3f ...

Gruß
emeriks
emeriks 21.02.2018 um 10:44:18 Uhr
Goto Top
OK, danke.

Betrifft das jetzt nur PS? Ich bilde mir ein, dass das mit signierten VBA-Projekten schon mal funktioniert hat, ohne dass wir das Zertifikat dafür explizit als "vertrauenswürdiger Herausgeber" verteilen mussten ...
135333
135333 21.02.2018 aktualisiert um 10:50:41 Uhr
Goto Top
Zitat von @emeriks:
Betrifft das jetzt nur PS?
Nein nicht nur. Je nachdem wie die Prüfung in der jeweiligen Komponente von statten geht.

Hier noch etwas offizelles dazu von MS
https://blogs.technet.microsoft.com/heyscriptingguy/2010/06/17/hey-scrip ...
rzlbrnft
Lösung rzlbrnft 21.02.2018 aktualisiert um 13:09:05 Uhr
Goto Top
Zitat von @emeriks:
Betrifft das jetzt nur PS? Ich bilde mir ein, dass das mit signierten VBA-Projekten schon mal funktioniert hat, ohne dass wir das Zertifikat dafür explizit als "vertrauenswürdiger Herausgeber" verteilen mussten ...


Bei Office kann man ja per GPO einstellen das mit einem gültigen Zertifikat signierter Code ausgeführt werden darf.
Gültig heißt in dem Fall nur das es von einer vertrauenswürdigen Stelle ausgestellt wurde.
Die Signatur wird aber im Projekt gespeichert, bei Powershell wird das ja etwas anders gehandhabt.
emeriks
emeriks 21.02.2018 um 13:17:43 Uhr
Goto Top
Bei Office kann man ja per GPO einstellen das mit einem gültigen Zertifikat signierter Code ausgeführt werden darf.
Schon klar
Gültig heißt in dem Fall nur das es von einer vertrauenswürdigen Stelle ausgestellt wurde.
Das meinte ich! Also kannst Du das so bestätigen.
Die Signatur wird aber im Projekt gespeichert, bei Powershell wird das ja etwas anders gehandhabt.
Na ja ... nö. Das techniche Prinzip ist das gleiche. Nur dass beim Auswerten des Zertifikats offenbar andere Voraussetzungen geprüft werden.
rzlbrnft
rzlbrnft 21.02.2018 aktualisiert um 15:07:54 Uhr
Goto Top
Zitat von @emeriks:
Na ja ... nö. Das techniche Prinzip ist das gleiche. Nur dass beim Auswerten des Zertifikats offenbar andere Voraussetzungen geprüft werden.

Scheint so, find ich zwar etwas strange aber ich kann die Herangehensweise nachvollziehen, mit signierten Office Dokumenten werden wahrscheinlich mehr User arbeiten als mit signierten Powershell Scripts, hier wollte man wohl noch eine zusätzliche Sicherung einbauen, so das wirklich nur ein kleiner Personenkreis die Scripte als vertrauenswürdig einstufen darf.
Ist ja auch nicht gerade selbsterklärend das ganze.
gelöstFrageMicrosoftWindows Server
Mehr von emeriksemeriksSharePoint Online - Recht zum Erstellen von Sitesemeriks - 6 KommentareemeriksVS Code Fehler mit Klassenemeriks - 6 KommentareemeriksErfahrungen mit Copilot PC mit Snapdragonemeriks - 2 KommentareemeriksTrouble mit Lizenzen für MS Teamsemeriks - 2 Kommentare
Heiß diskutiert
MysticFoxDEWindows 11 - Unerträgliche Ressourcenverschwendung - groteske RAM ReservierungenMysticFoxDE - 62 KommentareMaba90Batch oder PS Skript startet Programm nur als Prozess ohne GUIMaba90 - 37 KommentaremirdochegalServer 2025 DC - verliert nach reboot Domänenfirewallprofil - nicht als DC erreichbarmirdochegal - 32 KommentareMysticFoxDEWindows 11 - Unerträgliche RessourcenverschwendungMysticFoxDE - 32 KommentareYan2021NUC als NAS verwenden?Yan2021 - 28 KommentareNeurothikerMikrotik - wie ändere ich ein Interface von slave auf master?Neurothiker - 26 Kommentaremorpheus82Lancom Router DHCP Zuweisungenmorpheus82 - 21 KommentareStefanKittelCVE am Ende?StefanKittel - 20 Kommentarepsimon87Serverschrank im Garten (in der "Gartenhütte")psimon87 - 18 KommentareManuManu2021Handelsregister.de nicht aufrufbarManuManu2021 - 16 KommentareTenniscrackUSB Stick mit Windows 2 Go erstellenTenniscrack - 15 Kommentaregerry56Netzwerk-Problem mit unterschiedlichen Betriebssystemengerry56 - 15 KommentareMT-Fan0815"Kreative" Tricks mit Mikrotik beim Telekom Glasfasermodem2MT-Fan0815 - 14 Kommentare