web-dev-qa-db-ja.com

実行するPowerShellスクリプトをユーザーに提供します-安全ですか?

ユーザーのグループにラップトップで実行するPowerShellスクリプトを提供するための安全で実用的な方法はありますか?

ユーザーはすべてActiveDirectoryアカウントを持っていますが、コンピューターはどのドメインにも参加していません。

最終的な目標は、各ラップトップの基本的なハードウェアインベントリ、必要なユーザークリック数、およびユーザー操作時間を最小限に抑えることです。もちろん、ハードウェアアサーション/インベントリソフトウェアはありますが、それを学習/設定するために多くの管理時間を費やさないことが理想的です。常にそれを解放してください。

私が持っているPowerShellスクリプト(共有してよかった)はすべてを収集し、それを任意のアドレスに電子メールで送信します。書くのに15分しかかかりませんでしたが、今度はそれをユーザーに送信する必要があります。

クライアントのラップトップは、Windows10が完全に更新されていることが保証されています。

編集:

  • 電子メールは、ユーザー資格情報を使用して送信されます。スクリプトコマンドは、ユーザーからのリクエストuid/pwdにシステムチャレンジを使用するため、スクリプトの一部になることはありません。

  • 私が言及しなかったセキュリティ上の懸念の1つは、スクリプトの実行を許可する方法です。ダウンロードしてダブルクリックしてpsスクリプトを実行することはできないようですが、これを許可する署名方法はありますか? .exeにコンパイルするためのutilを見つけました。これは機能する可能性がありますが、悪い習慣を助長しているようです。

  • ユーザーが全国にいるので、自分で歩き回って実行することはできません。

shellcodepowershelladministrationautomation
1
whitneyland

セキュリティの観点からは、おそらく認識の問題(たとえば、ユーザーが理解できない可能性のあるスクリプトを実行するように教えられている)を除いて、問題はありません。ほとんどのコンピューターでは、デフォルトでPowerShellスクリプトの実行が許可されていない可能性があることに注意してください。これは、有効にする必要があります。

注意すべきことの1つは、実際にそれらすべてをメールで返信する方法です。それは彼らのOutlookを開きますか、それとも彼らがあなたに送り返すファイルを生成しますか?スクリプトに資格情報をハードコーディングすることは望ましくありません。

最善の方法は、実際には各ユーザーにアクセスして、スクリプトを手動で実行することです。

3
Lucas Kauffman