Sut i reoli eich cyfrifiadur personol o'ch ffôn symudol gan ddefnyddio PowerShell Remoting

Efallai eich bod eisoes yn awtomeiddio llawer o dasgau gyda PowerShell yn lleol, ond ble ydych chi wir? Mae PowerShell Remoting yn gwneud y gwahaniaeth Mae'n digwydd pan fyddwch chi'n rhedeg gorchmynion ar beiriannau o bell, boed yn ychydig neu'n gannoedd, yn rhyngweithiol neu'n gyfochrog. Mae'r dechnoleg hon, sydd ar gael ers Windows PowerShell 2.0 ac wedi'i gwella ers 3.0, yn seiliedig ar WS-Management (WinRM) ac yn trosi PowerShell mewn sianel rheoli o bell gadarn, graddadwy a diogel.

Yn gyntaf oll, mae'n bwysig deall dau syniad allweddol: cmdlets gyda -ParamedrEnwCyfrifiadur (e.e., Get-Process neu Get-Service) nid yw'r llwybr hirdymor a argymhellir gan Microsoft, ac nid yw PowerShell Remoting yn gweithio fel "hac". Mewn gwirionedd, yn gorfodi dilysu cydfuddiannol, yn archwilio logiau ac yn parchu eich caniatâd arferol, heb storio manylion mewngofnodi na rhedeg unrhyw beth yn hudolus gyda breintiau uwch.

Beth yw PowerShell Remoting a pham ei ddefnyddio?

gyda Cywiro PowerShell gallwch chi gweithredu bron unrhyw orchymyn o bell y gallech chi ei lansio mewn sesiwn leol, o holi gwasanaethau i ddefnyddio ffurfweddiadau, a gwneud hynny ar gannoedd o gyfrifiaduron ar unwaith. Yn wahanol i cmdlets sy'n derbyn -ComputerName (mae llawer yn defnyddio DCOM/RPC), mae Remoting yn teithio trwy WS-Man (HTTP/HTTPS), sy'n fwy cyfeillgar i waliau tân, yn caniatáu paraleliaeth ac yn dadlwytho gwaith i'r gwesteiwr o bell, nid y cleient.

Mae hyn yn trosi'n dair mantais ymarferol: perfformiad gwell mewn gweithrediadau torfol, llai o ffrithiant mewn rhwydweithiau gyda rheolau cyfyngol a model diogelwch sy'n gyson â Kerberos/HTTPS. Ar ben hynny, drwy beidio â dibynnu ar bob cmdlet i weithredu ei reolaeth o bell ei hun, Remoting Mae'n gweithio ar gyfer unrhyw sgript neu rôl sydd ar gael yn y gyrchfan.

Yn ddiofyn, mae Gweinyddion Windows diweddar yn dod gyda Remoting wedi'i alluogi; yn Windows 10/11 rydych chi'n ei actifadu gydag un cmdlet. Ac ie, gallwch ddefnyddio manylion mewngofnodi amgen, sesiynau parhaus, pwyntiau terfyn personol, a mwy.

Nodyn: Nid yw rheoli o bell yn gyfystyr ag agor popeth. Yn ddiofyn, gweinyddwyr yn unig Gallant gysylltu, a chaiff gweithredoedd eu gweithredu o dan eu hunaniaeth. Os oes angen dirprwyo manwl arnoch, mae pwyntiau terfyn personol yn caniatáu ichi ddatgelu'r gorchmynion hanfodol yn unig.

Sut mae'n gweithio y tu mewn: WinRM, WS-Man a phorthladdoedd

Mae PowerShell Remoting yn gweithio mewn model cleient-gweinydd. Mae'r cleient yn anfon ceisiadau WS-Management drwy HTTP (5985/TCP) neu HTTPS (5986/TCP)Ar y targed, mae'r gwasanaeth Windows Remote Management (WinRM) yn gwrando, yn datrys y pwynt terfyn (ffurfweddiad sesiwn), ac yn cynnal y sesiwn PowerShell yn y cefndir (proses wsmprovhost.exe), dychwelyd canlyniadau cyfresol i'r cleient mewn XML drwy SOAP.

