Mar a chumas tu smachd air do PC bhon fhòn-làimhe agad le bhith a’ cleachdadh PowerShell Remoting

Is dòcha gu bheil thu mu thràth a’ fèin-ghluasad mòran ghnìomhan le PowerShell gu h-ionadail ach càite an dèan thu sin dha-rìribh? Tha PowerShell Remoting a’ dèanamh an diofar ’S e nuair a ruitheas tu òrdughan air innealan iomallach, ge b’ e beagan no ceudan a th’ annta, gu h-eadar-ghnìomhach no aig an aon àm. Tha an teicneòlas seo, a tha ri fhaighinn bho Windows PowerShell 2.0 agus air a leasachadh bho 3.0, stèidhichte air WS-Management (WinRM) agus ag atharrachadh PowerShell ann an sianal riaghlaidh iomallach làidir, sgalachail agus tèarainte.

An toiseach, tha e cudromach dà phrìomh bheachd a thuigsinn: cmdlets le -Paramadair Ainm a' Choimpiutair (m.e., Get-Process no Get-Service) chan e an t-slighe fad-ùine a tha Microsoft a’ moladh, agus chan eil PowerShell Remoting ag obair mar “hack.” Gu dearbh, a’ cur an gnìomh dearbhadh dha chèile, a’ sgrùdadh logaichean agus a’ toirt urram do na ceadan àbhaisteach agad, gun teisteanasan a stòradh no rud sam bith le prìomh chòraichean a ruith gu draoidheil.

Dè a th’ ann an PowerShell Remoting agus carson a chleachdas tu e?

Con An ìomhaigheag airson PowerShell Remoting faodaidh tu cuir cha mhòr àithne sam bith an gnìomh air astar a dh’ fhaodadh tu a chur air bhog ann an seisean ionadail, bho bhith a’ cur cheistean air seirbheisean gu bhith a’ cleachdadh rèiteachaidhean, agus sin a dhèanamh air ceudan de choimpiutairean aig an aon àm. Eu-coltach ri cmdlets a tha a’ gabhail ri -ComputerName (bidh mòran a’ cleachdadh DCOM/RPC), Remoting a’ siubhal tro WS-Man (HTTP/HTTPS), a tha nas càirdeile do bhalla-teine, a’ leigeil le co-shìnteachd agus a’ gluasad obair chun aoigh iomallach, chan e an neach-dèiligidh.

Tha seo ag eadar-theangachadh gu trì buannachdan practaigeach: coileanadh nas fheàrr ann an cur gu bàs mòr, nas lugha de fhrith-bhualadh ann an lìonraidhean le riaghailtean cuibhrichte agus modail tèarainteachd a tha co-chòrdail ri Kerberos/HTTPS. A bharrachd air sin, le bhith gun a bhith an urra ri gach cmdlet gus an siostam iomallach fhèin a chur an gnìomh, Remoting Bidh e ag obair airson sgriobt no dreuchd sam bith a tha ri fhaighinn aig an àite-tadhail.

Gu gnàthach, thig Frithealaichean Windows o chionn ghoirid le Remoting air a chomasachadh; ann an Windows 10/11 bidh thu ga ghnìomhachadh le aon cmdlet. Agus tha, faodaidh tu teisteanasan eile, seiseanan maireannach, puingean-crìochnachaidh gnàthaichte, agus barrachd a chleachdadh.

Nota: Chan eil obrachadh iomallach co-ionann ri bhith a’ fosgladh a h-uile càil. Gu gnàthach, rianairean a-mhàin Faodaidh iad ceangal a dhèanamh, agus thèid gnìomhan a chur an gnìomh fon dearbh-aithne aca. Ma tha feum agad air riochdachadh mionaideach, leigidh puingean-crìochnachaidh gnàthaichte leat dìreach na h-òrdughan riatanach fhoillseachadh.

Mar a tha e ag obair a-staigh: WinRM, WS-Man agus puirt

Bidh PowerShell Remoting ag obair ann am modail neach-dèiligidh-frithealaiche. Bidh an neach-dèiligidh a’ cur iarrtasan WS-Management tro HTTP (5985/TCP) no HTTPS (5986/TCP)Air an targaid, bidh an t-seirbheis Windows Remote Management (WinRM) ag èisteachd, a’ fuasgladh a’ phuing-crìche (rèiteachadh an t-seisein), agus a’ cumail seisean PowerShell sa chùlaibh (pròiseas wsmprovhost.exe), a’ tilleadh thoraidhean sreathaichte don neach-dèiligidh ann an XML tro SOAP.

