3步实现PowerShell脚本防篡改：数字签名全攻略

2026-02-05 05:18:41作者：平淮齐Percy

你是否遇到过这些问题？辛辛苦苦写好的PowerShell脚本在传输过程中被恶意篡改，执行后导致系统异常；或者下载的脚本无法确认来源是否可信，不敢贸然运行。数字签名（Digital Signature）技术正是解决这些问题的关键，它能确保脚本的完整性和发布者身份的真实性。本文将通过三个简单步骤，教你如何使用PowerShell内置工具实现脚本签名与验证，让你的自动化任务更安全。

什么是数字签名？

数字签名（Digital Signature）是一种基于公钥密码学的身份验证技术，它通过对文件内容进行哈希计算并使用私钥加密，生成唯一的签名数据。接收方可以使用对应的公钥验证签名，确保文件未被篡改且确实由声称的发布者创建。在PowerShell中，这一功能主要通过Set-AuthenticodeSignature和Get-AuthenticodeSignature两个 cmdlet 实现，其核心代码位于 src/Microsoft.PowerShell.Security/security/SignatureCommands.cs。

为什么需要数字签名？

未签名的PowerShell脚本存在两大安全风险：

内容篡改：恶意攻击者可能修改脚本内容，植入病毒或恶意代码
身份伪造：无法确认脚本的真正来源，可能导致恶意软件执行

通过数字签名，你可以：

验证脚本在传输过程中是否被篡改
确认脚本发布者的真实身份
满足企业安全策略要求（如强制执行签名验证的执行策略）

实战步骤：从证书创建到签名验证

步骤1：创建自签名证书

在开发和测试环境中，你可以使用自签名证书（Self-Signed Certificate）进行签名。PowerShell提供了New-SelfSignedCertificate cmdlet，或使用项目中的工具脚本 tools/Sign-Package.ps1 快速生成：

# 使用内置 cmdlet 创建代码签名证书
$cert = New-SelfSignedCertificate -Subject "CN=PowerShell Script Signing" `
  -Type CodeSigningCert -CertStoreLocation Cert:\CurrentUser\My

# 或使用项目提供的签名工具脚本
.\tools\Sign-Package.ps1 -PackageFilePath "C:\scripts\myScript.ps1"

注意：生产环境应使用由可信证书颁发机构（CA）签发的证书

步骤2：为脚本添加数字签名

使用Set-AuthenticodeSignature cmdlet 为脚本添加签名，该命令的实现逻辑位于 src/Microsoft.PowerShell.Security/security/SignatureCommands.cs#L301-L622：

# 签名指定脚本
Set-AuthenticodeSignature -FilePath "C:\scripts\myScript.ps1" `
  -Certificate $cert -HashAlgorithm SHA256 -IncludeChain "notroot"

# 参数说明：
# -IncludeChain "notroot"：包含证书链中除根证书外的所有证书
# -HashAlgorithm：指定哈希算法，推荐使用SHA256或更高版本

步骤3：验证脚本签名

签名完成后，使用Get-AuthenticodeSignature验证签名状态：

# 验证脚本签名
Get-AuthenticodeSignature -FilePath "C:\scripts\myScript.ps1"

验证结果中，Status属性显示签名状态：

Valid：签名有效且未被篡改
Invalid：签名无效或文件已被修改
NotSigned：文件未签名
UnknownError：验证过程中出现错误

签名验证流程解析

graph TD
    A[获取脚本文件] --> B[计算文件哈希值]
    B --> C[使用私钥加密哈希值生成签名]
    C --> D[将签名附加到脚本末尾]
    D --> E[接收方获取脚本和公钥]
    E --> F[使用公钥解密签名得到哈希值]
    F --> G[重新计算文件哈希值]
    G --> H{两个哈希值是否一致?}
    H -->|是| I[签名有效，执行脚本]
    H -->|否| J[签名无效，拒绝执行]