पॉवरशेल रिमोटिंग वापरून तुमच्या मोबाईल फोनवरून तुमचा पीसी कसा नियंत्रित करायचा

तुम्ही पॉवरशेल वापरून स्थानिक पातळीवर अनेक कामे आधीच स्वयंचलित करू शकता, परंतु तुम्ही खरोखर कुठे करता पॉवरशेल रिमोटिंगमुळे फरक पडतो. जेव्हा तुम्ही रिमोट मशीनवर काही असोत किंवा शेकडो, परस्परसंवादी किंवा समांतर कमांड चालवता तेव्हा असे होते. विंडोज पॉवरशेल २.० पासून उपलब्ध असलेले आणि ३.० पासून सुधारित केलेले हे तंत्रज्ञान WS-Management (WinRM) वर आधारित आहे आणि रूपांतरित करते पॉवरशेल एका मजबूत, स्केलेबल आणि सुरक्षित रिमोट मॅनेजमेंट चॅनेलमध्ये.

सर्वप्रथम, दोन प्रमुख कल्पना समजून घेणे महत्वाचे आहे: cmdlets सह -कॉम्प्युटरनेम पॅरामीटर (उदा., गेट-प्रोसेस किंवा गेट-सर्व्हिस) हे मायक्रोसॉफ्टने शिफारस केलेले दीर्घकालीन मार्ग नाहीत आणि पॉवरशेल रिमोटिंग "हॅक" म्हणून काम करत नाही. खरं तर, परस्पर प्रमाणीकरण लागू करते, लॉग ऑडिट करते आणि तुमच्या नेहमीच्या परवानग्यांचा आदर करते, क्रेडेन्शियल्स साठवल्याशिवाय किंवा सुपर विशेषाधिकारांसह काहीही जादूने चालवल्याशिवाय.

पॉवरशेल रिमोटिंग म्हणजे काय आणि ते का वापरावे?

सह पॉवरशेअर रीमोटिंग आपण हे करू शकता जवळजवळ कोणतीही आज्ञा दूरस्थपणे कार्यान्वित करा जे तुम्ही स्थानिक सत्रात लाँच करू शकता, सेवा क्वेरी करण्यापासून ते कॉन्फिगरेशन तैनात करण्यापर्यंत, आणि ते एकाच वेळी शेकडो संगणकांवर करू शकता. -ComputerName स्वीकारणाऱ्या cmdlets च्या विपरीत (बरेच जण DCOM/RPC वापरतात), रिमोटिंग WS-Man (HTTP/HTTPS) द्वारे प्रवास करते, जे अधिक फायरवॉल-अनुकूल आहे, समांतरता आणि ऑफलोड क्लायंटला नाही तर रिमोट होस्टला कार्य करण्यास अनुमती देते.

याचे तीन व्यावहारिक फायदे होतात: मोठ्या प्रमाणात अंमलबजावणीमध्ये चांगली कामगिरी, नेटवर्कमध्ये कमी घर्षण प्रतिबंधात्मक नियमांसह आणि केर्बेरोस/HTTPS शी सुसंगत सुरक्षा मॉडेलसह. शिवाय, प्रत्येक cmdlet वर स्वतःचा रिमोट लागू करण्यासाठी अवलंबून न राहता, रिमोटिंग हे कोणत्याही स्क्रिप्ट किंवा भूमिकेसाठी काम करते. जे गंतव्यस्थानावर उपलब्ध आहे.

डिफॉल्टनुसार, अलीकडील विंडोज सर्व्हर्स रिमोटिंग सक्षम असलेले येतात; विंडोज १०/११ मध्ये तुम्ही ते सक्रिय करा. एकाच cmdlet सह. आणि हो, तुम्ही पर्यायी क्रेडेन्शियल्स, पर्सिस्टंट सेशन्स, कस्टम एंडपॉइंट्स आणि बरेच काही वापरू शकता.

टीप: रिमोटिंग हे सर्वकाही उघडण्यासारखे नाही. डिफॉल्टनुसार, फक्त प्रशासक ते कनेक्ट होऊ शकतात आणि त्यांच्या ओळखीनुसार कृती अंमलात आणल्या जातात. जर तुम्हाला सूक्ष्म डेलिगेशनची आवश्यकता असेल, तर कस्टम एंडपॉइंट्स तुम्हाला फक्त आवश्यक कमांड उघड करण्याची परवानगी देतात.