Y tro cyntaf i chi alluogi Remoting, caiff gwrandawyr eu ffurfweddu, caiff yr eithriad wal dân priodol ei agor, a chaiff ffurfweddiadau sesiwn eu creu. O PowerShell 6+, mae sawl rhifyn yn cydfodoli, a Galluogi-PSRemoting Yn cofrestru pwyntiau terfyn gydag enwau sy'n adlewyrchu'r fersiwn (er enghraifft, PowerShell.7 a PowerShell.7.xy).

Os mai dim ond HTTPS rydych chi'n ei ganiatáu yn eich amgylchedd, gallwch chi greu gwrandäwr diogel gyda thystysgrif a gyhoeddwyd gan CA dibynadwy (argymhellir). Fel arall, dewis arall yw defnyddio TrustedHosts mewn modd cyfyngedig, sy'n ymwybodol o risg, ar gyfer senarios grŵp gwaith neu gyfrifiaduron nad ydynt yn rhan o'r parth.

Sylwch y gall Powershell Remoting gydfodoli â cmdlets gyda -ComputerName, ond Microsoft yn gwthio WS-Man fel y ffordd safonol a diogel ar gyfer y dyfodol ar gyfer gweinyddu o bell.

Galluogi PowerShell Remoting a Pharamedrau Defnyddiol

Ar Windows, agorwch PowerShell fel gweinyddwr a rhedeg Galluogi-PSRemotingMae'r system yn cychwyn WinRM, yn ffurfweddu cychwyn awtomatig, yn galluogi'r gwrandäwr, ac yn creu'r rheolau wal dân priodol. Ar gleientiaid sydd â phroffil rhwydwaith cyhoeddus, gallwch ganiatáu hyn yn fwriadol gyda -SgipioGwirioProffilRhwydwaith (ac yna atgyfnerthu â rheolau penodol):

Enable-PSRemoting
Enable-PSRemoting -Force
Enable-PSRemoting -SkipNetworkProfileCheck -Force

Mae'r cystrawen hefyd yn caniatáu, -Cadarnhau y -BethOs ar gyfer rheoli newid. Cofiwch: Dim ond ar Windows y mae ar gael, a rhaid i chi redeg y consol uchel. Mae'r rheolau a grëwyd yn wahanol rhwng rhifynnau Gweinydd a Chleient, yn enwedig ar rwydweithiau cyhoeddus, lle maent yn gyfyngedig i'r is-rwyd leol yn ddiofyn oni bai eich bod yn ehangu'r cwmpas (er enghraifft, gyda Set-NetFirewallRule).

I restru ffurfweddiadau sesiwn sydd eisoes wedi'u recordio a chadarnhau bod popeth yn barod, defnyddiwch Get-PSSessionConfigurationOs yw pwyntiau terfyn PowerShell.x a Workflow yn ymddangos, mae'r fframwaith Remoting yn weithredol.

Moddau defnydd: 1 i 1, 1 i lawer, a sesiynau parhaus

Pan fyddwch angen consol rhyngweithiol ar un cyfrifiadur, trowch at Enter-PSSessionBydd yr anogwr yn ymddangos, a bydd popeth rydych chi'n ei weithredu yn mynd i'r gwesteiwr anghysbell. Gallwch ailddefnyddio manylion mewngofnodi gyda Get-Credential i osgoi eu hail-nodi'n gyson:

$cred = Get-Credential
Enter-PSSession -ComputerName dc01 -Credential $cred
Exit-PSSession

Os mai'r hyn rydych chi'n chwilio amdano yw anfon gorchmynion i sawl cyfrifiadur ar unwaith, yr offeryn yw Gwahodd-Reoli gyda bloc sgript. Yn ddiofyn, mae'n lansio hyd at 32 o gysylltiadau cydamserol (addasadwy gyda -ThrottleLimit). Dychwelir y canlyniadau fel gwrthrychau wedi'u dad-gyfresoli (heb ddulliau “byw”):

Invoke-Command -ComputerName dc01,sql02,web01 -ScriptBlock { Get-Service -Name W32Time } -Credential $cred

Angen galw dull fel .Stop() neu .Start()? Gwnewch hynny. y tu mewn i'r bloc sgript yn y cyd-destun anghysbell, nid y gwrthrych dad-gyfresol lleol, a dyna ni. Os oes cmdlet cyfatebol (Stop-Service/Start-Service), fel arfer mae'n well ei ddefnyddio er mwyn eglurder.

