PowerShell-Remoting für Discovery

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Probe-Entwickler können das PowerShell-Remoteausführungs-Framework verwenden, um die Remote-Ausführung von Skripts auf Zielgeräten automatisch zu verarbeiten. Das einheitliche Framework entfernt Inkonsistenzen bei der Remote-Ausführung, erhöht die Effizienz und verbessert die Stabilität.

    Anforderungen

    Zur Verwendung des PowerShell-Remote-Ausführungsframeworks müssen die folgenden Anforderungen erfüllt sein:
    • Der MID-Server muss in der Lage sein, in die Netzwerkfreigabe des Ziels zu schreiben und von ihr zu lesen.
    • Das Remote-Ziel muss PowerShell 3 oder höher (bis zu 5,1) haben.
    • Für MID-Server, die WinRM oder WMI verwenden und das Skript auf das Remote-Ziel kopieren, Die Umfänge „MachinePolicy“ und „Anwenderrichtlinie“ müssen auf „nicht definiert“ festgelegt werden . Wenn das Skript nicht kopiert wird, kann die Ausführungsrichtlinie eine andere Einrichtung sein, die einschränkend ist.

    Weitere Informationen finden Sie unter Richten Sie MID-Server für die Verwendung von PowerShell ein.

    Anwendungs-Discovery

    Das PowerShell-Remoteausführungs-Framework bietet Optionen zum Kopieren von Dateien auf das Remoteziel, wenn ein Scan ausgeführt wird. Das Kopieren von Dateien in das Ziel ist für Probes wie Windows – Datei-Discovery wichtig, da das Skript aufgerufen wird Selbst auf dem Remote-Ziel, um einen neuen Prozess zu starten. MID-Server, die WMI zur Remote-Ausführung von Skripts verwenden, können bei launchProcess einen Fehler auftreten, wenn das Skript zu lang ist. Durch das Kopieren des Skripts in das Remote-Ziel wird dieser Fehler behoben. Das Kopieren eines Skripts auf ein Remote-Ziel kann dazu führen, dass Antivirensoftware auf dem Ziel das Skript kennzeichnet. Um Probleme mit Antivirensoftware zu vermeiden, fügen Sie die Skripts der Liste „zulässig“ in der Antivirus-App hinzu.

    Probe-Konfiguration

    Im Folgenden finden Sie die Konfigurationsseite für die Probe „Windows – aktive Verbindungen“, die in der multiprobe „Windows – ADM“ enthalten ist.

    Windows: Probe-Konfigurationsseite für aktive Verbindungen

    Die Skript Remote ausführen Das Kontrollkästchen ist sichtbar, wenn das ECC-Warteschlangenthema WMIRunner oder PowerShell ist. Wenn diese Option aktiviert ist, wird das Skript auf dem Remote-Ziel ausgeführt. Andernfalls wird das Skript auf dem MID-Server ausgeführt.

    Die Skript in Ziel kopieren Kontrollkästchen ist sichtbar, wenn Skript Remote ausführen Ist aktiviert. Wenn Skript in Ziel kopieren Ist aktiviert, wird das Skript in das Ziel kopiert und auf diesem ausgeführt. Wenn Skript in Ziel kopieren Ist deaktiviert, wird das Skript auf dem Ziel ausgeführt, ohne es zu kopieren.

    PowerShell-Probe-Entwicklung

    Das PowerShell-Remote-Ausführungsframework ist eine einheitliche Methode zur Ausführung von PowerShell-Skripts, die in einem Probe-Parameter enthalten sind, auf einem Remote-Zielserver. Das Framework beseitigt die Notwendigkeit für Probe-Entwickler, ihren eigenen Remote-Ausführungscode zu schreiben, was zu Inkonsistenzen zwischen Entwicklern führen kann. Der Probe-Entwickler schreibt das Skript so, als ob die Probe Informationen lokal sammelte, da das Remote-Ausführungs-Framework automatisch die Remote-Skriptausführung verarbeitet.

    Das Framework verarbeitet die Remote-Ausführung, unabhängig davon, ob der MID-Server für die Verwendung von WMI oder WinRM konfiguriert ist. Wenn der MID-Server für WMI konfiguriert ist, verwendet die Probe launchProcess, um Befehle auf dem Remote-Ziel auszuführen. Die Verwendung von launchProcess kompliziert die Remote-Ausführung und kann zu Fehlern führen. Ein für WinRM konfigurierter MID-Server verwendet jedoch nicht launchProcess und ist daher effizienter und stabiler.