Conas do ríomhaire a rialú ó do ghuthán póca ag baint úsáide as PowerShell Remoting

B’fhéidir go bhfuil go leor tascanna uathoibrithe agat cheana féin le PowerShell go háitiúil ach cá háit a ndéanann tú i ndáiríre? Déanann cianrialtacht PowerShell an difríocht Is é an rud a tharlaíonn ná nuair a ritheann tú orduithe ar mheaisíní iargúlta, bíodh siad cúpla nó na céadta, go hidirghníomhach nó go comhthreomhar. Tá an teicneolaíocht seo, atá ar fáil ó Windows PowerShell 2.0 agus feabhsaithe ó 3.0, bunaithe ar WS-Management (WinRM) agus déanann sí comhshó... PowerShell i gcainéal bainistíochta cianda láidir, inscálaithe agus slán.

Ar an gcéad dul síos, tá sé tábhachtach dhá phríomhsmaoineamh a thuiscint: cmdlets le Paraiméadar -AinmRíomhaire (m.sh., Get-Process nó Get-Service) ní hé an bealach fadtéarmach a mholann Microsoft, agus ní oibríonn PowerShell Remoting mar “hac”. Déanta na fírinne, forfheidhmíonn fíordheimhniú frithpháirteach, logaí iniúchta agus urramaíonn sé do cheadanna is gnách, gan dintiúir a stóráil ná aon rud a rith go draíochtúil le sárphribhléidí.

Cad is PowerShell Remoting ann agus cén fáth a n-úsáidtear é?

le Remoting PowerShell is féidir leat beagnach aon ordú a fhorghníomhú go cianda gur féidir leat a sheoladh i seisiún áitiúil, ó sheirbhísí a cheistiú go cumraíochtaí a imscaradh, agus é sin a dhéanamh ar na céadta ríomhaire ag an am céanna. Murab ionann agus cmdlets a ghlacann le -ComputerName (úsáideann go leor acu DCOM/RPC), Cianda taistealaíonn trí WS-Man (HTTP/HTTPS), atá níos cairdiúla do bhalla dóiteáin, ceadaíonn sé comhthreomhaireacht agus aistríonn sé an obair chuig an óstach cianda, ní chuig an gcliant.

Aistríonn sé seo go trí bhuntáiste phraiticiúla: feidhmíocht níos fearr i bhforghníomhuithe ollmhóra, níos lú frithchuimilte i líonraí le rialacha sriantacha agus samhail slándála atá comhsheasmhach le Kerberos/HTTPS. Ina theannta sin, trí gan a bheith ag brath ar gach cmdlet chun a chianrialtacht féin a chur i bhfeidhm, Cianda Oibríonn sé d'aon script nó ról atá ar fáil ag an gceann scríbe.

De réir réamhshocraithe, tagann Freastalaithe Windows le déanaí le cianrialtacht cumasaithe; i Windows 10/11 gníomhachtaíonn tú é le cmdlet aonair. Agus tá, is féidir leat dintiúir mhalartacha, seisiúin bhuana, críochphointí saincheaptha, agus tuilleadh a úsáid.

Nóta: Ní hionann cianrialtacht agus gach rud a oscailt. De réir réamhshocraithe, riarthóirí amháin Is féidir leo ceangal, agus déantar gníomhartha faoina gcéannacht. Más gá duit tarmligean mionsonraithe, ligeann críochphointí saincheaptha duit na horduithe riachtanacha amháin a nochtadh.

Conas a oibríonn sé istigh: WinRM, WS-Man agus calafoirt

Oibríonn PowerShell Remoting i samhail cliant-fhreastalaí. Seolann an cliant iarratais WS-Management trí HTTP (5985/TCP) nó HTTPS (5986/TCP)Ar an sprioc, éisteann an tseirbhís Bainistíochta Cianda Windows (WinRM), réitíonn sí an críochphointe (cumraíocht seisiúin), agus óstálann sí an seisiún PowerShell sa chúlra (próiseas wsmprovhost.exe), ag filleadh torthaí sraitheacha chuig an gcliant in XML trí SOAP.

