PowerShell Remoting ကို အသုံးပြု၍ သင့် PC ကို သင့်မိုဘိုင်းဖုန်းမှ ထိန်းချုပ်နည်း

သင်သည် PowerShell စက်တွင်း၌ လုပ်ဆောင်စရာများစွာကို အလိုအလျောက်လုပ်ဆောင်နိုင်နေပြီဖြစ်သော်လည်း သင်အမှန်တကယ်ဘယ်မှာလဲ။ PowerShell Remoting သည် ခြားနားမှုကို ဖြစ်စေသည်။ အနည်းငယ် သို့မဟုတ် ရာဂဏန်းဖြစ်စေ အပြန်အလှန်တုံ့ပြန်မှုဖြစ်စေ ပြိုင်တူဖြစ်စေရန် အဝေးထိန်းစက်များတွင် သင်လုပ်ဆောင်သည့်အချိန်ဖြစ်သည်။ Windows PowerShell 2.0 မှ စတင်၍ ရရှိနိုင်ပြီး 3.0 ကတည်းက မြှင့်တင်ထားသော ဤနည်းပညာသည် WS-Management (WinRM) ကို အခြေခံထားပြီး converts PowerShell ခိုင်မာသော၊ အတိုင်းအတာနှင့် လုံခြုံသော အဝေးထိန်းစနစ်ဖြင့် စီမံခန့်ခွဲနိုင်သော ချန်နယ်တစ်ခုတွင်။

ပထမဦးစွာ၊ cmdlets နှင့် အဓိက အယူအဆနှစ်ခုကို နားလည်ရန် အရေးကြီးပါသည်။ -ComputerName ကန့်သတ်ချက် (ဥပမာ၊ Get-Process သို့မဟုတ် Get-Service) သည် Microsoft မှအကြံပြုထားသော ရေရှည်လမ်းကြောင်းမဟုတ်ပါ၊ နှင့် PowerShell Remoting သည် "hack" တစ်ခုအဖြစ် အလုပ်မလုပ်ပါ။ တကယ်တော့, အပြန်အလှန် စစ်မှန်ကြောင်း သက်သေပြရန် တွန်းအားပေးသည်။အထောက်အထားများကို သိမ်းဆည်းခြင်း သို့မဟုတ် စူပါအခွင့်ထူးများဖြင့် မည်သည့်အရာကိုမျှ အံ့သြဖွယ်လုပ်ဆောင်ခြင်းမရှိဘဲ သင်၏ပုံမှန်ခွင့်ပြုချက်များကို စာရင်းစစ်ပြီး လေးစားပါသည်။

PowerShell Remoting ဆိုတာ ဘာလဲ ၊ ဘာကြောင့် သုံးတာလဲ။

con PowerShell အဝေးမှ နိုင် မည်သည့် command ကိုမဆိုအဝေးမှလုပ်ဆောင်ပါ။ ဝန်ဆောင်မှုများကို စုံစမ်းမေးမြန်းခြင်းမှ စီစဉ်သတ်မှတ်မှုများ ဖြန့်ကျက်ခြင်းအထိ၊ ရာနှင့်ချီသော ကွန်ပျူတာများတွင် တစ်ပြိုင်နက် လုပ်ဆောင်နိုင်စေရန်အတွက် သင်ဒေသတွင်း စက်ရှင်တစ်ခုတွင် သင်စတင်နိုင်သည်။ -ComputerName (များစွာသော DCOM/RPC ကိုအသုံးပြုသည်)၊ Remoting ကိုလက်ခံသော cmdlets နှင့်မတူဘဲ WS-Man (HTTP/HTTPS) မှတဆင့် ခရီးသွားသည်Firewall-friendly ဖြစ်သည့်၊ သည် client မဟုတ်ဘဲ remote host သို့ parallelism နှင့် offload များအလုပ်လုပ်နိုင်စေပါသည်။

၎င်းသည် လက်တွေ့ကျသော အားသာချက် သုံးခုအဖြစ် ဘာသာပြန်ဆိုသည်- ကြီးမားသော ကွပ်မျက်ခြင်းများတွင် ပိုမိုကောင်းမွန်သော စွမ်းဆောင်ရည်၊ ကွန်ရက်များတွင် ပွတ်တိုက်မှု နည်းပါးသည်။ တင်းကျပ်သော စည်းမျဉ်းများနှင့် Kerberos/HTTPS တို့နှင့် ကိုက်ညီသော လုံခြုံရေးပုံစံ။ ထို့အပြင်၊ ၎င်း၏ကိုယ်ပိုင်အဝေးထိန်း၊ Remoting ကိုအကောင်အထည်ဖော်ရန် cmdlet တစ်ခုစီအပေါ်မမူတည်ဘဲ ၎င်းသည် မည်သည့်ဇာတ်ညွှန်း သို့မဟုတ် အခန်းကဏ္ဍအတွက်မဆို အလုပ်လုပ်ပါသည်။ ဦးတည်ရာမှာ ရနိုင်ပါတယ်။

