PowerShell Remoting pour Discovery

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 2 minutes de lecture

    • Les développeurs de sonde peuvent utiliser le cadre de travail d'exécution à distance de PowerShell pour gérer automatiquement l'exécution à distance des scripts sur les appareils cibles. Le cadre de travail unifié supprime les incohérences dans l'exécution à distance, augmente l'efficacité et améliore la stabilité.

    Besoins

    Pour utiliser le cadre de travail d'exécution à distance de PowerShell, vous devez respecter les conditions suivantes :
    • Le MID Server doit être en mesure d'écrire et de lire à partir du partage réseau de la cible.
    • La cible distante doit disposer de PowerShell 3 ou d'une version ultérieure (jusqu'à la version 5.1).
    • Pour les MID Servers utilisant WinRM ou WMI qui choisissent de copier le script sur la cible distante, les champs d'application MachinePolicy et UserPolicy doivent être paramétrés sur Non définis. Si le script n'est pas copié, la politique d'exécution peut être définie sur n'importe quel autre paramètre (jusqu'à Restrictif).

    Consultez Configurer des MID Servers pour utiliser PowerShell pour plus d'informations.

    Détection d'application

    Le cadre de travail d'exécution à distance de PowerShell est doté d'options permettant de copier des fichiers sur la cible distante lors de l'exécution d'une analyse. La copie de fichiers sur la cible est importante pour les sondes telles que Windows — Détection de fichier, car son script s'appelle lui-même sur la cible distante pour engendrer un nouveau processus. Les MID Servers utilisant WMI pour exécuter des scripts à distance peuvent rencontrer une erreur avec launchProcess si le script est trop long. La copie du script sur la cible distante résout cette erreur. La copie d'un script sur une cible distante peut entraîner le marquage du script par le logiciel antivirus de la cible. Pour éviter tout problème avec les logiciels antivirus, ajoutez les scripts à la liste autorisée dans l'application antivirus.

    Configuration de la sonde

    Voici la page de configuration de la sonde Windows — Connexions actives, qui est incluse dans la multisonde Windows — ADM.

    Page de configuration de la sonde Windows — Connexions actives

    La case à cocher Exécuter le script à distance est visible lorsque le sujet de file d'attente ECC est WMIRunner ou PowerShell. Lorsque vous cochez cette case, le script s'exécute sur la cible distante. Sinon, le script s'exécute sur le MID Server.

    La case à cocher Copier le script sur la cible est visible lorsque vous activez l'option Exécuter le script à distance. Si vous cochez la case Copier le script sur la cible, le script est copié et exécuté sur la cible. Si vous ne cochez pas la case Copier le script sur la cible, le script est exécuté sur la cible sans le copier.

    Développement de sondes PowerShell

    Le cadre de travail d'exécution à distance de PowerShell est une méthode unifiée d'exécution de scripts PowerShell, contenus dans un paramètre de sonde, sur un serveur cible distant. Grâce à ce cadre de travail, les développeurs de sondes n'ont plus besoin d'écrire leur propre code d'exécution à distance (ce qui pouvait entraîner des incohérences entre les développeurs). Le développeur de sonde écrit le script comme si la sonde collectait des informations localement, car le cadre de travail d'exécution à distance gère automatiquement l'exécution de scripts à distance.

    Le cadre de travail gère l'exécution à distance, que le MID Server soit configuré pour utiliser WMI ou WinRM. Si le MID Server est configuré pour WMI, la sonde utilise launchProcess pour exécuter des commandes sur la cible distante. L'utilisation de launchProcess complique l'exécution à distance et peut entraîner des échecs. En revanche, un MID Server configuré pour WinRM n'utilise pas launchProcess ; il est donc plus efficace et plus stable.