An chéad uair a chuireann tú Cianda ar siúl, cumraítear éisteoirí, osclaítear an eisceacht balla dóiteáin chuí, agus cruthaítear cumraíochtaí seisiúin. Ó PowerShell 6+, bíonn il-eagráin ann le chéile, agus Cumasú-PSRemoting Cláraíonn sé críochphointí le hainmneacha a léiríonn an leagan (mar shampla, PowerShell.7 agus PowerShell.7.xy).

Mura gceadaíonn tú ach HTTPS i do thimpeallacht, is féidir leat a chruthú éisteoir sábháilte le deimhniú arna eisiúint ag ÚD iontaofa (molta). Nó, is rogha eile é TrustedHosts a úsáid ar bhealach teoranta, atá feasach ar riosca, i gcásanna grúpa oibre nó ríomhairí nach ríomhairí fearainn iad.

Tabhair faoi deara gur féidir le Powershell Remoting a bheith ann ag an am céanna le cmdlets le -ComputerName, ach Cuireann Microsoft WS-Man chun cinn mar an bealach caighdeánach agus atá réidh don todhchaí le haghaidh riarachán cianda.

Cumasú PowerShell Remoting agus Paraiméadair Úsáideacha

Ar Windows, oscail PowerShell mar riarthóir agus rith Cumasú-PSRemotingTosaíonn an córas WinRM, cumraíonn sé an tosach uathoibríoch, cumasaíonn sé an éisteoir, agus cruthaíonn sé na rialacha balla dóiteáin cuí. Ar chliaint a bhfuil próifíl líonra poiblí acu, is féidir leat é seo a cheadú d'aon ghnó le -SeiceáilPróifílLíonraScipeáil (agus ansin neartú le rialacha sonracha):

Enable-PSRemoting
Enable-PSRemoting -Force
Enable-PSRemoting -SkipNetworkProfileCheck -Force

Ceadaíonn an comhréir freisin, -Deimhnigh y -Cad má le haghaidh rialú athraithe. Cuimhnigh: Níl sé ar fáil ach ar Windows, agus ní mór duit an consól ardaithe a rith. Tá difríocht idir na rialacha a chruthaítear idir eagráin Freastalaí agus Cliant, go háirithe ar líonraí poiblí, áit a bhfuil siad teoranta don fho-líonra áitiúil de réir réamhshocraithe mura leathnaíonn tú an raon feidhme (mar shampla, le Set-NetFirewallRule).

Chun cumraíochtaí seisiúin atá taifeadta cheana féin a liostáil agus a dheimhniú go bhfuil gach rud réidh, bain úsáid as Faigh-PSSessionConfigurationMá tá críochphointí PowerShell.x agus Workflow le feiceáil, tá an creatlach Cianda ag feidhmiú.

Modhanna úsáide: 1 go 1, 1 go go leor, agus seisiúin leanúnacha

Nuair a bhíonn consól idirghníomhach uait ar ríomhaire amháin, téigh chuig Cuir isteach-PSSessionBeidh an leid le feiceáil, agus rachaidh gach rud a fhorghníomhóidh tú chuig an óstach cianda. Is féidir leat dintiúir a athúsáid le Get-Credential chun a sheachaint go mbeidh ort iad a ath-iontráil i gcónaí:

$cred = Get-Credential
Enter-PSSession -ComputerName dc01 -Credential $cred
Exit-PSSession

Más é atá uait ná orduithe a sheoladh chuig roinnt ríomhairí ag an am céanna, is é an uirlis atá ann Invoke-Command le bloc scripte. De réir réamhshocraithe, seolann sé suas le 32 nasc comhuaineach (inchoigeartaithe le -ThrottleLimit). Seoltar na torthaí ar ais mar réada díshraithe (gan modhanna “beo”):

Invoke-Command -ComputerName dc01,sql02,web01 -ScriptBlock { Get-Service -Name W32Time } -Credential $cred

An gá duit modh cosúil le .Stop() nó .Start() a ghairm? Déan é. taobh istigh den bhloc scripte sa chomhthéacs iargúlta, ní an réad dísherialaithe áitiúil, agus sin é. Má tá cmdlet coibhéiseach ann (Stop-Service/Start-Service), is fearr de ghnáth é a úsáid ar mhaithe le soiléireacht.

