PowerShell-Remoting für Discovery

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Probe-Entwickler können das PowerShell-Framework zur Remoteausführung verwenden, um die Remoteausführung von Skripts auf Zielgeräten automatisch zu verarbeiten. Das einheitliche Framework beseitigt Inkonsistenzen bei der Remoteausführung, erhöht die Effizienz und verbessert die Stabilität.

    Anforderungen

    Zur Verwendung des PowerShell-Framework für die Remoteausführung müssen die folgenden Anforderungen erfüllt werden:
    • Der MID Server muss in der Lage sein, auf die Netzwerkfreigabe des Ziels zu schreiben und von dieser zu lesen.
    • Das Remoteziel muss über PowerShell 3 oder höher (bis 5.1) verfügen.
    • Für MID Server, die WinRM oder WMI verwenden und das Skript auf das Remoteziel kopieren sollen, müssen die Bereiche MachinePolicy und UserPolicy auf „Nicht definiert“ festgelegt sein. Wenn das Skript nicht kopiert wird, kann die Ausführungsrichtlinie eine beliebige andere, einschließlich „Beschränkt“, sein.

    Weitere Informationen finden Sie unter MID Server zur Verwendung von PowerShell einrichten.

    Anwendungserkennung

    Das PowerShell-Framework zur Remoteausführung bietet Optionen zum Kopieren von Dateien auf das Remoteziel, wenn ein Scan ausgeführt wird. Das Kopieren von Dateien auf das Ziel ist für Probes wie „Windows - File discovery“ wichtig, da das Skript sich selbst auf dem Remoteziel aufruft, um einen neuen Prozess zu starten. Auf MID Servern, die WMI zur Remoteausführung von Skripts verwenden, kann ein launchProcess-Fehler auftreten, wenn das Skript zu lang ist. Durch das Kopieren des Skripts auf das Remoteziel wird dieser Fehler behoben. Das Kopieren eines Skripts auf ein Remoteziel kann dazu führen, dass das Skript auf dem Ziel von Virenschutzsoftware markiert wird. Um Probleme mit Virenschutzsoftware zu vermeiden, fügen Sie die Skripts der Liste der zulässigen Elemente der Virenschutzanwendung hinzu.

    Probe-Konfiguration

    Im Folgenden finden Sie die Konfigurationsseite der Probe „Windows - Active Connections“, der in der Multi-Probe „Windows - ADM“ enthalten ist.

    Konfigurationsseite der Probe „Windows - Active Connections“

    Das Kontrollkästchen Skript remote ausführen wird angezeigt, wenn das ECC-Warteschlangenthema WMIRunner oder PowerShell lautet. Wenn das Kontrollkästchen aktiviert ist, werden Skripts auf dem Remoteziel ausgeführt. Andernfalls werden Skripts auf dem MID Server ausgeführt.

    Das Kontrollkästchen Skript in Ziel kopieren wird angezeigt, wenn Skript remote ausführen aktiviert ist. Wenn Skript in Ziel kopieren aktiviert ist, wird das Skript auf das Ziel kopiert und dort ausgeführt. Wenn Skript in Ziel kopieren deaktiviert ist, wird das Skript auf dem Ziel ausgeführt, ohne es zu kopieren.

    Entwicklung von PowerShell-Probes

    Das PowerShell-Framework zur Remoteausführung stellt eine einheitliche Methode zum Ausführen von in einem Probe-Parameter enthaltenen PowerShell-Skripts auf einem Remotezielserver dar. Das Framework beseitigt die Notwendigkeit, dass Probe-Entwickler für die Remoteausführung eigenen Code verfassen müssen, wodurch Inkonsistenzen zwischen Entwicklern auftreten könnten. Das Framework verarbeitet die Remoteausführung von Skripts automatisch, weswegen Probe-Entwickler Skripts so schreiben, als ob die Probe Informationen lokal erfassen würde.

    Das Framework verarbeitet die Remoteausführung unabhängig davon, ob der MID Server für WMI oder WinRM konfiguriert ist. Wenn der MID Server für WMI konfiguriert ist, führt die Probe mithilfe von launchProcess Befehle auf dem Remoteziel aus. Die Verwendung von launchProcess erschwert die Remoteausführung und kann zu Fehlern führen. Ein für WinRM konfigurierter MID Server verwendet jedoch nicht launchProcess und ist daher effizienter und stabiler.