ပုံမှန်အားဖြင့်၊ မကြာသေးမီက Windows Server များသည် Remoting ဖွင့်ထားခြင်းဖြင့် လာပါသည်။ Windows 10/11 တွင် သင် activate လုပ်ပါ။ cmdlet တစ်ခုတည်းဖြင့် ဟုတ်ပါသည်၊ သင်သည် အခြားအထောက်အထားများ၊ ဆက်တိုက်ဆက်ရှင်များ၊ စိတ်ကြိုက်အဆုံးမှတ်များနှင့် အခြားအရာများကို အသုံးပြုနိုင်ပါသည်။

မှတ်ချက်- အဝေးထိန်းခြင်းသည် အရာအားလုံးကို ဖွင့်ခြင်းနှင့် အဓိပ္ပါယ်တူမည်မဟုတ်ပါ။ ပုံသေ၊ စီမံခန့်ခွဲသူများသာ ၎င်းတို့သည် ချိတ်ဆက်နိုင်ပြီး ၎င်းတို့၏ အထောက်အထားအောက်တွင် လုပ်ဆောင်ချက်များကို လုပ်ဆောင်ပါသည်။ တိကျသေချာသော ကိုယ်စားလှယ်အဖွဲ့ကို လိုအပ်ပါက၊ စိတ်ကြိုက်အဆုံးအမှတ်များသည် သင့်အား မရှိမဖြစ်လိုအပ်သော အမိန့်များကိုသာ ဖော်ထုတ်ခွင့်ပြုသည်။

အတွင်းတွင် မည်သို့အလုပ်လုပ်သည်- WinRM၊ WS-Man နှင့် port များ

PowerShell Remoting သည် ကလိုင်းယင့်-ဆာဗာ မော်ဒယ်တွင် အလုပ်လုပ်သည်။ client သည် WS-Management တောင်းဆိုချက်များကို ပေးပို့ပါသည်။ HTTP (5985/TCP) သို့မဟုတ် HTTPS (5986/TCP). ပစ်မှတ်တွင်၊ Windows Remote Management (WinRM) ဝန်ဆောင်မှုသည် နားထောင်ပြီး အဆုံးမှတ် (session configuration) ကို ဖြေရှင်းပေးပြီး PowerShell session ကို နောက်ခံ (wsmprovhost.exe လုပ်ငန်းစဉ်) တွင် လက်ခံဆောင်ရွက်ပေးပါသည်။ အတွဲလိုက်ရလဒ်များကို client သို့ ပြန်ပေးသည်။ SOAP မှတဆင့် XML တွင်။

အဝေးထိန်းခြင်းကို သင်ပထမဆုံးဖွင့်သောအခါ၊ နားဆင်သူများကို စီစဉ်သတ်မှတ်ထားပြီး၊ သင့်လျော်သော firewall ခြွင်းချက်အား ဖွင့်ထားပြီး စက်ရှင်ပုံစံများကို ဖန်တီးထားသည်။ PowerShell 6+ မှ၊ များစွာသော တည်းဖြတ်မှုများ အတူယှဉ်တွဲလျက် PSRemoting ကိုဖွင့်ပါ။ ဗားရှင်းနှင့် ကိုက်ညီသော အမည်များ (ဥပမာ၊ PowerShell.7 နှင့် PowerShell.7.xy) အဆုံးမှတ်များကို မှတ်ပုံတင်သည်။

သင့်ပတ်ဝန်းကျင်တွင် HTTPS ကိုသာခွင့်ပြုပါက၊ သင်ဖန်တီးနိုင်သည်။ ဘေးကင်းစွာ နားထောင်သူ ယုံကြည်စိတ်ချရသော CA မှထုတ်ပေးသောလက်မှတ် (အကြံပြုထားသည်)။ တနည်းအားဖြင့် အလုပ်အဖွဲ့အခြေအနေများ သို့မဟုတ် domain မဟုတ်သော ကွန်ပျူတာများအတွက် အကန့်အသတ်ရှိသော၊ အန္တရာယ်-သတိပြုမိသည့်ပုံစံဖြင့် TrustedHosts ကို အသုံးပြုရန် အခြားရွေးချယ်စရာတစ်ခုဖြစ်သည်။

Powershell Remoting သည် -ComputerName ဖြင့် cmdlets နှင့် အတူရှိနေနိုင်သည်ကို သတိပြုပါ။ Microsoft သည် WS-Man ကို တွန်းအားပေးသည်။ ဝေးလံခေါင်သီသောစီမံခန့်ခွဲမှုအတွက် စံနှင့် အနာဂတ်သက်သေနည်းလမ်းအဖြစ်။

