Help us understand the problem. What is going on with this article?

PowerShellの実行ポリシー変更

概要

クライアント版 Windows1 の PowerShell は、標準設定ではスクリプト(拡張子 .ps1 のファイル)の実行が制限されています。これは、マルウェアなどの危険なスクリプトの不用意な実行を防ぐというセキュリティ上の配慮によるものです。スクリプトを実行するには、事前に実行ポリシーを変更する必要があります。個人用のスクリプトを管理権限なしで実行するための実行ポリシーの変更方法をまとめます。

実行ポリシーとスコープ

予備知識として、実行ポリシーの種類やスコープについて知っておりた方がよいです。
スコープは、優先度順に MachinePolicy(グループポリシーでそのコンピュータの全ユーザに強制)、UserPolicy(グループポリシーでそのコンピュータの現在のユーザに強制)、Process(現在のセッションに対して適用)、CurrentUser(現在のユーザに対して適用)、LocalMachine(そのコンピュータの全ユーザに対して適用)の5種類があります。

それぞれのスコープについて、AllSigned(署名付きスクリプトのみ実行可)、Bypass(検査迂回)、RemoteSigned(ローカルスクリプトと署名付きのリモートスクリプトのみ実行可)、Restricted(全て実行不可)、Undefined(未定義)、Unrestricted(全て実行可)の6種類のポリシーを設定することができます。ただし、特別な権限なしに変更できるのは Process、CurrentUser、Undefined の3種類のみです。

各スコープの既定のポリシーは Undefined です。全てのスコープのポリシーが Undefined の場合は、クライアント版の Windows では Restricted のポリシーが適用されるため標準状態ではスクリプトを実行することが出来ません。日本語では、下記のサイトの説明が詳しいです。

https://www.atmarkit.co.jp/ait/articles/0805/16/news139.html

実行ポリシーの変更

実行ポリシーは、Set-ExecutionPolicy コマンドレット(または PowerShell コマンドの -ExecutionPolicy パラメータ)を用いて変更できますが、-Scope パラメータを指定しない場合の既定のスコープである LocalMachine の実行ポリシーを変更するには管理者権限が必要です2 3。Process や CurrentUser のスコープであれば管理者権限なしに実行ポリシーを変更することができます。Process スコープの実行ポリシーの変更は現在のセッションのみ有効ですが、CurrentUser のスコープの実行ポリシーは一度変更するとその設定はセッション終了後も有効になります。以下に、「セキュリティ重視」、「利便性重視」、「バランス」の3通りの変更方法を紹介します4

a) セキュリティ重視

なるべく(セキュリティ重視の)標準設定から変更したくない方は、下記のコマンドで一時的に実行ポリシーを変更するとよいでしょう。現在のセッション(プロセスとその子プロセス)に限り、ローカルで作成された(インターネット経由で入手されていない)スクリプトを署名なしで実行できるようになります。また、インターネット経由で入手したスクリプトについても、ファイルのプロパティでブロックの解除を行なうことで実行できるようになります。

Set-ExecutionPolicy RemoteSigned -Scope Process -Force

b) 利便性重視

逆に、セキュリティよりも利便性優先という方は、スコープを CurrentUser にすることで毎回実行ポリシーを変更する手間を省くことができます。

Set-ExecutionPolicy RemoteSigned -Scope CurrentUser -Force

c) バランス

一定のセキュリティを確保しつつ、よく使用するスクリプトについてはすぐに実行できるようにしたい方は、CurrentUser スコープの実行ポリシーを AllSigned にするとよいでしょう。

Set-ExecutionPolicy AllSigned -Scope CurrentUser -Force

署名付きのスクリプトはすぐに実行できます。このポリシーでは署名のないスクリプトは実行できないので、署名のない(ローカルの)スクリプトを実行する際には a) のコマンドで一時的にポリシーを変更します。署名付きの設定ファイル(\$Profile)を利用できるので、例えば下記のように a) のコマンドの関数を定義しておくと便利です。

function ps1ok {Set-ExecutionPolicy RemoteSigned -Scope Process -Force}
function ps1ng {Set-ExecutionPolicy Undefined    -Scope Process -Force}

