Windows

凭证管理

• 请勿在脚本中硬编码密码，应使用 Windows 凭证管理器：

  # 存储凭证
  cmdkey /generic:"MyService" /user:"admin" /pass:"secret"
  # 在脚本中检索
  $cred = Get-StoredCredential -Target "MyService"

• 对于脚本，使用 Get-Credential 并安全导出：

  $cred | Export-Clixml -Path "cred.xml"  # 加密保存至当前用户/机器
  $cred = Import-Clixml -Path "cred.xml"

静默失败

• Windows Defender 会静默隔离下载的脚本或可执行文件 — 若脚本消失，请检查隔离区
• 组策略会静默覆盖本地设置 — 使用 gpresult /r 查看实际应用的策略
• 防病毒软件实时扫描可能间歇性阻止文件操作 — 建议为构建/自动化目录添加排除项
• PowerShell 中使用 -ErrorAction SilentlyContinue 会隐藏错误 — 应使用 Stop 并显式处理异常

符号链接

• 创建符号链接需要管理员权限或 SeCreateSymbolicLinkPrivilege 权限 — 普通用户会静默失败
• 启用开发者模式可在无需管理员权限的情况下创建符号链接：设置 → 开发者选项 → 开发者模式
• mklink 仅适用于 CMD，PowerShell 中使用 New-Item -ItemType SymbolicLink

脚本签名

• 未签名的脚本在受限机器上运行会失败，并提示模糊错误 — 生产环境需进行签名：

  $cert = Get-ChildItem Cert:\CurrentUser\My -CodeSigningCert
  Set-AuthenticodeSignature -FilePath script.ps1 -Certificate $cert

• AllSigned 策略要求所有脚本（包括 profile.ps1）均需签名

操作安全

• 破坏性操作前务必先使用 -WhatIf 测试 — 如 Remove-Item -Recurse -WhatIf
• 使用 Start-Transcript 记录操作日志 — 容易遗忘，直到事故调查时才意识到缺失
• NTFS 权限：使用 icacls 进行命令行操作，但继承规则不直观 — 建议先在副本上测试更改

WinRM 远程连接

• 正确启用远程功能：Enable-PSRemoting -Force 在工作组环境中仍不足
• 工作组机器需配置可信主机：Set-Item WSMan:\localhost\Client\TrustedHosts -Value "server1,server2"
• HTTPS 远程连接需配置证书 — HTTP 传输会以明文形式发送凭据，存在网络嗅探风险

事件日志

• 脚本应记录到 Windows 事件日志，便于集中监控：

  New-EventLog -LogName Application -Source "MyScript" -ErrorAction SilentlyContinue
  Write-EventLog -LogName Application -Source "MyScript" -EventId 1000 -Message "Started"

• 自定义事件源需管理员权限创建 — 应在安装阶段完成，而非运行时动态创建

文件锁定

• Windows 对文件锁定较严格 — 操作前应测试文件访问权限：

  try { [IO.File]::OpenWrite($path).Close(); $true } catch { $false }

• 计划任务与用户同时写入同一文件可能导致冲突 — 建议使用唯一临时文件并原子重命名

临时文件清理

• $env:TEMP 会无声填满磁盘空间 — 脚本应使用 try/finally 确保清理：

  $tmp = New-TemporaryFile
  try { ... } finally { Remove-Item $tmp -Force }

• 临时文件可能跨重启残留 — 与 Linux 的 /tmp 不同，不会自动清理

服务账户陷阱

• 服务以不同用户身份运行 — $env:USERPROFILE 指向系统配置文件，而非用户个人目录
• SYSTEM 账户的网络访问使用计算机凭据 — 可能因权限不足而失败，而用户账户却能成功
• 服务无法访问映射的驱动器 — 应使用 UNC 路径 \\server\share