PowerShell Remoting နှင့် အသုံးဝင်သော ဘောင်များကို ဖွင့်ခြင်း

Windows တွင်၊ စီမံခန့်ခွဲသူအဖြစ် PowerShell ကိုဖွင့်ပြီး run လိုက်ပါ။ PSRemoting ကိုဖွင့်ပါ။. စနစ်သည် WinRM ကိုစတင်သည်၊ အလိုအလျောက်စတင်ရန်စီစဉ်ပေးသည်၊ နားဆင်သူကိုဖွင့်ပေးသည်၊ သင့်လျော်သော firewall စည်းမျဉ်းများကိုဖန်တီးသည်။ အများသူငှာ ကွန်ရက်ပရိုဖိုင်ပါရှိသော ဖောက်သည်များတွင်၊ ၎င်းကို တမင်တကာ ခွင့်ပြုနိုင်သည်။ -SkipNetworkProfileCheck (ထို့နောက် သတ်မှတ်ထားသော စည်းမျဉ်းများဖြင့် အားဖြည့်ပါ)။

Enable-PSRemoting
Enable-PSRemoting -Force
Enable-PSRemoting -SkipNetworkProfileCheck -Force

အထားအသိုကိုလည်း ခွင့်ပြု၊ - အတည်ပြုပါ။ y -တကယ်လို့ ... ဘာဖြစ်မလဲ ပြောင်းလဲထိန်းချုပ်မှုအတွက်။ မှတ်ထားရန်- ၎င်းကို Windows တွင်သာရရှိနိုင်သည်။နှင့် သင်သည် မြင့်မားသော ကွန်ဆိုးလ်ကို လုပ်ဆောင်ရပါမည်။ ဖန်တီးထားသော စည်းမျဉ်းများသည် ဆာဗာနှင့် ဖောက်သည်ထုတ်ဝေမှုများကြားတွင်၊ အထူးသဖြင့် အများသူငှာ ကွန်ရက်များတွင် ကွဲပြားသည်၊၊ ၎င်းတို့အား သင်နယ်ပယ်ကို မချဲ့ထွင်ဘဲ ပုံမှန်အားဖြင့် ၎င်းတို့ကို ဒေသဆိုင်ရာ subnet တွင် ကန့်သတ်ထားပါသည် (ဥပမာ၊ Set-NetFirewallRule ဖြင့်)။

မှတ်တမ်းတင်ပြီးသား ဆက်ရှင်ဖွဲ့စည်းပုံများကို စာရင်းပြုစုပြီး အရာအားလုံးအဆင်သင့်ဖြစ်ပြီဟု အတည်ပြုရန်၊ အသုံးပြုပါ။ Get-PSSessionConfigurationPowerShell.x နှင့် Workflow အဆုံးမှတ်များ ပေါ်လာပါက၊ Remoting framework သည် အလုပ်လုပ်ပါသည်။

အသုံးပြုမှုမုဒ်များ- 1 မှ 1၊ 1 မှ အများအပြား နှင့် ဆက်တိုက်ဆက်ရှင်များ

ကွန်ပြူတာတစ်ခုတည်းတွင် အပြန်အလှန်အကျိုးသက်ရောက်မှုရှိသော ကွန်ဆိုးလ်တစ်ခု လိုအပ်သောအခါ၊ သို့လှည့်ပါ။ Enter-PSSessionအမှာစာပေါ်လာမည်ဖြစ်ပြီး သင်လုပ်ဆောင်သမျှအားလုံးသည် အဝေးထိန်းဌာနသို့ ရောက်သွားမည်ဖြစ်သည်။ ၎င်းတို့ကို အဆက်မပြတ် ပြန်လည်ထည့်သွင်းခြင်းမှ ရှောင်ကြဉ်ရန် Get-Credential ဖြင့် အထောက်အထားများကို သင်ပြန်သုံးနိုင်သည်-

$cred = Get-Credential
Enter-PSSession -ComputerName dc01 -Credential $cred
Exit-PSSession

သင်ရှာနေသည့်အရာမှာ ကွန်ပျူတာများစွာကို တစ်ပြိုင်နက် ပေးပို့ရန်ဖြစ်သည်ဆိုပါက ထိုကိရိယာသည် ကိရိယာဖြစ်သည်။ - Command ကို ဖိတ်ခေါ်ပါ။ scriptblock တစ်ခုနှင့်။ ပုံမှန်အားဖြင့်၊ ၎င်းသည် တစ်ပြိုင်တည်းချိတ်ဆက်မှု 32 ခုအထိ (-ThrottleLimit ဖြင့်ချိန်ညှိနိုင်သည်)။ ရလဒ်များကို အတိုင်း ပြန်ပေးသည်။ စွန့်ပစ်ပစ္စည်းများ ("အသက်ရှင်ခြင်း" နည်းလမ်းများမပါဘဲ)

