Accès distant PowerShell pour Découverte

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 2 minutes de lecture

    • Les développeurs de sondes peuvent utiliser le cadre de travail d’exécution à distance PowerShell pour gérer automatiquement l’exécution à distance de scripts sur les appareils cibles. Le cadre de travail unifié supprime les incohérences dans l’exécution à distance, augmente l’efficacité et améliore la stabilité.

    Besoins

    Pour utiliser le cadre de travail d’exécution à distance de PowerShell, les conditions requises suivantes doivent être remplies :
    • Le serveur MID doit être capable d’écrire et de lire à partir du partage réseau de la cible.
    • La cible distante doit disposer de PowerShell 3 ou version ultérieure (jusqu’à la version 5.1).
    • Pour les serveurs MID utilisant WinRM ou WMI qui choisissent de copier le script sur la cible distante, les champs d’application MachinePolicy et UserPolicy doivent être définis sur Non défini. Si le script n’est pas copié, la politique d’exécution peut être n’importe quelle autre configuration jusqu’à Restrictive.

    Consultez Configurer les serveurs MID pour utiliser PowerShell pour plus d'informations.

    Découverte d’applications

    L’infrastructure d’exécution à distance PowerShell dispose d’options permettant de copier des fichiers vers la cible distante lors de l’exécution d’une analyse. La copie des fichiers sur la cible est importante pour les sondes telles que Windows — File Discovery (Découverte de fichiers Windows), car son script s’appelle sur la cible distante pour générer un nouveau processus. Les serveurs MID qui utilisent WMI pour exécuter des scripts à distance peuvent rencontrer une erreur lors du lancement du processus si le script est trop long. La copie du script sur la cible distante résout cette erreur. La copie d’un script sur une cible distante peut entraîner le marquage du script par un logiciel antivirus sur la cible. Pour éviter les problèmes avec les logiciels antivirus, ajoutez les scripts à la liste d’autorisation dans l’application antivirus.

    Configuration de la sonde

    Voici la page de configuration de la sonde Windows — Connexions actives, qui est incluse dans la sonde multiple Windows — ADM.

    Windows : page de configuration de la sonde Connexions actives

    La case à cocher Exécuter le script à distance est visible lorsque la rubrique de file d’attente ECC est WMIRunner ou PowerShell. Lorsque cette option est activée, le script s’exécute sur la cible distante. Sinon, le script s’exécute sur le serveur MID.

    La case à cocher Copier le script vers la cible est visible lorsque l’option Exécuter le script à distance est cochée. Si l’option Copier le script sur la cible est cochée, le script est copié sur la cible et exécuté sur celle-ci. Si l’option Copier le script sur la cible n’est pas cochée, le script est exécuté sur la cible sans la copier.

    Développement de sondes PowerShell

    L’infrastructure d’exécution à distance PowerShell est une méthode unifiée d’exécution de scripts PowerShell, contenus dans un paramètre de sonde, sur un serveur cible distant. Le cadre élimine la nécessité pour les développeurs de sondes d’écrire leur propre code d’exécution à distance, ce qui peut entraîner des incohérences entre les développeurs. Le développeur de sonde écrit le script comme si la sonde collectait des informations localement, car le cadre de travail d’exécution distante gère automatiquement l’exécution de script distant.

    La structure gère l’exécution à distance, que le serveur MID soit configuré pour utiliser WMI ou WinRM. Si le serveur MID est configuré pour WMI, la sonde utilise launchProcess pour exécuter des commandes sur la cible distante. L’utilisation de launchProcess complique l’exécution à distance et peut entraîner des échecs. Cependant, un serveur MID configuré pour WinRM n’utilise pas launchProcess, et est donc plus efficace et stable.