Chun costas seisiúin a thosú agus a chríochnú ar gach glao a sheachaint, cruthaigh PSSeisiún Buan agus athúsáid é thar ilghlaoite. Bain úsáid as New-PSSession chun an nasc a chruthú, agus bain úsáid as Invoke-Command-Session chun an tollán a athúsáid. Ná déan dearmad é a dhúnadh le Remove-PSSession nuair a bheidh tú críochnaithe.

Sraitheach, teorainneacha agus dea-chleachtais

Mionsonra tábhachtach: agus tú ag taisteal, "leathnaíonn" rudaí agus tagann siad mar snapshots díshraithe, le hairíonna ach gan aon mhodhanna. Déantar é seo d'aon ghnó agus sábhálann sé bandaleithead, ach ciallaíonn sé nach féidir leat baill a úsáid a fhorghníomhaíonn loighic (cosúil le .Kill()) ar an gcóip áitiúil. Is léir an réiteach: na modhanna sin a ghairm. go cianda agus mura bhfuil uait ach réimsí áirithe, déan scagadh le Select-Object chun níos lú sonraí a sheoladh.

I scripteanna, seachain Enter-PSSession (atá beartaithe le haghaidh úsáide idirghníomhaí) agus bain úsáid as Invoke-Command le bloic scripte. Má tá tú ag súil le glaonna iolracha nó má theastaíonn uait staid a chaomhnú (athróga, modúil allmhairithe), bain úsáid as seisiúin bhuana agus, más infheidhme, dícheangail/athcheangail iad le Disconnect-PSSession/Connect-PSSession i PowerShell 3.0+.

Fíordheimhniú, HTTPS, agus Cásanna Lasmuigh den Fhearann

I bhfearann, is é fíordheimhniú dúchasach Kerberos Agus sreabhann gach rud. Nuair nach féidir leis an bhfeiste ainm an fhreastalaí a fhíorú, nó nuair a nascann tú le IP nó leasainm CNAME, teastaíonn ceann amháin den dá rogha seo uait: 1) Éisteoir HTTPS le deimhniú arna eisiúint ag ÚD a bhfuil muinín agat as, nó 2) cuir an ceann scríbe (ainm nó IP) le TrustedHosts agus bain úsáid as dintiúirDíchumasaíonn an dara rogha fíordheimhniú frithpháirteach don óstach sin, mar sin laghdaíonn sé an raon feidhme go dtí an t-íosmhéid is gá.

Chun éisteoir HTTPS a bhunú, teastaíonn teastas (ó do PKI nó ó CA poiblí más féidir), atá suiteáilte sa stór foirne agus ceangailte le WinRM. Osclaítear Port 5986/TCP sa bhalla dóiteáin ansin agus, ón gcliant, úsáidtear é. -Úsáid SSL i cmdlets iargúlta. Chun fíordheimhniú teastais cliant a dhéanamh, is féidir leat teastas a mhapáil chuig cuntas áitiúil agus ceangal leis -Lorg Ordóige Teastais (Ní ghlacann Enter-PSSession leis seo go díreach; cruthaigh an seisiún ar dtús le New-PSSession.)

An dara hop agus tarmligean dintiúir

Feictear an “hop dúbailte” cáiliúil nuair a bhíonn gá agat le freastalaí chun rochtain a fháil ar... tar éis ceangal le freastalaí. tríú acmhainn ar do shon (e.g., comhroinnt SMB). Tá dhá chur chuige ann chun seo a cheadú: CredSSP agus toscaireacht Kerberos srianta atá bunaithe ar acmhainní.

le CreidSSP Cuireann tú ar chumas an chliaint agus an idirghabhálaí dintiúir a tharmligean go sainráite, agus socraíonn tú polasaí (GPO) chun cead a thabhairt do ríomhairí sonracha a tharmligean. Tá sé tapa a chumrú, ach níl sé chomh slán céanna toisc go dtaistealaíonn na dintiúir i dtéacs soiléir laistigh den tollán criptithe. Cuir teorainn i gcónaí le foinsí agus cinn scríbe.