ते आत कसे काम करते: WinRM, WS-Man आणि पोर्ट्स

पॉवरशेल रिमोटिंग क्लायंट-सर्व्हर मॉडेलमध्ये काम करते. क्लायंट WS-मॅनेजमेंट रिक्वेस्ट पाठवतो HTTP (५९८५/TCP) किंवा HTTPS (५९८६/TCP). लक्ष्यावर, विंडोज रिमोट मॅनेजमेंट (WinRM) सेवा ऐकते, एंडपॉइंट (सत्र कॉन्फिगरेशन) सोडवते आणि पार्श्वभूमीत पॉवरशेल सत्र होस्ट करते (wsmprovhost.exe प्रक्रिया), क्लायंटला अनुक्रमित निकाल परत करणे SOAP द्वारे XML मध्ये.

जेव्हा तुम्ही पहिल्यांदा रिमोटिंग सक्षम करता तेव्हा, श्रोते कॉन्फिगर केले जातात, योग्य फायरवॉल अपवाद उघडला जातो आणि सत्र कॉन्फिगरेशन तयार केले जातात. PowerShell 6+ वरून, अनेक आवृत्त्या एकत्र राहतात आणि सक्षम-PSRemoting आवृत्ती प्रतिबिंबित करणाऱ्या नावांसह एंडपॉइंट्सची नोंदणी करते (उदाहरणार्थ, PowerShell.7 आणि PowerShell.7.xy).

जर तुम्ही तुमच्या वातावरणात फक्त HTTPS ला परवानगी दिली तर तुम्ही एक तयार करू शकता सुरक्षित श्रोता विश्वसनीय CA द्वारे जारी केलेले प्रमाणपत्र (शिफारस केलेले). पर्यायीरित्या, दुसरा पर्याय म्हणजे वर्कग्रुप परिस्थिती किंवा नॉन-डोमेन संगणकांसाठी मर्यादित, जोखीम-जागरूक पद्धतीने ट्रस्टेडहोस्ट वापरणे.

लक्षात ठेवा की पॉवरशेल रिमोटिंग -ComputerName सह cmdlets सह एकत्र राहू शकते, परंतु मायक्रोसॉफ्टने डब्ल्यूएस-मॅनला पुढे ढकलले दूरस्थ प्रशासनासाठी मानक आणि भविष्यातील-पुरावा मार्ग म्हणून.

पॉवरशेल रिमोटिंग आणि उपयुक्त पॅरामीटर्स सक्षम करणे

विंडोजवर, फक्त पॉवरशेल प्रशासक म्हणून उघडा आणि चालवा सक्षम-PSRemoting. सिस्टम WinRM सुरू करते, ऑटोस्टार्ट कॉन्फिगर करते, श्रोता सक्षम करते आणि योग्य फायरवॉल नियम तयार करते. सार्वजनिक नेटवर्क प्रोफाइल असलेल्या क्लायंटवर, तुम्ही जाणूनबुजून हे परवानगी देऊ शकता -स्किपनेटवर्कप्रोफाइलचेक (आणि नंतर विशिष्ट नियमांसह बळकट करा):

Enable-PSRemoting
Enable-PSRemoting -Force
Enable-PSRemoting -SkipNetworkProfileCheck -Force

 

वाक्यरचना देखील परवानगी देते, -पुष्टी y -काय तर बदल नियंत्रणासाठी. लक्षात ठेवा: हे फक्त विंडोजवर उपलब्ध आहे., आणि तुम्हाला एलिव्हेटेड कन्सोल चालवावा लागेल. सर्व्हर आणि क्लायंट आवृत्त्यांमध्ये तयार केलेले नियम वेगळे असतात, विशेषतः सार्वजनिक नेटवर्कवर, जिथे डीफॉल्टनुसार ते स्थानिक सबनेटपुरते मर्यादित असतात जोपर्यंत तुम्ही व्याप्ती वाढवत नाही (उदाहरणार्थ, सेट-नेटफायरवॉलरूलसह).

