Festlegen von PowerShell-Ausführungsrichtlinien in Exchange 2010

PowerShell ist ein äußerst leistungsfähiges Tool. Leider können PowerShell-Skripte in den falschen Händen zur besten Waffe eines Malware-Autors werden. Exchange 2010-Administratoren haben einige Optionen zum Schutz ihrer Server vor Skripten.

Im Wesentlichen ist ein einfaches PowerShell-Skript nichts anderes als eine Textdatei. Wenn Exchange nicht erkennt, woher das Skript stammt, wird das Skript angehalten.

Exchange Server 2010 verwendet Ausführungsrichtlinien, um zu steuern, ob PowerShell-Skripts ausgeführt werden dürfen. Öffnen Sie zum Anzeigen der Ausführungsrichtlinie Ihres Exchange Servers die Exchange-Verwaltungsshell (EMS) und geben Sie den folgenden Befehl ein:

Get-ExecutionPolicy

Exchange gibt den Namen einer bestimmten Ausführungsrichtlinie zurück. Es gibt vier Richtlinien, die Sie verwenden können:

  1. Beschränkt – Diese Standardrichtlinie in Exchange Server 2010 verhindert, dass PowerShell-Skripts ausgeführt werden.

  2. AllSigned – Mit dieser Richtlinie können PowerShell-Skripts ausgeführt werden, wenn sie von einem vertrauenswürdigen Herausgeber digital signiert wurden.

  3. RemoteSigned – Dies ist die Ausführungsrichtlinie, die ich auf meinen eigenen Exchange-Servern verwende. Mit dieser Richtlinie kann Exchange prüfen, woher das Skript stammt, um zu steuern, ob und wann es ausgeführt werden kann. Wenn das Skript lokal erstellt wurde, darf es ausgeführt werden. Ein aus dem Internet heruntergeladenes Skript wird jedoch blockiert. Diese Richtlinie funktioniert gut, wenn in einer Organisation nur ein Exchange Server-Administrator vorhanden ist.

  4. Uneingeschränkt – Wie der Name schon sagt, kann Exchange mit der uneingeschränkten Richtlinie jedes PowerShell-Skript ausführen, unabhängig davon, woher es stammt. Es spielt auch keine Rolle, ob das Skript digital signiert wurde oder nicht.

In bestimmten Fällen müssen Sie möglicherweise ändern, welche Ausführungsrichtlinie vorhanden ist. Der Wechsel von einer Richtlinie zu einer anderen ist einfach. Geben Sie dazu die ein Set-ExecutionPolicy Befehl und dann den Namen der Richtlinie. Als Nächstes müssen Sie die Änderung mit dem Befehl Get-ExecutionPolicy überprüfen.

Da es so einfach ist, Ausführungsrichtlinien im laufenden Betrieb zu ändern, verwenden einige Exchange-Organisationen den eingeschränkten Modus als Standardauswahl. Wenn Skripte ausgeführt werden müssen, wechselt der Administrator zu einer weniger restriktiven Ausführungsrichtlinie. Sobald das Skript abgeschlossen ist, setzen Administratoren die Richtlinie auf den eingeschränkten Modus zurück

Exchange Server 2010 verwendet außerdem eine Funktion namens RemoteShell, um eine Remote-PowerShell-Verbindung zu Exchange-Servern herzustellen. Um RemoteShell verwenden zu können, müssen Sie die Ausführungsrichtlinie auf festlegen RemoteSigned oder Uneingeschränkt.

ÜBER DEN AUTOR
Brien M. Posey, MCSE ist ein siebenmaliger Microsoft MVP für seine Arbeit mit Windows 2000 Server, Exchange Server und IIS. Er war CIO einer landesweiten Kette von Krankenhäusern und war einst für die IT-Sicherheit von Fort Knox verantwortlich. Für weitere Informationen besuchen Sie www.brienposey.com.

Dig Deeper bei der Einrichtung und Fehlerbehebung von Exchange Server

Similar Posts

Leave a Reply