Er mwyn osgoi cost cychwyn a gorffen sesiynau ar bob galwad, crëwch Sesiwn PSS Parhaus a'i ailddefnyddio ar draws sawl galwad. Defnyddiwch New-PSSession i greu'r cysylltiad, a defnyddiwch Invoke-Command-Session i ailddefnyddio'r twnnel. Peidiwch ag anghofio ei gau gyda Remove-PSSession pan fyddwch wedi gorffen.

Cyfresoli, terfynau ac arferion da

Manylyn pwysig: wrth deithio, mae gwrthrychau'n "+gwastatáu" ac yn cyrraedd fel cipluniau wedi'u dad-gyfresoli, gyda phriodweddau ond dim dulliau. Mae hyn yn fwriadol ac yn arbed lled band, ond mae'n golygu na allwch ddefnyddio aelodau sy'n gweithredu rhesymeg (fel .Kill()) ar y copi lleol. Mae'r ateb yn amlwg: galw'r dulliau hynny. o bell ac os mai dim ond meysydd penodol sydd eu hangen arnoch, hidlwch gyda Select-Object i anfon llai o ddata.

Mewn sgriptiau, osgoi Enter-PSSession (a fwriadwyd ar gyfer defnydd rhyngweithiol) a defnyddiwch Invoke-Command gyda blociau sgript. Os ydych chi'n rhagweld galwadau lluosog neu os oes angen i chi gadw'r cyflwr (newidynnau, modiwlau a fewnforiwyd), defnyddio sesiynau parhaus ac, os yw'n berthnasol, eu datgysylltu/ailgysylltu gyda Disconnect-PSSession/Connect-PSSession yn PowerShell 3.0+.

Dilysu, HTTPS, a Senarios Oddi ar y Parth

Mewn parth, dilysu brodorol yw Kerberos Ac mae popeth yn llifo. Pan na all y ddyfais wirio enw'r gweinydd, neu pan fyddwch chi'n cysylltu ag IP neu alias CNAME, mae angen un o'r ddau opsiwn hyn arnoch chi: 1) Gwrandäwr HTTPS gyda thystysgrif wedi'i gyhoeddi gan CA rydych chi'n ymddiried ynddo, neu 2) ychwanegu'r gyrchfan (enw neu IP) at TrustedHosts a defnyddio manylion mewngofnodiMae'r ail opsiwn yn analluogi dilysu cydfuddiannol ar gyfer y gwesteiwr hwnnw, felly mae'n lleihau'r cwmpas i'r lleiafswm sy'n angenrheidiol.

Mae sefydlu gwrandäwr HTTPS yn gofyn am dystysgrif (yn ddelfrydol o'ch PKI neu CA cyhoeddus), wedi'i gosod yn y storfa dîm ac wedi'i rhwymo i WinRM. Yna caiff Porthladd 5986/TCP ei agor yn y wal dân ac, o'r cleient, ei ddefnyddio. -DefnyddioSSL mewn cmdlets anghysbell. Ar gyfer dilysu tystysgrif cleient, gallwch fapio tystysgrif i gyfrif lleol a chysylltu â -Ôl Bawd Tystysgrif (Nid yw Enter-PSSession yn derbyn hyn yn uniongyrchol; crëwch y sesiwn yn gyntaf gyda New-PSSession.)

Yr ail hop a dirprwyo cymwysterau

Mae'r "hop dwbl" enwog yn ymddangos pan fydd angen i'r gweinydd hwnnw gael mynediad at ... ar ôl cysylltu â gweinydd. trydydd adnodd ar eich rhan (e.e., cyfran SMB). Mae dau ddull o ganiatáu hyn: CredSSP a dirprwyo Kerberos cyfyngedig sy'n seiliedig ar adnoddau.

gyda CredSSP Rydych chi'n galluogi'r cleient a'r cyfryngwr i ddirprwyo manylion mewngofnodi yn benodol, ac rydych chi'n gosod polisi (GPO) i ganiatáu dirprwyo i gyfrifiaduron penodol. Mae'n gyflym i'w ffurfweddu, ond yn llai diogel oherwydd bod y manylion mewngofnodi yn teithio mewn testun clir o fewn y twnnel wedi'i amgryptio. Cyfyngwch ffynonellau a chyrchfannau bob amser.