A’ chiad uair a chuireas tu Remoting an comas, thèid luchd-èisteachd a rèiteachadh, thèid an eisgeachd balla-teine ​​iomchaidh fhosgladh, agus thèid rèiteachaidhean seisein a chruthachadh. Bho PowerShell 6+, bidh iomadh deasachadh ann aig an aon àm, agus Cuir an comas-PSRemoting Clàraichidh seo puingean-crìochnachaidh le ainmean a tha a’ nochdadh an tionndaidh (mar eisimpleir, PowerShell.7 agus PowerShell.7.xy).

Ma leigeas tu HTTPS a-mhàin san àrainneachd agad, faodaidh tu fear a chruthachadh neach-èisteachd sàbhailte le teisteanas a chaidh a thoirt seachad le CA earbsach (air a mholadh). Air neo, is e roghainn eile TrustedHosts a chleachdadh ann an dòigh chuingealaichte, mothachail air cunnart, airson suidheachaidhean buidhne-obrach no coimpiutairean neo-àrainn.

Thoir an aire gum faod Powershell Remoting a bhith ann còmhla ri cmdlets le -ComputerName, ach Bidh Microsoft a’ putadh WS-Man mar an dòigh àbhaisteach agus dìonach san àm ri teachd airson rianachd iomallach.

A’ comasachadh PowerShell Remoting agus Paramadairean Feumail

Air Windows, dìreach fosgail PowerShell mar rianadair agus ruith e Cuir an comas-PSRemotingBidh an siostam a’ tòiseachadh WinRM, a’ rèiteachadh fèin-thòiseachadh, a’ comasachadh an neach-èisteachd, agus a’ cruthachadh nan riaghailtean balla-teine ​​iomchaidh. Air luchd-dèiligidh le pròifil lìonra poblach, faodaidh tu seo a cheadachadh a dh’aona ghnothach le -Leum Sgrùdadh Pròifil Lìonra (agus an uair sin neartaich le riaghailtean sònraichte):

Enable-PSRemoting
Enable-PSRemoting -Force
Enable-PSRemoting -SkipNetworkProfileCheck -Force

 

Tha an co-chòrdadh cuideachd a’ ceadachadh, -Dearbhaich y -Dè ma tha airson smachd atharrachaidh. Cuimhnich: Chan eil e ri fhaighinn ach air Windows, agus feumaidh tu an consol àrdaichte a ruith. Tha na riaghailtean a chaidh a chruthachadh eadar-dhealaichte eadar deasachaidhean Frithealaiche is Cliant, gu h-àraidh air lìonraidhean poblach, far a bheil iad gu bunaiteach cuingealaichte ris an fho-lìonra ionadail mura leudaich thu an raon (mar eisimpleir, le Set-NetFirewallRule).

Gus liosta a dhèanamh de rèiteachaidhean seisean a chaidh a chlàradh mu thràth agus dearbhadh gu bheil a h-uile dad deiseil, cleachd Faigh-PSSessionConfigurationMa nochdas na puingean-crìochnachaidh PowerShell.x agus Workflow, tha frèam-obrach Remoting ag obair.

Modhan cleachdaidh: 1 gu 1, 1 gu mòran, agus seiseanan leantainneach

Nuair a bhios feum agad air consol eadar-ghnìomhach air aon choimpiutair, tionndaidh gu Cuir a-steach-PSSessionNochdaidh am brosnachadh, agus thèid a h-uile rud a nì thu chun an aoigh iomallach. Faodaidh tu teisteanasan ath-chleachdadh le Get-Credential gus nach fheum thu an cur a-steach a-rithist is a-rithist:

$cred = Get-Credential
Enter-PSSession -ComputerName dc01 -Credential $cred
Exit-PSSession

Ma tha thu a’ sireadh òrdughan a chur gu grunn choimpiutairean aig an aon àm, is e an inneal a tha seo Invoke-Command le bloc sgriobta. Gu gnàthach, bidh e a’ cur air bhog suas ri 32 ceangal aig an aon àm (atharrachail le -ThrottleLimit). Thèid na toraidhean a thilleadh mar nithean dì-shreathaichte (às aonais dhòighean “beò”):

Invoke-Command -ComputerName dc01,sql02,web01 -ScriptBlock { Get-Service -Name W32Time } -Credential $cred

A bheil feum agad air modh mar .Stop() no .Start() a ghairm? Dèan e. taobh a-staigh bloc an sgriobt anns a’ cho-theacsa iomallach, chan e an nì ionadail air a dhì-sheirealachadh, agus sin agad e. Ma tha cmdlet co-ionann ann (Stop-Service/Start-Service), mar as trice is fheàrr a chleachdadh airson soilleireachd.