आधीच रेकॉर्ड केलेल्या सत्र कॉन्फिगरेशनची यादी करण्यासाठी आणि सर्वकाही तयार आहे याची पुष्टी करण्यासाठी, वापरा गेट-पीएससेशन कॉन्फिगरेशनजर PowerShell.x आणि Workflow एंडपॉइंट्स दिसले तर, रिमोटिंग फ्रेमवर्क कार्यरत आहे.

वापरण्याच्या पद्धती: १ ते १, १ ते अनेक आणि सतत सत्रे

जेव्हा तुम्हाला एकाच संगणकावर इंटरॅक्टिव्ह कन्सोलची आवश्यकता असेल, तेव्हा येथे वळा एंटर-पएसएसशनप्रॉम्प्ट दिसेल आणि तुम्ही जे काही कार्यान्वित कराल ते रिमोट होस्टकडे जाईल. सतत पुन्हा एंटर करणे टाळण्यासाठी तुम्ही गेट-क्रेडेन्शियलसह क्रेडेन्शियल्स पुन्हा वापरू शकता:

$cred = Get-Credential
Enter-PSSession -ComputerName dc01 -Credential $cred
Exit-PSSession

जर तुम्ही एकाच वेळी अनेक संगणकांना कमांड पाठवायचे शोधत असाल, तर ते साधन आहे आमंत्रण-आदेश स्क्रिप्टब्लॉकसह. डीफॉल्टनुसार, ते ३२ समवर्ती कनेक्शन लाँच करते (-थ्रॉटललिमिटसह समायोजित करण्यायोग्य). परिणाम असे परत केले जातात डीसीरियलाइज्ड वस्तू ("लाइव्ह" पद्धतींशिवाय):

Invoke-Command -ComputerName dc01,sql02,web01 -ScriptBlock { Get-Service -Name W32Time } -Credential $cred

.Stop() किंवा .Start() सारखी पद्धत वापरायची आहे का? ते करा. स्क्रिप्टब्लॉकच्या आत रिमोट संदर्भात, स्थानिक डिसीरियलाइज्ड ऑब्जेक्ट नाही, आणि बस्स. जर समतुल्य cmdlet (स्टॉप-सर्व्हिस/स्टार्ट-सर्व्हिस) असेल, तर ते स्पष्टतेसाठी वापरणे सहसा श्रेयस्कर असते.

प्रत्येक कॉलवर सत्र सुरू करण्याचा आणि संपवण्याचा खर्च टाळण्यासाठी, एक तयार करा सतत चालू असलेले सत्र आणि ते अनेक इनव्होकेशनमध्ये पुन्हा वापरा. ​​कनेक्शन तयार करण्यासाठी New-PSSession वापरा आणि बोगदा पुन्हा वापरण्यासाठी Invoke-Command-Session वापरा. ​​काम पूर्ण झाल्यावर ते Remove-PSSession ने बंद करायला विसरू नका.

अनुक्रमांक, मर्यादा आणि चांगल्या पद्धती

एक महत्त्वाचा तपशील: प्रवास करताना, वस्तू "+सपाट" होतात आणि येतात डीसीरियलाइज्ड स्नॅपशॉट, गुणधर्मांसह पण कोणत्याही पद्धती नाहीत. हे जाणूनबुजून केले आहे आणि बँडविड्थ वाचवते, परंतु याचा अर्थ असा की तुम्ही स्थानिक कॉपीवर लॉजिक (.Kill() सारखे) कार्यान्वित करणारे सदस्य वापरू शकत नाही. उपाय स्पष्ट आहे: त्या पद्धतींचा वापर करा. दूरस्थपणे आणि जर तुम्हाला फक्त काही विशिष्ट फील्डची आवश्यकता असेल, तर कमी डेटा पाठवण्यासाठी Select-Object ने फिल्टर करा.

स्क्रिप्ट्समध्ये, एंटर-पीएससेशन (परस्परसंवादी वापरासाठी) टाळा आणि स्क्रिप्ट ब्लॉक्ससह इनव्होक-कमांड वापरा. ​​जर तुम्हाला अनेक कॉल्सची अपेक्षा असेल किंवा स्टेट (व्हेरिएबल्स, आयातित मॉड्यूल्स) जतन करण्याची आवश्यकता असेल, तर सतत सत्रे वापरा आणि, लागू असल्यास, PowerShell 3.0+ मध्ये Disconnect-PSSession/Connect-PSSession वापरून त्यांना डिस्कनेक्ट/पुन्हा कनेक्ट करा.