Invoke-Command -ComputerName dc01,sql02,web01 -ScriptBlock { Get-Service -Name W32Time } -Credential $cred

.Stop() သို့မဟုတ် .Start() ကဲ့သို့သော နည်းလမ်းကို ခေါ်ဆိုရန် လိုအပ်ပါသလား။ လုပ်ပါ။ scriptblock အတွင်း ဝေးလံခေါင်သီသောအခြေအနေတွင်၊ ဒေသဆိုင်ရာ ဖယ်ထုတ်ထားသော အရာဝတ္ထုမဟုတ်၊ ဒါပင်။ တူညီသော cmdlet (Stop-Service/Start-Service) ရှိပါက၊ ရှင်းလင်းပြတ်သားစွာ အသုံးပြုရန် ပိုကောင်းပါသည်။

ခေါ်ဆိုမှုတစ်ခုစီတွင် စက်ရှင်များ စတင်ခြင်းနှင့် ပြီးဆုံးခြင်းအတွက် ကုန်ကျစရိတ်ကို ရှောင်ရှားရန်၊ ဖန်တီးပါ။ အမြဲတမ်း PSSession တောင်းခံမှုများစွာဖြင့် ၎င်းကို ပြန်လည်အသုံးပြုပါ။ ချိတ်ဆက်မှုကိုဖန်တီးရန် New-PSSession ကိုအသုံးပြုပြီး tunnel ကိုပြန်သုံးရန် Invoke-Command-Session ကိုအသုံးပြုပါ။ ပြီးပါက Remove-PSSession ဖြင့် ပိတ်ရန် မမေ့ပါနှင့်။

အမှတ်စဉ်၊ ကန့်သတ်ချက်များနှင့် ကောင်းမွန်သော အလေ့အကျင့်များ

အရေးကြီးသောအသေးစိတ်အချက်- ခရီးသွားသည့်အခါ၊ အရာဝတ္ထုများသည် "+ပြား" ပြီး ရောက်ရှိလာသည်။ ဖယ်ထုတ်ထားသော လျှပ်တစ်ပြက် ရိုက်ချက်များဂုဏ်သတ္တိများဖြင့်သော်လည်းကောင်း နည်းလမ်းများမရှိပါ။ ၎င်းသည် တမင်ရည်ရွယ်ပြီး bandwidth ကို သိမ်းဆည်းပေးသည်၊ သို့သော် စက်တွင်းမိတ္တူတွင် လော့ဂျစ် (.Kill()) ကို လုပ်ဆောင်သည့် အဖွဲ့ဝင်များကို သင် အသုံးမပြုနိုင်ဟု ဆိုလိုသည်။ ဖြေရှင်းချက်မှာ ထင်ရှားသည်- ထိုနည်းလမ်းများကို ခေါ်ဆိုပါ။ အဝေးမှ အချို့သော အကွက်များသာ လိုအပ်ပါက၊ ဒေတာလျှော့ပို့ရန် Select-Object ဖြင့် စစ်ထုတ်ပါ။

scripts များတွင် Enter-PSSession (အပြန်အလှန်အသုံးပြုရန်ရည်ရွယ်သည်) ကိုရှောင်ကြဉ်ပြီး script blocks များဖြင့် Invoke-Command ကိုသုံးပါ။ ဖုန်းခေါ်ဆိုမှုများစွာကို ကြိုတင်မျှော်လင့်ထားလျှင် သို့မဟုတ် အခြေအနေ (variable များ၊ ထည့်သွင်းထားသော modules) ကို ထိန်းသိမ်းထားရန် လိုအပ်ပါက၊ ဆက်ရှင်များကို အသုံးပြုပါ။ နှင့် ဖြစ်နိုင်ပါက PowerShell 3.0+ တွင် Disconnect-PSSession/Connect-PSSession ဖြင့် ၎င်းတို့ကို ချိတ်ဆက်/ပြန်လည်ချိတ်ဆက်ပါ။

စစ်မှန်ကြောင်းအထောက်အထားပြခြင်း၊ HTTPS နှင့် Off-Domain ဇာတ်လမ်းများ

ဒိုမိန်းတစ်ခုတွင်၊ မူရင်းစစ်မှန်ကြောင်းအထောက်အထားပြခြင်းဖြစ်ပါသည်။ သစ်ပင်ကြီး ပြီးတော့ အရာအားလုံး စီးဆင်းနေတယ်။ စက်ပစ္စည်းသည် ဆာဗာအမည်ကို အတည်မပြုနိုင်သောအခါ သို့မဟုတ် သင်သည် CNAME IP သို့မဟုတ် အမည်ဝှက်သို့ ချိတ်ဆက်သောအခါ၊ သင်သည် ဤရွေးချယ်စရာနှစ်ခုထဲမှ တစ်ခုကို လိုအပ်သည်- 1) နားထောင်သူ လက်မှတ်ပါသော HTTPS သင်ယုံကြည်ရသော CA မှထုတ်ပေးသော သို့မဟုတ် 2) ဦးတည်ရာ (အမည် သို့မဟုတ် IP) ကို TrustedHosts တွင် ပေါင်းထည့်ကာ၊ အထောက်အထားများကို အသုံးပြုပါ။ဒုတိယရွေးချယ်မှုသည် ထိုအိမ်ရှင်အတွက် အပြန်အလှန်စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းကို ပိတ်ထားသောကြောင့် ၎င်းသည် လိုအပ်သောအတိုင်းအတာကို အနည်းဆုံးအထိ လျှော့ချပေးသည်။

HTTPS နားဆင်သူကို စနစ်ထည့်သွင်းခြင်းတွင် အဖွဲ့စတိုးတွင် ထည့်သွင်းပြီး WinRM သို့ ချည်နှောင်ထားသော လက်မှတ် (အဓိကအားဖြင့် သင်၏ PKI သို့မဟုတ် အများသူငှာ CA မှ) လိုအပ်သည်။ Port 5986/TCP ကို ​​firewall တွင်ဖွင့်ပြီး client မှအသုံးပြုသည်။ -SSL ကိုသုံးပါ။ အဝေးထိန်း cmdlets တွင်။ ကလိုင်းယင့်သက်သေခံလက်မှတ် စစ်မှန်ကြောင်းအထောက်အထားအတွက်၊ သင်သည် လက်မှတ်တစ်ခုကို ဒေသတွင်းအကောင့်တစ်ခုသို့ မြေပုံဆွဲပြီး ချိတ်ဆက်နိုင်သည်။ -Certificate Thumbprint (Enter-PSSession သည် ၎င်းကို တိုက်ရိုက်လက်မခံပါ၊ New-PSSession ဖြင့် ပထမဦးစွာ session ကို ဖန်တီးပါ။)

ဒုတိယ ခုန်ကူးခြင်းနှင့် ကိုယ်စားလှယ်အဖွဲ့၏ အထောက်အထားများ

ဆာဗာတစ်ခုသို့ ချိတ်ဆက်ပြီးနောက်၊ သင်သည် အဆိုပါဆာဗာကို ဝင်ရောက်အသုံးပြုရန် လိုအပ်သောအခါတွင် နာမည်ကြီး "double hop" ပေါ်လာသည်။ တတိယအရင်းအမြစ် သင့်ကိုယ်စား (ဥပမာ၊ SMB မျှဝေမှု)။ ၎င်းကိုခွင့်ပြုရန် ချဉ်းကပ်မှု နှစ်ခုရှိသည်- CredSSP နှင့် အရင်းအမြစ်-အခြေပြု ကန့်သတ်ထားသော Kerberos ကိုယ်စားလှယ်အဖွဲ့။

con CredSSP သင်သည် ကလိုင်းယင့်နှင့် ကြားခံအား အထောက်အထားများကို ပြတ်သားစွာ လွှဲအပ်ရန် ဖွင့်ထားကာ သီးခြားကွန်ပျူတာများသို့ လွှဲအပ်ခွင့်ပြုရန် မူဝါဒ (GPO) ကို သင်သတ်မှတ်ထားသည်။ ကုဒ်ဝှက်ထားသော လိုဏ်ခေါင်းအတွင်း ရှင်းလင်းသော စာသားဖြင့် အထောက်အထားများ သွားလာနေသောကြောင့် မြန်မြန်ဆန်ဆန် စီစဉ်သတ်မှတ်နိုင်သော်လည်း လုံခြုံမှုနည်းပါသည်။ အရင်းအမြစ်များနှင့် ဦးတည်ရာများကို အမြဲကန့်သတ်ပါ။

ဒိုမိန်းတွင် ဦးစားပေးရွေးချယ်စရာမှာ Kerberos ကိုယ်စားလှယ်အဖွဲ့ကို ကန့်သတ်ထားသည်။ ခေတ်သစ် အေဒီတွင် (သယံဇာတအခြေခံ ကန့်သတ်ထားသော ကိုယ်စားလှယ်အဖွဲ့)။ ၎င်းသည် အဆုံးမှတ်အား သီးခြားဝန်ဆောင်မှုများအတွက် အလယ်တန်းအချက်မှ ကိုယ်စားလှယ်အဖွဲ့လက်ခံခြင်းအပေါ် မှီခိုအားထားနိုင်စေကာ ကနဦးချိတ်ဆက်မှုတွင် သင်၏အထောက်အထားကို ဖော်ပြခြင်းမှရှောင်ကြဉ်ပါ။ မကြာသေးမီက domain controllers နှင့် မွမ်းမံထားသော RSAT တစ်ခု လိုအပ်ပါသည်။