Gus cosgais tòiseachadh is crìochnachadh seiseanan air gach gairm a sheachnadh, cruthaich PSSession maireannach agus ath-chleachd e thar iomadh gairm. Cleachd New-PSSession gus an ceangal a chruthachadh, agus cleachd Invoke-Command-Session gus an tunail ath-chleachdadh. Na dìochuimhnich a dhùnadh le Remove-PSSession nuair a bhios tu deiseil.

Sreathachadh, crìochan agus deagh chleachdaidhean

Mion-fhiosrachadh cudromach: nuair a bhios tu a’ siubhal, bidh nithean a’ “+rèiteachadh” agus a’ ruighinn mar dealbhan-sgrìn dì-sheireil, le feartan ach gun dhòighean-obrach. Tha seo air a dhèanamh a dh'aona ghnothach agus a' sàbhaladh leud-bann, ach tha e a' ciallachadh nach urrainn dhut buill a chleachdadh a bhios a' cur an gnìomh loidsig (leithid .Kill()) air an leth-bhreac ionadail. Tha am fuasgladh follaiseach: cuir na dòighean-obrach sin an gnìomh. air astar agus mura h-eil feum agad ach air raointean sònraichte, cleachd Select-Object gus nas lugha de dhàta a chur.

Ann an sgriobtaichean, seachain Enter-PSSession (a tha an dùil a chleachdadh airson cleachdadh eadar-ghnìomhach) agus cleachd Invoke-Command le blocaichean sgriobt. Ma tha dùil agad ri iomadh gairm no ma dh’ fheumas tu staid a ghleidheadh ​​(caochladairean, modalan a chaidh a thoirt a-steach), cleachd seiseanan maireannach agus, ma tha sin iomchaidh, dì-cheangail/ath-cheangail iad le Disconnect-PSSession/Connect-PSSession ann an PowerShell 3.0+.

Dearbhadh, HTTPS, agus Suidheachaidhean Far-àrainn

Ann an àrainn, is e dearbhadh dùthchasach a th’ ann Kerberos Agus tha a h-uile càil a’ sruthadh. Nuair nach urrainn don inneal ainm an fhrithealaiche a dhearbhadh, no ma cheanglas tu ri IP no far-ainm CNAME, feumaidh tu aon de na dà roghainn seo: 1) Èisteachd HTTPS le teisteanas air a thoirt seachad le CA anns a bheil earbsa agad, no 2) cuir an ceann-uidhe (ainm no IP) ri TrustedHosts agus cleachd teisteanasanBidh an dàrna roghainn a’ cur dheth dearbhadh co-phàirteach airson an aoigh sin, agus mar sin a’ lughdachadh an raoin chun na h-ìre as ìsle a tha riatanach.

Feumaidh teisteanas (gu h-iomchaidh bhon PKI agad no CA poblach) a bhith ann gus èisteachd HTTPS a stèidheachadh, air a stàladh ann an stòr na sgioba agus ceangailte ri WinRM. Thèid port 5986/TCP fhosgladh anns a’ bhalla-teine ​​an uairsin agus, bhon neach-dèiligidh, ga chleachdadh. -Cleachd SSL ann an cmdlets iomallach. Airson dearbhadh teisteanas teachdaiche, faodaidh tu teisteanas a mhapadh gu cunntas ionadail agus ceangal a dhèanamh ri -TeisteanasLorg-mheur (Cha ghabh Enter-PSSession seo gu dìreach; cruthaich an seisean an toiseach le New-PSSession.)

An dàrna leum agus riochdachadh teisteanasan

Nochdaidh an “leum dùbailte” ainmeil nuair, às dèidh dhut ceangal ri frithealaiche, gum feum thu an frithealaiche sin gus faighinn gu an treas goireas às do leth (m.e., roinn SMB). Tha dà dhòigh-obrach ann airson seo a cheadachadh: CredSSP agus riochdachadh Kerberos le cuingealachaidhean stèidhichte air goireasan.

