څنګه د پاورشیل ریموټینګ په کارولو سره خپل کمپیوټر د خپل ګرځنده تلیفون څخه کنټرول کړئ

تاسو ممکن دمخه په محلي ډول د پاورشیل سره ډیری دندې اتومات کړئ، مګر تاسو واقعیا چیرته کوئ د پاورشیل ریموټ کول توپیر رامینځته کوي دا هغه وخت دی کله چې تاسو په لرې پرتو ماشینونو کې قوماندې چلوئ، که څو وي یا سلګونه، په متقابل ډول یا په موازي ډول. دا ټیکنالوژي، چې د وینډوز پاورشیل 2.0 راهیسې شتون لري او د 3.0 راهیسې وده شوې، د WS-Management (WinRM) پر بنسټ والړ ده او بدلوي پاور سیسټم په یوه قوي، د اندازې وړ او خوندي ریموټ مدیریت چینل کې.

لومړی، دا مهمه ده چې دوه مهم نظرونه پوه شئ: cmdlets سره - د کمپیوټر نوم پیرامیټر (د مثال په توګه، Get-Process یا Get-Service) د مایکروسافټ لخوا وړاندیز شوی اوږدمهاله لاره نه ده، او د پاورشیل ریموټینګ د "هیک" په توګه کار نه کوي. په حقیقت کې، دوه اړخیز تصدیق پلي کوي، د لاګونو پلټنه کوي او ستاسو د معمول اجازې درناوی کوي، پرته له دې چې اسناد ذخیره کړي یا په جادویی ډول د عالي امتیازاتو سره کوم شی چل کړي.

د پاورشیل ریموټینګ څه شی دی او ولې یې وکاروئ؟

con د بریښنا سیسټم بیاکتنه تاسو کولی شئ تقریبا هر قومانده په لرې ډول اجرا کړئ چې تاسو کولی شئ په محلي غونډه کې پیل کړئ، د خدماتو پوښتنې کولو څخه نیولې تر تشکیلاتو پلي کولو پورې، او دا په یوځل کې په سلګونو کمپیوټرونو کې ترسره کړئ. د cmdlets برعکس چې -ComputerName مني (ډیری یې DCOM/RPC کاروي)، ریموټ کول د WS-Man (HTTP/HTTPS) له لارې سفر کوي، کوم چې د فایر وال لپاره ډیر دوستانه دی، موازي کولو او آفلوډونو ته اجازه ورکوي چې لرې کوربه ته کار وکړي، نه مراجع ته.

دا په دریو عملي ګټو کې ژباړل کیږي: په پراخه کچه اعدامونو کې غوره فعالیت، په شبکو کې لږ رګونه د محدودو قوانینو او د کربروس/HTTPS سره سم د امنیت ماډل سره. سربیره پردې، د هر cmdlet پورې اړه نه لري ترڅو خپل ریموټ پلي کړي، ریموټینګ دا د هر سکریپټ یا رول لپاره کار کوي چې په منزل کې شتون لري.

په ډیفالټ ډول، وروستي وینډوز سرورونه د ریموټینګ فعالولو سره راځي؛ په وینډوز 10/11 کې تاسو یې فعال کړئ د یو واحد cmdlet سره. او هو، تاسو کولی شئ بدیل اسناد، دوامداره ناستې، دودیز پای ټکي، او نور وکاروئ.

یادونه: لرې کول د هرڅه خلاصولو سره مترادف ندي. په ډیفالټ ډول، یوازې مدیران دوی کولی شي وصل شي، او کړنې د دوی د هویت لاندې اجرا کیږي. که تاسو دقیق ډیلیګیشن ته اړتیا لرئ، دودیز پای ټکي تاسو ته اجازه درکوي چې یوازې اړین امرونه افشا کړئ.