စိတ်ကြိုက်အဆုံးမှတ်များ (စက်ရှင်ဖွဲ့စည်းပုံများ)

Remoting ၏ ကျောက်မျက်များထဲမှ တစ်ခုသည် ချိတ်ဆက်မှုအမှတ်များဖြင့် မှတ်ပုံတင်နိုင်ခြင်းဖြစ်သည်။ အံဝင်ခွင်ကျရှိသော စွမ်းဆောင်ရည်များနှင့် ကန့်သတ်ချက်များ. ပထမဦးစွာ သင်သည် New-PSSessionConfigurationFile (ကြိုတင်တင်ရန် မော်ဂျူးများ၊ မြင်နိုင်သောလုပ်ဆောင်ချက်များ၊ နာမည်တူများ၊ ExecutionPolicy၊ LanguageMode စသည်ဖြင့်) ဖြင့် ဖိုင်တစ်ခုကို ထုတ်ပေးပြီးနောက် ၎င်းအား သင်သတ်မှတ်နိုင်သည့် Register-PSSessionConfiguration ဖြင့် မှတ်ပုံတင်ပါ။ RunAscredential နှင့် ခွင့်ပြုချက်များ (-ShowSecurityDescriptorUI ပါသော SDDL သို့မဟုတ် GUI အင်တာဖေ့စ်)။

ဘေးကင်းသော ကိုယ်စားလှယ်အဖွဲ့အတွက် -VisibleCmdlets/-VisibleFunctions ဖြင့် လိုအပ်သည်များကိုသာ ဖော်ထုတ်ပြီး သင့်လျော်ပါက အခမဲ့ scripting ကို ပိတ်ပါ။ LanguageMode ကန့်သတ်ဘာသာစကား သို့မဟုတ် NoLanguage။ အကယ်၍ သင်သည် FullLanguage မှထွက်ခွာပါက၊ တစ်စုံတစ်ဦးသည် RunAs နှင့်ပေါင်းစပ်ထားသည့် မဖော်ပြသောအမိန့်များကို ခေါ်ဆိုရန်အတွက် script block တစ်ခုကို အသုံးပြုနိုင်သည်။ အပေါက်ဖြစ်မယ်။. ဤ အဆုံးမှတ်များကို သွားထိပ်ဖြင့် ပုံဖော်ပြီး ၎င်းတို့၏ နယ်ပယ်ကို မှတ်တမ်းတင်ပါ။

Domains၊ GPO နှင့် Groupware

AD တွင် သင်သည် GPO ဖြင့် Powershell Remoting ကို အတိုင်းအတာဖြင့် အသုံးချနိုင်သည်- WinRM နားဆင်သူများ၏ အလိုအလျောက်ဖွဲ့စည်းမှုကို ခွင့်ပြုရန်၊ ဝန်ဆောင်မှုကို အလိုအလျောက်သတ်မှတ်ပါ။နှင့် firewall ခြွင်းချက်ဖန်တီးပါ။ GPO များသည် ဆက်တင်များကို ပြောင်းလဲသော်လည်း ၎င်းတို့သည် အမြဲတမ်း ဝန်ဆောင်မှုကို ချက်ချင်းဖွင့်မပေးကြောင်း သတိရပါ။ တစ်ခါတစ်ရံတွင် သင်သည် gpupdate ကိုပြန်လည်စတင်ရန် သို့မဟုတ် အတင်းအကြပ်လုပ်ရန် လိုအပ်သည်။

အလုပ်အဖွဲ့များ (ဒိုမိန်းမဟုတ်သော) တွင်၊ အဝေးထိန်းခြင်းဖြင့် စီစဉ်သတ်မှတ်ပါ။ PSRemoting ကိုဖွင့်ပါ။ကလိုင်းယင့်ပေါ်တွင် TrustedHosts ကိုသတ်မှတ်ပါ (winrm set winrm/config/client @{TrustedHosts=»host1,host2″}) နှင့် ဒေသဆိုင်ရာအထောက်အထားများကို အသုံးပြုပါ။ HTTPS အတွက်၊ သင်သည် ယုံကြည်စိတ်ချရသော CA နှင့် အသုံးပြုရန် အကြံပြုထားသော်လည်း ကိုယ်တိုင်လက်မှတ်ထိုးထားသော လက်မှတ်များကို တပ်ဆင်နိုင်သည်။ အမည်ကိုအတည်ပြုပါ။ လက်မှတ် (CN/SAN ကိုက်ညီမှု) တွင် -ComputerName တွင် သင်အသုံးပြုမည်ဖြစ်သည်။

