3步实现PowerShell脚本防篡改：数字签名全攻略

你是否遇到过这些问题？辛辛苦苦写好的PowerShell脚本在传输过程中被恶意篡改，执行后导致系统异常；或者下载的脚本无法确认来源是否可信，不敢贸然运行。数字签名（Digital Signature）技术正是解决这些问题的关键，它能确保脚本的完整性和发布者身份的真实性。本文将通过三个简单步骤，教你如何使用PowerShell内置工具实现脚本签名与验证，让你的自动化任务更安全。

什么是数字签名？

数字签名（Digital Signature）是一种基于公钥密码学的身份验证技术，它通过对文件内容进行哈希计算并使用私钥加密，生成唯一的签名数据。接收方可以使用对应的公钥验证签名，确保文件未被篡改且确实由声称的发布者创建。在PowerShell中，这一功能主要通过Set-AuthenticodeSignature和Get-AuthenticodeSignature两个 cmdlet 实现，其核心代码位于 src/Microsoft.PowerShell.Security/security/SignatureCommands.cs。

为什么需要数字签名？

未签名的PowerShell脚本存在两大安全风险：

• 内容篡改：恶意攻击者可能修改脚本内容，植入病毒或恶意代码
• 身份伪造：无法确认脚本的真正来源，可能导致恶意软件执行

通过数字签名，你可以：

• 验证脚本在传输过程中是否被篡改
• 确认脚本发布者的真实身份
• 满足企业安全策略要求（如强制执行签名验证的执行策略）

实战步骤：从证书创建到签名验证

步骤1：创建自签名证书

在开发和测试环境中，你可以使用自签名证书（Self-Signed Certificate）进行签名。PowerShell提供了New-SelfSignedCertificate cmdlet，或使用项目中的工具脚本 tools/Sign-Package.ps1 快速生成：

# 使用内置 cmdlet 创建代码签名证书
$cert = New-SelfSignedCertificate -Subject "CN=PowerShell Script Signing" `
  -Type CodeSigningCert -CertStoreLocation Cert:\CurrentUser\My

# 或使用项目提供的签名工具脚本
.\tools\Sign-Package.ps1 -PackageFilePath "C:\scripts\myScript.ps1"

注意：生产环境应使用由可信证书颁发机构（CA）签发的证书

步骤2：为脚本添加数字签名

使用Set-AuthenticodeSignature cmdlet 为脚本添加签名，该命令的实现逻辑位于 src/Microsoft.PowerShell.Security/security/SignatureCommands.cs#L301-L622：

# 签名指定脚本
Set-AuthenticodeSignature -FilePath "C:\scripts\myScript.ps1" `
  -Certificate $cert -HashAlgorithm SHA256 -IncludeChain "notroot"

# 参数说明：
# -IncludeChain "notroot"：包含证书链中除根证书外的所有证书
# -HashAlgorithm：指定哈希算法，推荐使用SHA256或更高版本

步骤3：验证脚本签名

签名完成后，使用Get-AuthenticodeSignature验证签名状态：

# 验证脚本签名
Get-AuthenticodeSignature -FilePath "C:\scripts\myScript.ps1"

验证结果中，Status属性显示签名状态：

• Valid：签名有效且未被篡改
• Invalid：签名无效或文件已被修改
• NotSigned：文件未签名
• UnknownError：验证过程中出现错误

签名验证流程解析

graph TD
    A[获取脚本文件] --> B[计算文件哈希值]
    B --> C[使用私钥加密哈希值生成签名]
    C --> D[将签名附加到脚本末尾]
    D --> E[接收方获取脚本和公钥]
    E --> F[使用公钥解密签名得到哈希值]
    F --> G[重新计算文件哈希值]
    G --> H{两个哈希值是否一致?}
    H -->|是| I[签名有效，执行脚本]
    H -->|否| J[签名无效，拒绝执行]

相关工具与资源

• 签名工具脚本：tools/Sign-Package.ps1 - 项目提供的自动化签名工具，支持生成自签名证书和签名各种安装包
• 证书管理命令：src/Microsoft.PowerShell.Security/security/CertificateCommands.cs - 证书管理相关 cmdlet 实现
• 安全模块文档：src/Microsoft.PowerShell.Security/ - 安全相关功能的源代码目录

常见问题解决

1. "无法验证此文件的发布者"警告

   • 解决方法：将证书导入到"受信任的根证书颁发机构"存储区

2. 签名后脚本大小增加

   • 原因：签名数据被附加到脚本末尾，这是正常现象

3. 证书过期导致签名失效

   • 解决方法：使用时间戳服务器（-TimestampServer参数）为签名添加时间戳

总结

数字签名是保障PowerShell脚本安全的关键技术，通过本文介绍的三个步骤——创建证书、签名脚本和验证签名，你可以有效防止脚本被篡改并确认其来源合法性。建议在企业环境中强制启用脚本签名验证（通过Set-ExecutionPolicy AllSigned），并使用由可信CA颁发的证书进行签名。

点赞收藏本文，关注PowerShell安全最佳实践，下期将为你带来《企业级PowerShell证书管理方案》。