スクリプトの実行を伴う作業の開始前と終了後に、それぞれ ps1ok、ps1ng コマンドを実行します。

実行ポリシーの確認

スコープ毎の実行ポリシーを Get-ExecutionPolicy コマンドレットで確認することができます。
下記は、CurrentUser スコープの実行ポリシーを AllSigned に変更した場合の出力結果です。

PS C:\> Get-ExecutionPolicy -List

        Scope ExecutionPolicy
        ----- ---------------
MachinePolicy       Undefined
   UserPolicy       Undefined
      Process       Undefined
  CurrentUser       AllSigned
 LocalMachine       Undefined

スクリプトに署名する方法

実行ポリシーが AllSinged の場合は スクリプトが署名されている必要があります。信頼のできる第三者認証機関の証明書による署名というのが建前ですが、個人用途ならば自分で作成した自己署名証明書をローカルコンピューター上の信頼されたルート証明機関ストアに登録して署名することで代替できます。ここではその方法を紹介します。

1. 署名用の証明書を作成

Windows 10, PowerShell V5 以降は、New-SelfSignedCertificate コマンドレットを使用して署名用の証明書を作成することができます。

# 署名用の証明書を作成
$cert = New-SelfSignedCertificate `
        -Subject "CN=PowerShellスクリプト署名用証明書" `
        -KeyAlgorithm RSA `
        -KeyLength 2048 `
        -Type CodeSigningCert `
        -CertStoreLocation Cert:\CurrentUser\My\ `
        -NotAfter ([datetime]"2099/01/01")
# 信頼済みのルートとして使用
Move-Item "Cert:\CurrentUser\My\$($cert.Thumbprint)" Cert:\CurrentUser\Root

Windows 8 では certreq コマンドを使用して署名用の証明書を作成することができます。

# INFファイル作成
Write-Output @"
[NewRequest] 
Subject = "CN=PowerShellスクリプト署名用証明書" 
Exportable = TRUE
KeyAlgorithm = RSA
KeyLength = 2048
RequestType = Cert
NotAfter = "2099/01/01"
[Extensions] 
2.5.29.37 = "{text}1.3.6.1.5.5.7.3.3"
"@ > cert.inf
# 署名用の証明書を作成
certreq -new cert.inf dummy.cer
# 信頼済みのルートとして使用
$cert = @(Get-ChildItem cert:\CurrentUser\My -CodeSigningCert)[0]
Move-Item "Cert:\CurrentUser\My\$($cert.Thumbprint)" Cert:\CurrentUser\Root

2. PowerShellスクリプトに署名

1.で作成した証明書を用いてスクリプトに署名します3

# 証明書への参照を取得
$rootcert = @(Get-ChildItem cert:\CurrentUser\Root -CodeSigningCert)[0]
# スクリプトに署名
Set-AuthenticodeSignature <対象スクリプトのパス> $rootcert

3. $Profile の署名を更新するコマンドを定義

\$Profile ファイルは度々更新する可能性があるので、署名を更新するためのコマンド(関数)を定義しておくと便利です(. signprofile のようにドットソースで実行すると、更新した内容をすぐに現在のセッションに反映することができます)。

function SignProfile {
    $rootcert = @(Get-ChildItem cert:\CurrentUser\Root -CodeSigningCert)[0]
    Set-AuthenticodeSignature $Profile $rootcert
    . $Profile
}

 
クリエイティブ・コモンズ 表示 - 継承 4.0 国際


  1. サーバ版でない方の Windows のことです。 

  2. -Scope パラメータを指定しないで Set-ExecutionPolicy コマンドレットを実行すると、LocalMachineの実行ポリシーを変更することになり、管理者として実行していない場合はエラーになります。PowerShell の初心者は、ここで躓くことが多いかと思います。 

  3. グループポリシーによって優先度の高い MachinePolicy や UserPolicy スコープの実行ポリシーが Restricted に設定されている場合は、残念ながらローカルユーザ(アドミニストレーターを含む)はスクリプトの実行を可能にすることができません。 

  4. 私なりの分類です。 

earthdiver1
元科学技術系エンジニア。最近はWindows上で環境を整える必要のないPowerShellで遊んでます。基本的には自分用の備忘録ですが、誰かの参考になれば嬉しいです。
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした