emeriks
21.02.2018
view3168
view6
0
Goto Top

Windows CA - Codesignatur - PowerShell

gelöstFrageMicrosoftWindows Server
Hi,
wir haben eine interne Windows CA in der Domäne. U.a. stellen wir für die Kollegen auch Zertifikate für die Code-Signierung aus. Damit können/müssen die Kollegen dann u.a. die von ihnen erstellen PS-Scripte signieren.

Die Verteilung des Root-Zertifikat erfolgt über die Domäne. Das funktioniert auch.
Nun hab ich angenommen, dass die signierten Scripte jetzt automatisch als vertraunswürdig gelten würden. Tun sie aber nicht.

Man muss erst explizit die Zertifikate der Autoren (öffentlicher Schlüssel) als "vertrauenswürdiger Herausgeber" auf die Computer verteilen (per GPO), damit das funktioniert.

Ist dem tatsächlich so oder machen wir etwas falsch, haben wir was vergessen?

E.
ShareTeilen
Auf Facebook teilen Auf X (Twitter) teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 365525

Url: https://administrator.de/forum/windows-ca-codesignatur-powershell-365525.html

Ausgedruckt am: 31.03.2025 um 14:03 Uhr

6 Kommentare
Neuester Kommentar
Goto Top
135333
Lösung 135333 21.02.2018 aktualisiert um 10:37:11 Uhr
Goto Top
Ist dem tatsächlich so ?
So ist es
https://social.technet.microsoft.com/Forums/sharepoint/en-US/e504cb9e-3f ...

Gruß
emeriks
emeriks 21.02.2018 um 10:44:18 Uhr
Goto Top
OK, danke.

Betrifft das jetzt nur PS? Ich bilde mir ein, dass das mit signierten VBA-Projekten schon mal funktioniert hat, ohne dass wir das Zertifikat dafür explizit als "vertrauenswürdiger Herausgeber" verteilen mussten ...
135333
135333 21.02.2018 aktualisiert um 10:50:41 Uhr
Goto Top
Zitat von @emeriks:
Betrifft das jetzt nur PS?
Nein nicht nur. Je nachdem wie die Prüfung in der jeweiligen Komponente von statten geht.

Hier noch etwas offizelles dazu von MS
https://blogs.technet.microsoft.com/heyscriptingguy/2010/06/17/hey-scrip ...
rzlbrnft
Lösung rzlbrnft 21.02.2018 aktualisiert um 13:09:05 Uhr
Goto Top
Zitat von @emeriks:
Betrifft das jetzt nur PS? Ich bilde mir ein, dass das mit signierten VBA-Projekten schon mal funktioniert hat, ohne dass wir das Zertifikat dafür explizit als "vertrauenswürdiger Herausgeber" verteilen mussten ...


Bei Office kann man ja per GPO einstellen das mit einem gültigen Zertifikat signierter Code ausgeführt werden darf.
Gültig heißt in dem Fall nur das es von einer vertrauenswürdigen Stelle ausgestellt wurde.
Die Signatur wird aber im Projekt gespeichert, bei Powershell wird das ja etwas anders gehandhabt.
emeriks
emeriks 21.02.2018 um 13:17:43 Uhr
Goto Top
Bei Office kann man ja per GPO einstellen das mit einem gültigen Zertifikat signierter Code ausgeführt werden darf.
Schon klar
Gültig heißt in dem Fall nur das es von einer vertrauenswürdigen Stelle ausgestellt wurde.
Das meinte ich! Also kannst Du das so bestätigen.
Die Signatur wird aber im Projekt gespeichert, bei Powershell wird das ja etwas anders gehandhabt.
Na ja ... nö. Das techniche Prinzip ist das gleiche. Nur dass beim Auswerten des Zertifikats offenbar andere Voraussetzungen geprüft werden.
rzlbrnft
rzlbrnft 21.02.2018 aktualisiert um 15:07:54 Uhr
Goto Top
Zitat von @emeriks:
Na ja ... nö. Das techniche Prinzip ist das gleiche. Nur dass beim Auswerten des Zertifikats offenbar andere Voraussetzungen geprüft werden.

Scheint so, find ich zwar etwas strange aber ich kann die Herangehensweise nachvollziehen, mit signierten Office Dokumenten werden wahrscheinlich mehr User arbeiten als mit signierten Powershell Scripts, hier wollte man wohl noch eine zusätzliche Sicherung einbauen, so das wirklich nur ein kleiner Personenkreis die Scripte als vertrauenswürdig einstufen darf.
Ist ja auch nicht gerade selbsterklärend das ganze.
gelöstFrageMicrosoftWindows Server
Mehr von emeriksemeriksVS Code Fehler mit Klassenemeriks - 6 KommentareemeriksErfahrungen mit Copilot PC mit Snapdragonemeriks - 2 KommentareemeriksTrouble mit Lizenzen für MS Teamsemeriks - 2 KommentareemeriksMS Update Catalog gestört?emeriks - 5 Kommentare
Heiß diskutiert
TschakalakaNetzwerkscan - Suche nach inkompatiblen Windows 10 Clients für Windows 11 UpgradeTschakalaka - 41 KommentarejimmmyCisco Catalyst 1200 vs HPE Aruba 1930?jimmmy - 41 Kommentarer2d2r3poNetzwerk Ausfäller2d2r3po - 40 KommentarepaperanKaufberatung Notebook 17 Zollpaperan - 31 KommentarejimmmySFP-Ports adaptieren?jimmmy - 30 KommentarepanguuRouter gesucht (Mikrotik, OPNsense)panguu - 29 KommentareaxlemoxleDeutsche Telefon, 3cx, Wildix, Yeastar Easybell, Peoplefone, was ist das richtigeaxlemoxle - 25 KommentareMarcoKerProbleme beim Rejoin von Computern unter Windows 11MarcoKer - 22 KommentarefnbaluLSI Avago 9265-8i Problemefnbalu - 21 KommentareMarkowitschHP Mini-PC startet nicht mehrMarkowitsch - 20 Kommentareratzekahl1Batch-Datei mit Admin-Rechten ausführen ohne das Passwort raus zu gebenratzekahl1 - 20 KommentareBitSchreckZwei Router im HeimnetzBitSchreck - 16 KommentarempanziUnterschied Hardware-Server zu VM für Clientmpanzi - 15 Kommentare