PowerShell für Discovery und Service-Mapping
MID Server verwenden PowerShell und PowerShell Remoting für den Zugriff auf Konfigurationselemente (CIs) während der horizontalen Erkennung und der Erkennung von oben nach unten. Überprüfen Sie die MID Server-Parameter und Skripteinbindungen, Probe-Parameter und Anmeldeinformationen für die Verwendung von PowerShell.
PowerShell dient zur Steuerung und Automatisierung der Verwaltung von Windows-Servern und -Anwendungen.
MID Servers können PowerShell für die direkte Kommunikation mit Windows-Servern verwenden, wobei sowohl WMI- als auch WinRM-Protokolle verwendet werden. Für Windows-Services, die das WinRM-Protokoll verwenden, richtet der PowerShell-Prozess eine sichere PSSession ein (PowerShell-Remoting-Sitzung) ein, bis MID-Server die Abfrage eines Windows-Servers beendet. Bei Windows-Servern, die das WMI-Protokoll verwenden, sendet der PowerShell-Prozess jeden PowerShell-Befehl mit Anmeldeinformationen.
PowerShell ist auch die bevorzugte Methode für die Erkennung in mehreren Windows-Domänen. PowerShell ermöglicht es einem einzelnen MID-Server, sich auf Servern in verschiedenen Domänen mit in der Instanz gespeicherten Anmeldeinformationen zu authentifizieren.
Wenn Sie die MID Servers nicht für die Verwendung von PowerShell und PowerShell Remoting konfigurieren, verwenden die MID Servers WMI.
Wie PowerShell Discovery funktioniert
Die folgenden Beschreibungen erläutern, wie MID Server PowerShell zum Bereitstellen von Probes verwenden.- Probe und Sensor
Wenn eine Windows-Maschine mit PowerShell klassifiziert und eine MSSQL-Instanz erkannt wird, wird eine Probe namens Windows - MSSQL gestartet. Die Probe gibt die SQL-Datenbankkataloge und -version an einen passenden Sensor zurück.
- Probe Parameter
Der Probe-Parameter WMI_ActiveConnections.ps1 enthält ein Skript, das netstat.exe auf einem Zielserver ausführt, wenn PowerShell aktiviert ist. Dieses Skript extrahiert die Informationen zu Windows-Serververbindungen, z. B. Prozess-IDs, Ports und IP-Adressen.
- Berechtigungen
Discovery verwendet PowerShell-Anmeldeinformationen von Windows aus der Tabelle „Anmeldeinformationen“ [discovery_credentials] oder die Anmeldeinformationen des Domänenadministrators des MID-Server-Services. Wenn Discovery PowerShell-Anmeldeinformationen in der Anmeldeinformationstabelle des Typs ( Windows) Verwendet die Anmeldeinformationen des MID-Server Service.
- MID-Server-Skripteinbindungen
- Die folgenden Skripteinbindungen wurden für PowerShell-Erkennungen hinzugefügt. Diese Skripts werden auf dem MID Server ausgeführt, um die Skripte zu generieren, die Discovery für WMIRunner und PowerShell verwendet.
- GenerateWMIScriptJS: Generiert ein Javascript-Skript für die Probe „WMIRunner“.
- GenerateWMIScriptPS1: Generiert ein PowerShell-Skript für die PowerShell-Erkennung.
- MID Server-Parameter für PowerShell
- Optionale Parameter für den MID Server finden Sie unter MID Server-Parameter für PowerShell. Nachdem Sie die Einstellung für einen Parameter geändert haben, müssen Sie den MID-Server-Service neu starten.
PowerShell-Versionsanforderungen
- Version 3.0
- Regelmäßig Discovery
- Application Dependency Mapping (ADM)
- Dateibasierte Discovery
- PowerShell 3.0 unterstützt Windows Server 2003 nicht.
- Version 4.0
- Regelmäßig Discovery
- Application Dependency Mapping (ADM)
- Dateibasierte Discovery
- Version 5.0
- Regelmäßig Discovery
- Application Dependency Mapping (ADM)
- Dateibasierte Discovery
Windows PowerShell-Ausführungsrichtlinien
- Restricted: Es können keine Skripte ausgeführt werden. Windows PowerShell kann nur im interaktiven Modus verwendet werden.
- AllSigned: Nur Skripte, die von einem vertrauenswürdigen Herausgeber signiert wurden, können ausgeführt werden.
- RemoteSigned: Heruntergeladene Skripte müssen von einem vertrauenswürdigen Herausgeber signiert werden, bevor sie ausgeführt werden können.
- Unrestricted: Keine Einschränkungen, alle Skripte können ausgeführt werden.