Is é an rogha eile is fearr sa réimse ná an toscaireacht Kerberos srianta (tarmligean srianta bunaithe ar acmhainní) in AD nua-aimseartha. Ligeann sé seo don chríochphointe brath ar tharmligean a fháil ón lárphointe le haghaidh seirbhísí sonracha, rud a sheachnaíonn nochtadh do chéannachta ar an nasc tosaigh. Éilíonn sé rialtóirí fearainn le déanaí agus RSAT nuashonraithe.

Críochphointí Saincheaptha (Cumraíochtaí Seisiúin)

Ceann de na seoda a bhaineann le Cianda ná a bheith in ann pointí nasctha a chlárú le cumais agus teorainneacha saincheapthaAr dtús, gineann tú comhad le New-PSSessionConfigurationFile (modúil le réamhlódáil, feidhmeanna infheicthe, leasainmneacha, ExecutionPolicy, LanguageMode, srl.), agus ansin cláraíonn tú é le Register-PSSessionConfiguration, áit ar féidir leat a shocrú RithMarDintiúr agus ceadanna (comhéadan SDDL nó GUI le -ShowSecurityDescriptorUI).

Chun tarmligean sábháilte a chinntiú, ná nochtaigh ach an méid is gá le -VisibleCmdlets/-VisibleFunctions agus díchumasaigh scriptiú saor in aisce más iomchuí le Mód Teanga Teoranta Teanga nó Gan Teanga. Má fhágann tú LánTeanga, d'fhéadfadh duine bloc scripte a úsáid chun orduithe neamhnochtaithe a ghairm, a dhéanfaidh, i dteannta le RunAs, bheadh ​​sé ina phollDear na críochphointí seo le cíor fiaclach mín agus doiciméadaigh a raon feidhme.

Fearainn, GPOanna, agus Grúpa-earraí

In AD is féidir leat Powershell Remoting a imscaradh ar scála mór le GPO: ceadaigh cumraíocht uathoibríoch éisteoirí WinRM, socraigh an tseirbhís go hUathoibríoch, agus cruthaigh an eisceacht balla dóiteáin. Cuimhnigh go n-athraíonn GPOanna socruithe, ach ní chuireann siad an tseirbhís ar siúl láithreach i gcónaí; uaireanta ní mór duit atosú nó gpupdate a fhorchur.

I ngrúpaí oibre (neamh-fhearainn), cumraigh Cianda le Cumasú-PSRemoting, socraigh TrustedHosts ar an gcliant (winrm set winrm/config/client @{TrustedHosts=»host1,host2″}) agus bain úsáid as dintiúir áitiúla. I gcás HTTPS, is féidir leat deimhnithe féinshínithe a fheistiú, cé go moltar CA iontaofa a úsáid agus an t-ainm a dheimhniú a úsáidfidh tú i -ComputerName sa deimhniú (meaitseáil CN/SAN).

Cmdlets agus comhréir eochair

Clúdaíonn dornán commandos an 90% de chásanna laethúlaChun a ghníomhachtú/a dhíghníomhachtú:

Enable-PSRemoting    
Disable-PSRemoting

Seisiún idirghníomhach 1 go 1 agus imeacht:

Enter-PSSession -ComputerName SEC504STUDENT 
Exit-PSSession

1 go leor, le comhthreomhaireacht agus dintiúir:

Invoke-Command -ComputerName dc01,sql02,web01 -ScriptBlock { Get-Service W32Time } -Credential $cred

Seisiúin bhuana agus athúsáid:

$s = New-PSSession -ComputerName localhost -ConfigurationName PowerShell.7
Invoke-Command -Session $s -ScriptBlock { $PSVersionTable }
Remove-PSSession $s

Tástáil agus WinRM úsáideach:

Test-WSMan -ComputerName host
winrm get winrm/config
winrm enumerate winrm/config/listener
winrm quickconfig -transport:https

Nótaí praiticiúla ar bhalla dóiteáin, líonra agus calafoirt

Oscail 5985/TCP le haghaidh HTTP agus 5986/TCP le haghaidh HTTPS ar an ríomhaire sprice agus ar aon bhalla dóiteáin idirmheánachAr chliaint Windows, cruthaíonn Enable-PSRemoting rialacha do phróifílí fearainn agus príobháideacha; i gcás próifílí poiblí, tá sé teoranta don fho-líonra áitiúil mura ndéanann tú an raon feidhme a mhodhnú le Set-NetFirewallRule -RemoteAddress Any (luach is féidir leat a mheas bunaithe ar do riosca).

