Scripts

    PowerShell Remoting über HTTPS mit einem selbstsignierten SSL-Zertifikat

    PowerShell-Remoting über HTTPS konfigurierenVerbindungen, die man über Enter-PSSession und Invoke-Command aufbaut, kommu­nizieren stan­dard­mäßig über HTTP. Aller­dings ver­schlüsselt dabei WinRM die über­tragenen Daten. Zusätz­liche Sicher­heit erlangt man speziell in Work­groups durch HTTPS, wobei ein selbst­sig­nierten SSL-Zertifikat in der Regel reicht.

    New-SelfSignedCertificate: Selbstsignierte Zertifikate ausstellen mit PowerShell

    Zertifikate mit PowerShell verwaltenWährend man früher Tools wie makecert.exe benö­tigte, um selbst­signierte Zerti­fikate aus­zustellen, kann Power­Shell diese Auf­gabe seit Windows 8 und Server 2012 mit New-SelfSignedCertificate über­nehmen. Sie lassen sich etwa für die Client- und Server-Authenti­fizierung oder die Code-Signierung ver­wenden.

    JEA: Rollenfunktionen definieren und einer PowerShell Session Configuration zuordnen

    Role Capabilty File im JEA Helper Tool bearbeitenMit Just Enough Administration (JEA) kön­nen Benutzer ohne admini­strative Berech­tigungen Manage­ment-Aufgaben über­nehmen. Die Grund­lage für JEA bilden Session-Konfi­gurationen, die bestim­men, wer Zugriff bekommt. Role Capabilities definieren dann die Mittel, welche in PowerShell zur Ver­fügung stehen.

    Ausführungsrichtlinien (Execution Policy) für PowerShell-Scripts über GPO setzen

    PowerShell SecurityDie Ausführung von PowerShell-Scripts lässt sich über Richt­linien ein­schränken, standard­mäßig wird sie blockiert. Während die vom Admin interaktiv gesetzte Execution Policy von jedem User aufge­hoben werden kann, ist die Konfi­guration per GPO nach­haltiger. Sicher­heit gegen bös­willige User bietet sie aber trotz­dem nicht.

    JEA Session Configuration: Remote-Sitzungen in PowerShell für Standardbenutzer erlauben, Funktionen beschränken

    PowerShell RemotingMöchten sich User ohne admini­strative Privi­legien mit einem Remote-PC ver­binden, dann scheitert das an man­geln­den Rechten. Diese Limi­tierung lässt sich mit Hilfe von Session-Konfigurationen be­seitigen. Dabei muss man einem Standard­benutzer nicht Zugriff auf alle Funktionen von PowerShell ge­währen.