प्रमाणीकरण, HTTPS आणि ऑफ-डोमेन परिस्थिती

डोमेनमध्ये, मूळ प्रमाणीकरण म्हणजे केर्बेरोस आणि सर्वकाही चालू राहते. जेव्हा डिव्हाइस सर्व्हरचे नाव सत्यापित करू शकत नाही, किंवा तुम्ही CNAME आयपी किंवा उपनावाशी कनेक्ट करता, तेव्हा तुम्हाला या दोन पर्यायांपैकी एकाची आवश्यकता असते: १) श्रोता प्रमाणपत्रासह HTTPS तुमचा विश्वास असलेल्या CA द्वारे जारी केलेले, किंवा २) ट्रस्टेडहोस्टमध्ये गंतव्यस्थान (नाव किंवा आयपी) जोडा आणि क्रेडेन्शियल्स वापरादुसरा पर्याय त्या होस्टसाठी परस्पर प्रमाणीकरण अक्षम करतो, त्यामुळे तो व्याप्ती आवश्यकतेनुसार कमी करतो.

HTTPS लिसनर सेट करण्यासाठी एक प्रमाणपत्र (आदर्शपणे तुमच्या PKI किंवा सार्वजनिक CA कडून) आवश्यक आहे, जे टीम स्टोअरमध्ये स्थापित केलेले आहे आणि WinRM शी बांधलेले आहे. त्यानंतर पोर्ट 5986/TCP फायरवॉलमध्ये उघडला जातो आणि क्लायंटकडून वापरला जातो. -एसएसएल वापरा रिमोट cmdlets मध्ये. क्लायंट प्रमाणपत्र प्रमाणीकरणासाठी, तुम्ही स्थानिक खात्यात प्रमाणपत्र मॅप करू शकता आणि कनेक्ट करू शकता -प्रमाणपत्र अंगठ्याचा ठसा (Enter-PSSession हे थेट स्वीकारत नाही; New-PSSession वापरून प्रथम सत्र तयार करा.)

दुसरी हॉप आणि क्रेडेन्शियल्सचे प्रतिनिधीत्व

सर्व्हरशी कनेक्ट केल्यानंतर, तुम्हाला त्या सर्व्हरला अॅक्सेस करण्याची आवश्यकता असते तेव्हा प्रसिद्ध "डबल हॉप" दिसून येते तिसरा संसाधन तुमच्या वतीने (उदा., एक SMB शेअर). हे करण्यास परवानगी देण्याचे दोन मार्ग आहेत: CredSSP आणि संसाधन-आधारित मर्यादित Kerberos डेलिगेशन.

सह CredSSP तुम्ही क्लायंट आणि मध्यस्थांना स्पष्टपणे क्रेडेन्शियल्स सोपविण्यास सक्षम करता आणि विशिष्ट संगणकांना सोपविण्यास अनुमती देण्यासाठी तुम्ही एक धोरण (GPO) सेट करता. ते कॉन्फिगर करणे जलद आहे, परंतु कमी सुरक्षित आहे कारण क्रेडेन्शियल्स एन्क्रिप्टेड बोगद्यात स्पष्ट मजकुरात प्रवास करतात. नेहमी स्रोत आणि गंतव्यस्थाने मर्यादित करा.

डोमेनमध्ये पसंतीचा पर्याय म्हणजे मर्यादित केर्बेरोस प्रतिनिधीमंडळ (संसाधन-आधारित मर्यादित प्रतिनिधीमंडळ) आधुनिक AD मध्ये. हे एंडपॉइंटला विशिष्ट सेवांसाठी मध्यबिंदूकडून प्रतिनिधीमंडळ प्राप्त करण्यावर अवलंबून राहण्यास अनुमती देते, सुरुवातीच्या कनेक्शनवर तुमची ओळख उघड करणे टाळते. अलीकडील डोमेन नियंत्रक आणि अद्यतनित RSAT आवश्यक आहे.