Y dewis arall a ffefrir yn y parth yw'r dirprwyaeth Kerberos gyfyngedig (dirprwyaeth gyfyngedig yn seiliedig ar adnoddau) mewn AD modern. Mae hyn yn caniatáu i'r pwynt terfyn ddibynnu ar dderbyn dirprwyaeth o'r pwynt canol ar gyfer gwasanaethau penodol, gan osgoi datgelu eich hunaniaeth ar y cysylltiad cychwynnol. Mae angen rheolwyr parth diweddar ac RSAT wedi'i ddiweddaru.

Pwyntiau Terfynol Personol (Ffurfweddiadau Sesiwn)

Un o berlau Remoting yw gallu cofrestru pwyntiau cysylltu gyda galluoedd a therfynau wedi'u teilwraYn gyntaf rydych chi'n cynhyrchu ffeil gyda New-PSSessionConfigurationFile (modiwlau i'w llwytho ymlaen llaw, swyddogaethau gweladwy, enwau eraill, ExecutionPolicy, LanguageMode, ac ati), ac yna rydych chi'n ei chofrestru gyda Register-PSSessionConfiguration, lle gallwch chi osod RhedegFelCredential a chaniatadau (rhyngwyneb SDDL neu GUI gyda -ShowSecurityDescriptorUI).

Ar gyfer dirprwyo diogel, dim ond datgelu'r hyn sy'n angenrheidiol gyda -VisibleCmdlets/-VisibleFunctions ac analluogi sgriptio rhydd os yw'n briodol gyda Modd IaithIaith Gyfyngedig neu Dim Iaith. Os byddwch chi'n gadael Iaith Llawn, gallai rhywun ddefnyddio bloc sgript i alw gorchmynion heb eu datgelu, a fydd, ynghyd â RunAs, byddai'n dwllDyluniwch y pwyntiau terfyn hyn gyda chrib mân a dogfennwch eu cwmpas.

Parthau, GPOs, a Grŵpware

Yn AD gallwch ddefnyddio Powershell Remoting ar raddfa fawr gyda GPO: caniatáu ffurfweddu awtomatig gwrandawyr WinRM, gosodwch y gwasanaeth i Awtomatig, a chreu'r eithriad wal dân. Cofiwch fod GPOs yn newid gosodiadau, ond nid ydyn nhw bob amser yn troi'r gwasanaeth ymlaen ar unwaith; weithiau mae angen i chi ailgychwyn neu orfodi gpupdate.

Mewn grwpiau gwaith (heb fod yn rhan o'r parth), ffurfweddwch Remoting gyda Galluogi-PSRemoting, gosodwch TrustedHosts ar y cleient (winrm set winrm/config/client @{TrustedHosts=»host1,host2″}) a defnyddiwch gymwysterau lleol. Ar gyfer HTTPS, gallwch chi osod tystysgrifau hunan-lofnodedig, er ei bod hi'n cael ei hargymell defnyddio CA dibynadwy a dilysu'r enw y byddwch chi'n ei ddefnyddio yn -ComputerName yn y dystysgrif (cyfatebiaeth CN/SAN).

Cmdlets allweddol a chystrawen

Mae llond llaw o gomandos yn gorchuddio'r 90% o senarios dyddiolI actifadu/dadactifadu:

Enable-PSRemoting    
Disable-PSRemoting

Sesiwn ryngweithiol 1 i 1 ac allanfa:

Enter-PSSession -ComputerName SEC504STUDENT 
Exit-PSSession

1 i lawer, gyda chyfochrogrwydd a chymwysterau:

Invoke-Command -ComputerName dc01,sql02,web01 -ScriptBlock { Get-Service W32Time } -Credential $cred

Sesiynau parhaus ac ailddefnyddio:

$s = New-PSSession -ComputerName localhost -ConfigurationName PowerShell.7
Invoke-Command -Session $s -ScriptBlock { $PSVersionTable }
Remove-PSSession $s

Profi a WinRM Defnyddiol:

Test-WSMan -ComputerName host
winrm get winrm/config
winrm enumerate winrm/config/listener
winrm quickconfig -transport:https

Nodiadau ymarferol ar wal dân, rhwydwaith a phorthladdoedd

Agorwch 5985/TCP ar gyfer HTTP a 5986/TCP ar gyfer HTTPS ar y cyfrifiadur targed ac ymlaen unrhyw wal dân ganolraddAr gleientiaid Windows, mae Enable-PSRemoting yn creu rheolau ar gyfer proffiliau parth a phreifat; ar gyfer proffiliau cyhoeddus, mae wedi'i gyfyngu i'r is-rwyd leol oni bai eich bod yn addasu'r cwmpas gyda Set-NetFirewallRule -RemoteAddress Any (gwerth y gallwch ei asesu yn seiliedig ar eich risg).