Con CreidSSP Leigidh tu leis an neach-dèiligidh agus an eadar-mheadhanair teisteanasan a thoirt seachad gu soilleir, agus suidhichidh tu poileasaidh (GPO) gus leigeil le riochdachadh gu coimpiutairean sònraichte. Tha e luath a rèiteachadh, ach chan eil e cho tèarainte leis gu bheil na teisteanasan a’ siubhal ann an teacsa soilleir taobh a-staigh an tunail crioptaichte. Cuir crìochan air stòran agus cinn-uidhe an-còmhnaidh.

Is e an roghainn eile as fheàrr san raon an riochdachadh Kerberos cuibhrichte (riochdachadh cuibhrichte stèidhichte air goireasan) ann an AD an latha an-diugh. Leigidh seo leis a’ cheann-uidhe a bhith an urra ri riochdachadh fhaighinn bhon mheadhan-phuing airson seirbheisean sònraichte, a’ seachnadh nochdadh d’ dearbh-aithne air a’ cheangal tùsail. Feumaidh e rianadairean àrainn o chionn ghoirid agus RSAT ùraichte.

Ceann-phuingean Gnàthaichte (Rèiteachaidhean Seisean)

Is e aon de na seudan a tha aig Remoting a bhith comasach air puingean ceangail a chlàradh le comasan agus crìochan gnàthaichteAn toiseach, cruthaichidh tu faidhle le New-PSSessionConfigurationFile (modalan ri luchdachadh ro-làimh, gnìomhan faicsinneach, ainmean-brèige, ExecutionPolicy, LanguageMode, msaa.), agus an uairsin clàraichidh tu e le Register-PSSessionConfiguration, far an urrainn dhut a shuidheachadh RuithMarTeisteanas agus ceadan (eadar-aghaidh SDDL no GUI le -ShowSecurityDescriptorUI).

Airson riochdachadh sàbhailte, nochdaibh na tha riatanach a-mhàin le -VisibleCmdlets/-VisibleFunctions agus cuir dheth sgriobtadh an-asgaidh ma tha sin iomchaidh le Modh CànainCànan Cuingealaichte no Gun Chànan. Ma dh’fhàgas tu Làn-Chànan, dh’fhaodadh cuideigin bloc sgriobta a chleachdadh gus òrdughan gun fhoillseachadh a ghairm, a bhios, còmhla ri RunAs, bhiodh e na thollDealbhaich na puingean-crìche seo le cìr mhìn agus clàraich an raon-obrach aca.

Fearann, GPOan, agus Bathar-bhuidhne

Ann an AD faodaidh tu Powershell Remoting a chleachdadh aig sgèile mhòr le GPO: leig le rèiteachadh fèin-ghluasadach luchd-èisteachd WinRM, suidhich an t-seirbheis gu fèin-ghluasadach, agus cruthaich an eisgeachd balla-teine. Cuimhnich gu bheil GPOan ag atharrachadh roghainnean, ach chan eil iad an-còmhnaidh a’ tionndadh air an t-seirbheis sa bhad; uaireannan feumaidh tu ath-thòiseachadh no gpupdate a sparradh.

Ann am buidhnean-obrach (gun àrainn), rèitich Remoting le Cuir an comas-PSRemoting, suidhich TrustedHosts air a’ chliant (winrm set winrm/config/client @{TrustedHosts=»host1,host2″}) agus cleachd teisteanasan ionadail. Airson HTTPS, faodaidh tu teisteanasan fèin-shoidhnichte a chuir suas, ged a thathar a’ moladh CA earbsach a chleachdadh agus dearbhaich an t-ainm a chleachdas tu ann an -ComputerName san teisteanas (maids CN/SAN).