कस्टम एंडपॉइंट्स (सत्र कॉन्फिगरेशन)

रिमोटिंगमधील एक मौल्यवान गोष्ट म्हणजे कनेक्शन पॉइंट्सची नोंदणी करणे अनुकूलित क्षमता आणि मर्यादा. प्रथम तुम्ही New-PSSessionConfigurationFile (प्रीलोड करण्यासाठी मॉड्यूल, दृश्यमान फंक्शन्स, उपनामे, एक्झिक्युशनपॉलिसी, लँग्वेजमोड, इ.) वापरून एक फाइल तयार करता आणि नंतर ती Register-PSSessionConfiguration वापरून नोंदणी करता, जिथे तुम्ही रनअ‍ॅस्क्रेडेन्शियल आणि परवानग्या (-ShowSecurityDescriptorUI सह SDDL किंवा GUI इंटरफेस).

सुरक्षितपणे डेलिगेशन करण्यासाठी, -VisibleCmdlets/-VisibleFunctions सह फक्त आवश्यक तेच उघड करा आणि योग्य असल्यास फ्री स्क्रिप्टिंग अक्षम करा भाषा मोड प्रतिबंधित भाषा किंवा NoLanguage. जर तुम्ही FullLanguage सोडले तर कोणीतरी स्क्रिप्ट ब्लॉक वापरून अनएक्सपोज्ड कमांडस सुरू करू शकेल, जे RunAs सोबत एकत्रितपणे, ते एक छिद्र असेल.. बारीक दात असलेल्या कंगव्याने हे टोके डिझाइन करा आणि त्यांची व्याप्ती नोंदवा.

डोमेन, GPO आणि ग्रुपवेअर

AD मध्ये तुम्ही GPO सह पॉवरशेल रिमोटिंग मोठ्या प्रमाणात तैनात करू शकता: WinRM श्रोत्यांच्या स्वयंचलित कॉन्फिगरेशनला अनुमती द्या, सेवा स्वयंचलित वर सेट करा., आणि फायरवॉल अपवाद तयार करा. लक्षात ठेवा की GPO सेटिंग्ज बदलतात, परंतु ते नेहमीच सेवा त्वरित चालू करत नाहीत; कधीकधी तुम्हाला रीस्टार्ट करावे लागते किंवा gpupdate सक्ती करावी लागते.

कार्यसमूहांमध्ये (डोमेन नसलेले), रिमोटिंग यासह कॉन्फिगर करा सक्षम-PSRemoting, क्लायंटवर TrustedHosts सेट करा (winrm set winrm/config/client @{TrustedHosts=»host1,host2″}) आणि स्थानिक क्रेडेन्शियल्स वापरा. ​​HTTPS साठी, तुम्ही स्व-स्वाक्षरी केलेले प्रमाणपत्रे माउंट करू शकता, जरी विश्वसनीय CA वापरण्याची शिफारस केली जाते आणि नावाची पुष्टी करा जे तुम्ही प्रमाणपत्रात -ComputerName मध्ये वापराल (CN/SAN जुळणी).

की cmdlets आणि वाक्यरचना

काही मूठभर कमांडो कव्हर करतात ९०% दैनंदिन परिस्थिती. सक्रिय/निष्क्रिय करण्यासाठी:

Enable-PSRemoting    
Disable-PSRemoting

परस्परसंवादी सत्र १ ते १ आणि बाहेर पडा:

Enter-PSSession -ComputerName SEC504STUDENT 
Exit-PSSession

१ ते अनेक, समांतरता आणि क्रेडेन्शियल्ससह:

Invoke-Command -ComputerName dc01,sql02,web01 -ScriptBlock { Get-Service W32Time } -Credential $cred

सतत सत्रे आणि पुन्हा वापरा:

$s = New-PSSession -ComputerName localhost -ConfigurationName PowerShell.7
Invoke-Command -Session $s -ScriptBlock { $PSVersionTable }
Remove-PSSession $s

चाचणी आणि WinRM उपयुक्त:

Test-WSMan -ComputerName host
winrm get winrm/config
winrm enumerate winrm/config/listener
winrm quickconfig -transport:https

फायरवॉल, नेटवर्क आणि पोर्ट्स बद्दल व्यावहारिक नोट्स

लक्ष्य संगणकावर आणि चालू असलेल्या संगणकावर HTTP साठी 5985/TCP आणि HTTPS साठी 5986/TCP उघडा कोणताही मध्यवर्ती फायरवॉलविंडोज क्लायंटवर, Enable-PSRemoting डोमेन आणि खाजगी प्रोफाइलसाठी नियम तयार करते; सार्वजनिक प्रोफाइलसाठी, ते स्थानिक सबनेटपुरते मर्यादित आहे जोपर्यंत तुम्ही Set-NetFirewallRule -RemoteAddress Any (तुमच्या जोखमीवर आधारित तुम्ही मूल्यांकन करू शकता असे मूल्य) वापरून स्कोपमध्ये बदल करत नाही.