Os ydych chi'n defnyddio integreiddiadau SOAR/SIEM sy'n rhedeg gorchmynion o bell (e.e. o XSOAR), gwnewch yn siŵr bod gan y gweinydd Datrysiad DNS i'r gwesteiwyr, cysylltedd i 5985/5986, a manylion mewngofnodi gyda digon o ganiatâd lleol. Mewn rhai achosion, efallai y bydd angen addasu dilysiad NTLM/Sylfaenol (e.e., defnyddio defnyddiwr lleol yn Sylfaenol gydag SSL).

Paramedrau Galluogi-PSRemoting (Crynodeb Gweithredol)

-Mae Cadarnhau yn gofyn am gadarnhad cyn gweithredu; -Mae Gorfodi yn anwybyddu'r rhybuddion a gwneud y newidiadau angenrheidiol; -Mae SkipNetworkProfileCheck yn galluogi Remoting ar rwydweithiau cleientiaid cyhoeddus (wedi'i gyfyngu'n ddiofyn i'r is-rwydwaith lleol); -Mae WhatIf yn dangos i chi beth fyddai'n digwydd heb gymhwyso newidiadau. Yn ogystal, fel unrhyw cmdlet safonol, mae'n cefnogi paramedrau cyffredin (-Llythrennog, -GweithredGwall, ac ati).

Cofiwch nad yw “Galluogi” yn creu gwrandawyr na thystysgrifau HTTPS i chi; os oes angen amgryptio o'r dechrau i'r diwedd arnoch o'r cychwyn a dilysu yn seiliedig ar tystysgrifau, ffurfweddwch y gwrandäwr HTTPS a dilyswch CN/SAN yn erbyn yr enw y byddwch chi'n ei ddefnyddio yn -ComputerName.

Gorchmynion Pell WinRM a PowerShell Defnyddiol

Rhai eitemau hanfodol wrth ochr y gwely ar gyfer bywyd bob dydd:

winrm get winrm/config
winrm enumerate winrm/config/listener
Set-NetFirewallRule -Name 'WINRM-HTTP-In-TCP' -RemoteAddress Any
Test-WSMan -ComputerName host -Authentication Default -Credential (Get-Credential)
New-PSSession -ComputerName host 
Enter-PSSession -ComputerName host 
Enable-PSRemoting -SkipNetworkProfileCheck -Force

Wrth reoli Windows ar raddfa fawr, mae Remoting yn caniatáu ichi symud o "gyfrifiadur-i-gyfrifiadur" i ddull datganiadol a diogel. Drwy gyfuno sesiynau parhaus, dilysu cryf (Kerberos/HTTPS), pwyntiau terfyn cyfyngedig, ac olion clir ar gyfer diagnosteg, rydych chi'n ennill cyflymder a rheolaeth heb aberthu diogelwch nac archwilio. Os ydych chi hefyd yn safoni actifadu GPO ac yn meistroli achosion arbennig (TrustedHosts, hop dwbl, tystysgrifau), bydd gennych chi blatfform o bell cadarn ar gyfer gweithrediadau dyddiol ac ymateb i ddigwyddiadau.

Erthygl gysylltiedig:

Sut i amddiffyn eich cyfrifiadur rhag meddalwedd faleisus anweledig fel XWorm a NotDoor

Daniel Terrace

Roedd golygydd yn arbenigo mewn technoleg a materion rhyngrwyd gyda mwy na deng mlynedd o brofiad mewn gwahanol gyfryngau digidol. Rwyf wedi gweithio fel golygydd a chrëwr cynnwys ar gyfer cwmnïau e-fasnach, cyfathrebu, marchnata ar-lein a hysbysebu. Rwyf hefyd wedi ysgrifennu ar wefannau economeg, cyllid a sectorau eraill. Fy ngwaith hefyd yw fy angerdd. Nawr, trwy fy erthyglau yn Tecnobits, Rwy'n ceisio archwilio'r holl newyddion a chyfleoedd newydd y mae byd technoleg yn eu cynnig i ni bob dydd i wella ein bywydau.