အဓိက cmdlets နှင့် syntax

လက်တစ်ဆုပ်စာ ကွန်မန်ဒိုများက ဖုံးအုပ်ထားသည်။ နေ့စဉ်အခြေအနေများရဲ့ 90%. စဖွင့်ရန်/ပိတ်ရန်-

Enable-PSRemoting    
Disable-PSRemoting

အပြန်အလှန်အကျိုးသက်ရောက်မှုအပိုင်း 1 မှ 1 နှင့် ထွက်ရန်-

Enter-PSSession -ComputerName SEC504STUDENT 
Exit-PSSession

1 မှအများကြီးပြိုင်တူဝါဒနှင့် အထောက်အထားများဖြင့်-

Invoke-Command -ComputerName dc01,sql02,web01 -ScriptBlock { Get-Service W32Time } -Credential $cred

ဆက်ရှင်များ ပြန်သုံးပါ-

$s = New-PSSession -ComputerName localhost -ConfigurationName PowerShell.7
Invoke-Command -Session $s -ScriptBlock { $PSVersionTable }
Remove-PSSession $s

စမ်းသပ်ခြင်းနှင့် WinRM အသုံးဝင်သည်-

Test-WSMan -ComputerName host
winrm get winrm/config
winrm enumerate winrm/config/listener
winrm quickconfig -transport:https

Firewall၊ Network နှင့် Ports များတွင် လက်တွေ့မှတ်စုများ

ပစ်မှတ်ကွန်ပျူတာနှင့် HTTPS အတွက် 5985/TCP နှင့် HTTPS အတွက် 5986/TCP ကိုဖွင့်ပါ အလယ်အလတ် firewall တစ်ခုခုWindows ဖောက်သည်များတွင် Enable-PSRemoting သည် ဒိုမိန်းနှင့် သီးသန့်ပရိုဖိုင်များအတွက် စည်းမျဉ်းများကို ဖန်တီးပေးသည်။ အများသူငှာ ပရိုဖိုင်များအတွက်၊ Set-NetFirewallRule -RemoteAddress Any (သင့်အန္တရာယ်အပေါ်အခြေခံ၍ သင်အကဲဖြတ်နိုင်သည့်တန်ဖိုး) ဖြင့် နယ်ပယ်ကိုမွမ်းမံထားခြင်းမရှိပါက ၎င်းကို ဒေသဆိုင်ရာ subnet တွင် ကန့်သတ်ထားသည်။

အကယ်၍ သင်သည် အဝေးထိန်းအမိန့်များ (ဥပမာ XSOAR မှ) လုပ်ဆောင်သည့် SOAR/SIEM ပေါင်းစည်းမှုများကို အသုံးပြုပါက ဆာဗာတွင် သေချာပါစေ။ DNS ပြတ်သားမှု အိမ်ရှင်များထံ၊ 5985/5986 သို့ ချိတ်ဆက်မှု နှင့် လုံလောက်သော ဒေသန္တရ ခွင့်ပြုချက်ဖြင့် အထောက်အထားများ။ အချို့ကိစ္စများတွင်၊ NTLM/Basic authentication သည် ချိန်ညှိမှု လိုအပ်နိုင်သည် (ဥပမာ၊ SSL ဖြင့် Local အသုံးပြုသူတစ်ဦးကို အသုံးပြု၍)။

Enable-PSRemoting Parameters (လုပ်ငန်းဆောင်ရွက်မှု အကျဉ်းချုပ်)

-Confirm မလုပ်ဆောင်မီ အတည်ပြုချက်တောင်းခံမှုများ၊ - အတင်း သတိပေးချက်များကို လျစ်လျူရှုသည်။ လိုအပ်သော အပြောင်းအလဲများ ပြုလုပ်ပါ။ -SkipNetworkProfileCheck သည် အများသူငှာ အသုံးပြုသူ ကွန်ရက်များပေါ်တွင် ရွေ့ပြောင်းခြင်းကို လုပ်ဆောင်နိုင်သည် (ပုံမှန်အားဖြင့် ဒေသဆိုင်ရာ subnet သို့ ကန့်သတ်ထားသည်)။ -WhatIf သည် အပြောင်းအလဲများကို မကျင့်သုံးဘဲ ဘာဖြစ်မည်ကို သင်ပြပေးသည်။ ထို့အပြင်၊ မည်သည့်စံ cmdlet ကဲ့သို့၊ ၎င်းသည်ထောက်ခံသည်။ ဘုံဘောင်များ (-Verbose၊ -ErrorAction စသည်ဖြင့်)။