जर तुम्ही SOAR/SIEM इंटिग्रेशन वापरत असाल जे रिमोट कमांड चालवतात (उदा. XSOAR वरून), तर सर्व्हरकडे आहे याची खात्री करा डीएनएस रिझोल्यूशन होस्टशी कनेक्टिव्हिटी, ५९८५/५९८६ शी कनेक्टिव्हिटी आणि पुरेशा स्थानिक परवानग्यांसह क्रेडेन्शियल्स. काही प्रकरणांमध्ये, NTLM/बेसिक ऑथेंटिकेशनला समायोजनाची आवश्यकता असू शकते (उदा., SSL सह बेसिकमध्ये स्थानिक वापरकर्त्याचा वापर करणे).

सक्षम-PSRemoting पॅरामीटर्स (ऑपरेशनल सारांश)

- कार्यान्वित करण्यापूर्वी पुष्टीकरण विचारते; - सक्ती इशाऱ्यांकडे दुर्लक्ष करतो आणि आवश्यक बदल करा; -SkipNetworkProfileCheck सार्वजनिक क्लायंट नेटवर्कवर रिमोटिंग सक्षम करते (डिफॉल्टनुसार स्थानिक सबनेटपुरते मर्यादित); -WhatIf तुम्हाला बदल लागू न करता काय होईल ते दाखवते. याव्यतिरिक्त, कोणत्याही मानक cmdlet प्रमाणे, ते समर्थन देते सामान्य पॅरामीटर्स (-क्रियापद, -त्रुटीक्रिया, इ.).

लक्षात ठेवा की "सक्षम करा" तुमच्यासाठी HTTPS श्रोते किंवा प्रमाणपत्रे तयार करत नाही; जर तुम्हाला सुरुवातीपासून एंड-टू-एंड एन्क्रिप्शन आणि त्यावर आधारित प्रमाणीकरणाची आवश्यकता असेल तर प्रमाणपत्रे, HTTPS लिसनर कॉन्फिगर करा आणि तुम्ही -ComputerName मध्ये वापरणार असलेल्या नावाविरुद्ध CN/SAN प्रमाणित करा.

उपयुक्त WinRM आणि PowerShell रिमोटिंग कमांड

काही बेडसाईडसाठी आवश्यक वस्तू दररोज साठी:

winrm get winrm/config
winrm enumerate winrm/config/listener
Set-NetFirewallRule -Name 'WINRM-HTTP-In-TCP' -RemoteAddress Any
Test-WSMan -ComputerName host -Authentication Default -Credential (Get-Credential)
New-PSSession -ComputerName host 
Enter-PSSession -ComputerName host 
Enable-PSRemoting -SkipNetworkProfileCheck -Force

मोठ्या प्रमाणात विंडोज व्यवस्थापित करताना, रिमोटिंग तुम्हाला "कॉम्प्युटर-टू-कॉम्प्युटर" वरून घोषणात्मक आणि सुरक्षित दृष्टिकोनाकडे जाण्याची परवानगी देते. सतत सत्रे, मजबूत प्रमाणीकरण (केर्बेरोस/HTTPS), प्रतिबंधित एंडपॉइंट्स आणि डायग्नोस्टिक्ससाठी स्पष्ट ट्रेस एकत्र करून, तुम्हाला वेग आणि नियंत्रण मिळते सुरक्षितता किंवा ऑडिटिंगचा त्याग न करता. जर तुम्ही GPO सक्रियकरणाचे प्रमाणीकरण केले आणि विशेष प्रकरणे (ट्रस्टेडहोस्ट्स, डबल हॉप, प्रमाणपत्रे) मास्टर केली, तर तुमच्याकडे दैनंदिन ऑपरेशन्स आणि घटना प्रतिसादासाठी एक मजबूत रिमोट प्लॅटफॉर्म असेल.