Má úsáideann tú comhtháthúcháin SOAR/SIEM a ritheann orduithe cianda (e.g. ó XSOAR), déan cinnte go bhfuil an freastalaí Réiteach DNS chuig na hóstach, nascacht le 5985/5986, agus dintiúir le ceadanna áitiúla leordhóthanacha. I gcásanna áirithe, d’fhéadfadh go mbeadh gá le coigeartú a dhéanamh ar fhíordheimhniú NTLM/Bunúsach (e.g., úsáideoir áitiúil a úsáid i mBunúsach le SSL).

Paraiméadair Cumasaigh PSRemoting (Achoimre Oibríochta)

-Iarrann Confirm dearbhú sula ndéantar é a fhorghníomhú; -Force neamhaird a dhéanamh ar na rabhaidh agus déan na hathruithe riachtanacha; -Cumasaíonn SkipNetworkProfileCheck Cianrialtacht ar líonraí cliant poiblí (teoranta de réir réamhshocraithe don fho-líonra áitiúil); -Taispeánann WhatIf duit cad a tharlódh gan athruithe a chur i bhfeidhm. Ina theannta sin, cosúil le haon cmdlet caighdeánach, tacaíonn sé le paraiméadair choitianta (-Focal, -GníomhEarráide, srl.).

Cuimhnigh nach gcruthaíonn “Cumasaigh” éisteoirí HTTPS ná deimhnithe duit; má theastaíonn criptiú ó cheann ceann uait ón tús agus fíordheimhniú bunaithe ar deimhnithe, cumraigh an éisteoir HTTPS agus bailíochtú CN/SAN i gcoinne an ainm a úsáidfidh tú i -ComputerName.

Orduithe Cianrialtachta Úsáideacha WinRM agus PowerShell

cuid earraí riachtanacha leapa don saol laethúil:

winrm get winrm/config
winrm enumerate winrm/config/listener
Set-NetFirewallRule -Name 'WINRM-HTTP-In-TCP' -RemoteAddress Any
Test-WSMan -ComputerName host -Authentication Default -Credential (Get-Credential)
New-PSSession -ComputerName host 
Enter-PSSession -ComputerName host 
Enable-PSRemoting -SkipNetworkProfileCheck -Force

Agus Windows á bhainistiú ar scála mór, tugann Cianda deis duit bogadh ó chur chuige "ríomhaire go ríomhaire" go cur chuige dearbhaitheach agus slán. Trí sheisiúin bhuana, fíordheimhniú láidir (Kerberos/HTTPS), críochphointí srianta, agus rianta soiléire le haghaidh diagnóisic a chomhcheangal, gheobhaidh tú luas agus smacht gan slándáil ná iniúchadh a íobairt. Má chaighdeánaíonn tú gníomhachtú GPO agus má dhéanann tú máistreacht ar chásanna speisialta (TrustedHosts, double hop, deimhnithe) freisin, beidh ardán cianda soladach agat le haghaidh oibríochtaí laethúla agus freagairt do theagmhais.

Alt gaolmhar:

Conas do ríomhaire a chosaint ó bhogearraí mailíseacha dofheicthe cosúil le XWorm agus NotDoor

Ardán Daniel

Eagarthóir speisialaithe i gcúrsaí teicneolaíochta agus idirlín le níos mó ná deich mbliana de thaithí i meáin dhigiteacha éagsúla. D'oibrigh mé mar eagarthóir agus cruthaitheoir ábhair do ríomhthráchtáil, cumarsáid, margaíocht ar líne agus cuideachtaí fógraíochta. Scríobh mé freisin ar shuíomhanna gréasáin eacnamaíocht, airgeadais agus earnálacha eile. Is é mo chuid oibre freisin mo paisean. Anois, trí mo chuid alt i Tecnobits, Déanaim iarracht na nuacht agus na deiseanna nua go léir a chuireann saol na teicneolaíochta ar fáil dúinn gach lá chun ár saol a fheabhsú a fhiosrú.