Prìomh cmdlets agus co-chàradh

Bidh dòrlach de chomandos a’ còmhdach an 90% de shuidheachaidhean làitheilGus a ghnìomhachadh/a dhì-ghnìomhachadh:

Enable-PSRemoting    
Disable-PSRemoting

Seisean eadar-ghnìomhach 1 gu 1 agus fàg:

Enter-PSSession -ComputerName SEC504STUDENT 
Exit-PSSession

1 gu mòran, le co-shìnteachd agus teisteanasan:

Invoke-Command -ComputerName dc01,sql02,web01 -ScriptBlock { Get-Service W32Time } -Credential $cred

Seiseanan maireannach agus ath-chleachdadh:

$s = New-PSSession -ComputerName localhost -ConfigurationName PowerShell.7
Invoke-Command -Session $s -ScriptBlock { $PSVersionTable }
Remove-PSSession $s

Deuchainn agus WinRM Feumail:

Test-WSMan -ComputerName host
winrm get winrm/config
winrm enumerate winrm/config/listener
winrm quickconfig -transport:https

Notaichean practaigeach mu bhalla-teine, lìonra agus puirt

Fosgail 5985/TCP airson HTTP agus 5986/TCP airson HTTPS air a’ choimpiutair targaid agus air balla-teine ​​eadar-mheadhanach sam bithAir luchd-dèiligidh Windows, cruthaichidh Enable-PSRemoting riaghailtean airson pròifilean fearainn is prìobhaideach; airson pròifilean poblach, tha e cuingealaichte ris an fho-lìonra ionadail mura h-atharraich thu an raon le Set-NetFirewallRule -RemoteAddress Any (luach as urrainn dhut a mheasadh stèidhichte air do chunnart).

Ma chleachdas tu amalachaidhean SOAR/SIEM a bhios a’ ruith òrdughan iomallach (m.e. bho XSOAR), dèan cinnteach gu bheil aig an fhrithealaiche Fuasgladh DNS do na h-aoighean, ceangal ri 5985/5986, agus teisteanasan le ceadan ionadail gu leòr. Ann an cuid de chùisean, is dòcha gum feum dearbhadh NTLM/Bunasach atharrachadh (m.e., a’ cleachdadh neach-cleachdaidh ionadail ann am Bunasach le SSL).

Paramadairean PSRemoting a Chumasachadh (Geàrr-chunntas Obrachaidh)

-Tha Dearbhaich ag iarraidh dearbhadh mus tèid a chur an gnìomh; -Feachd a’ seachnadh nan rabhaidhean agus na h-atharrachaidhean riatanach a dhèanamh; -Bidh SkipNetworkProfileCheck a’ comasachadh Remoting air lìonraidhean teachdaiche poblach (air a chuingealachadh gu bunaiteach ris an fho-lìonra ionadail); -Tha WhatIf a’ sealltainn dhut dè thachradh mura cuir thu atharrachaidhean an sàs. A bharrachd air an sin, mar cmdlet àbhaisteach sam bith, tha e a’ toirt taic do paramadairean cumanta (-Làrach, -GnìomhMearachd, msaa.).

Cuimhnich nach cruthaich “Cumasaich” luchd-èisteachd no teisteanasan HTTPS dhut; ma tha feum agad air crioptachadh deireadh-gu-deireadh bhon toiseach agus dearbhadh stèidhichte air teisteanasan, rèitich an neach-èisteachd HTTPS agus dearbhaich CN/SAN an aghaidh an ainm a chleachdas tu ann an -ComputerName.

Òrdughan Iomallach WinRM agus PowerShell feumail

Cuid nithean riatanach airson taobh na leapa airson beatha làitheil:

winrm get winrm/config
winrm enumerate winrm/config/listener
Set-NetFirewallRule -Name 'WINRM-HTTP-In-TCP' -RemoteAddress Any
Test-WSMan -ComputerName host -Authentication Default -Credential (Get-Credential)
New-PSSession -ComputerName host 
Enter-PSSession -ComputerName host 
Enable-PSRemoting -SkipNetworkProfileCheck -Force

Nuair a bhios tu a’ riaghladh Windows air sgèile mhòr, leigidh Remoting leat gluasad bho “choimpiutair gu coimpiutair” gu dòigh-obrach dearbhte agus tèarainte. Le bhith a’ cothlamadh seiseanan maireannach, dearbhadh làidir (Kerberos/HTTPS), puingean-crìochnachaidh cuibhrichte, agus lorgan soilleir airson breithneachadh, gheibh thu astar agus smachd gun a bhith a’ ìobairt tèarainteachd no sgrùdaidh. Ma nì thu gnàthachadh air gnìomhachadh GPO agus ma nì thu maighstireachd air cùisean sònraichte (TrustedHosts, double hop, teisteanasan), bidh àrd-ùrlar iomallach làidir agad airson obrachaidhean làitheil agus freagairt do thachartasan.