“Enable” သည် သင့်အတွက် HTTPS နားဆင်သူများ သို့မဟုတ် လက်မှတ်များကို မဖန်တီးကြောင်း သတိရပါ။ အစမှအဆုံးအထိ ကုဒ်ဝှက်ခြင်း လိုအပ်ပါက၊ နှင့် စစ်မှန်ကြောင်းကို အခြေခံ၍ certified ရရှိထားပြီးHTTPS နားဆင်သူကို configure ပြီး -ComputerName တွင် သင်အသုံးပြုမည့်အမည်နှင့် CN/SAN ကို တရားဝင်အောင်ပြုလုပ်ပါ။

အသုံးဝင်သော WinRM နှင့် PowerShell Remoting Commands

အချို့သော မရှိမဖြစ်လိုအပ်သော အိပ်ရာဘေးထွက်ပစ္စည်းများ နေ့စဉ်ဘဝအတွက်

winrm get winrm/config
winrm enumerate winrm/config/listener
Set-NetFirewallRule -Name 'WINRM-HTTP-In-TCP' -RemoteAddress Any
Test-WSMan -ComputerName host -Authentication Default -Credential (Get-Credential)
New-PSSession -ComputerName host 
Enter-PSSession -ComputerName host 
Enable-PSRemoting -SkipNetworkProfileCheck -Force

Windows ကို အတိုင်းအတာဖြင့် စီမံခန့်ခွဲသည့်အခါ၊ Remoting သည် သင့်အား "ကွန်ပြူတာမှ ကွန်ပြူတာ" မှ ကြေငြာပြီး လုံခြုံသောချဉ်းကပ်မှုသို့ ရွှေ့ရန် ခွင့်ပြုသည်။ တည်မြဲသော ဆက်ရှင်များကို ပေါင်းစပ်ခြင်းဖြင့်၊ ခိုင်မာသော စစ်မှန်ကြောင်း အထောက်အထား (Kerberos/HTTPS)၊ ကန့်သတ်ထားသော အဆုံးမှတ်များနှင့် ရောဂါရှာဖွေခြင်းအတွက် ခြေရာခံများကို ရှင်းလင်းခြင်း၊ မြန်နှုန်းနှင့် ထိန်းချုပ်မှုကို သင်ရရှိမည်ဖြစ်သည်။ လုံခြုံရေး သို့မဟုတ် စာရင်းစစ်ကို မထိခိုက်စေဘဲ၊ အကယ်၍ သင်သည် GPO အသက်သွင်းခြင်းနှင့် ကျွမ်းကျင်သော အထူးကိစ္စများ (TrustedHosts၊ double hop၊ လက်မှတ်များ) ကို စံပြုပါက၊ သင်သည် နေ့စဥ်လုပ်ဆောင်မှုများနှင့် အဖြစ်အပျက်တုံ့ပြန်မှုအတွက် ခိုင်မာသော အဝေးထိန်းပလပ်ဖောင်းတစ်ခု ရှိပါမည်။

ဆက်စပ်ဆောင်းပါး

XWorm နှင့် NotDoor ကဲ့သို့သော မမြင်နိုင်သော malware များမှ သင့် PC ကို မည်သို့ကာကွယ်မည်နည်း။

ဒန်နီရယ် Terrasa

မတူညီသော ဒစ်ဂျစ်တယ်မီဒီယာများတွင် အတွေ့အကြုံ ဆယ်နှစ်ကျော်ရှိသော နည်းပညာနှင့် အင်တာနက်ပြဿနာများကို အထူးပြု တည်းဖြတ်သူ။ ကျွန်ုပ်သည် e-commerce၊ ဆက်သွယ်ရေး၊ အွန်လိုင်းစျေးကွက်ရှာဖွေရေးနှင့် ကြော်ငြာကုမ္ပဏီများအတွက် တည်းဖြတ်သူနှင့် အကြောင်းအရာဖန်တီးသူအဖြစ် လုပ်ကိုင်ခဲ့သည်။ ဘောဂဗေဒ၊ ဘဏ္ဍာရေးနှင့် အခြားကဏ္ဍများ ဝဘ်ဆိုဒ်များတွင်လည်း ရေးသားခဲ့ဖူးသည်။ ကျွန်တော့်အလုပ်ကလည်း ကျွန်တော့်ဝါသနာပါ။ ယခု ကျွန်ုပ်၏ ဆောင်းပါးများမှတဆင့် Tecnobitsကျွန်ုပ်တို့၏ဘဝများကို တိုးတက်ကောင်းမွန်လာစေရန် နေ့စဉ်နည်းပညာလောကမှ ပေးဆောင်နေသော သတင်းများနှင့် အခွင့်အလမ်းသစ်များအားလုံးကို စူးစမ်းလေ့လာရန် ကြိုးစားပါသည်။