دا څنګه دننه کار کوي: WinRM، WS-Man، او پورټونه

د پاورشیل ریموټینګ د مراجعینو-سرور ماډل کې کار کوي. مراجعین د WS-Management غوښتنې د دې له لارې لیږي HTTP (5985/TCP) یا HTTPS (5986/TCP). په هدف کې، د وینډوز ریموټ مدیریت (WinRM) خدمت غوږ نیسي، د پای ټکی (د غونډې ترتیب) حل کوي، او د پاورشیل سیشن په شالید کې کوربه کوي (wsmprovhost.exe پروسه)، مراجعینو ته د پرله پسې پایلو بیرته راستنیدل په XML کې د SOAP له لارې.

لومړی ځل چې تاسو ریموټینګ فعال کړئ، اوریدونکي تنظیم شوي، د فایر وال مناسب استثنا خلاصیږي، او د سیشن تنظیمات رامینځته کیږي. د پاور شیل 6+ څخه، ډیری نسخې یوځای شتون لري، او د PSRemoting فعالول د پای ټکي د هغو نومونو سره راجستر کوي چې نسخه منعکسوي (د مثال په توګه، PowerShell.7 او PowerShell.7.xy).

که تاسو یوازې په خپل چاپیریال کې HTTPS ته اجازه ورکړئ، تاسو کولی شئ یو جوړ کړئ خوندي اورېدونکی د باوري CA لخوا صادر شوي سند سره (سپارښتنه شوې). په بدیل سره، بل بدیل دا دی چې د کاري ګروپ سناریوګانو یا غیر ډومین کمپیوټرونو لپاره په محدود، خطر پوه ډول د ټرسټډ هوسټ کارول شي.

په یاد ولرئ چې د پاورشیل ریموټینګ کولی شي د -ComputerName سره د cmdlets سره یوځای شي، مګر مایکروسافټ WS-Man فشار راوړي د لرې پرتو ادارې لپاره د معیاري او راتلونکي ثبوت لارې په توګه.

د پاورشیل ریموټینګ او ګټور پیرامیټرو فعالول

په وینډوز کې، یوازې د مدیر په توګه PowerShell پرانیزئ او چل کړئ د PSRemoting فعالول. سیسټم WinRM پیل کوي، اتوماتیک پیل تنظیموي، اوریدونکي فعالوي، او مناسب فایر وال قواعد رامینځته کوي. په هغو مراجعینو کې چې د عامه شبکې پروفایل لري، تاسو کولی شئ په قصدي ډول دا اجازه ورکړئ - د شبکې پروفایل چیک پریږدئ (او بیا د ځانګړو قوانینو سره تقویه کړئ):

Enable-PSRemoting
Enable-PSRemoting -Force
Enable-PSRemoting -SkipNetworkProfileCheck -Force

 

نحو هم اجازه ورکوي، - تایید کړئ y - که څه هم د بدلون کنټرول لپاره. په یاد ولرئ: دا یوازې په وینډوز کې شتون لري، او تاسو باید لوړ شوی کنسول چل کړئ. جوړ شوي قواعد د سرور او مراجعینو نسخو ترمنځ توپیر لري، په ځانګړې توګه په عامه شبکو کې، چیرې چې په ډیفالټ ډول دوی محلي سب نیټ پورې محدود دي پرته لدې چې تاسو ساحه پراخه کړئ (د مثال په توګه، د Set-NetFirewallRule سره).

د ثبت شویو غونډو ترتیباتو لیست کولو او تاییدولو لپاره چې هرڅه چمتو دي، وکاروئ د PSS-Session ترتیب ترلاسه کړئکه چیرې د PowerShell.x او د کاري جریان پای ټکي څرګند شي، نو د ریموټینګ چوکاټ فعال دی.

د کارولو طریقې: له ۱ څخه تر ۱ پورې، له ۱ څخه تر ډېرو پورې، او دوامداره ناستې

کله چې تاسو په یوه کمپیوټر کې متقابل کنسول ته اړتیا لرئ، نو وګرځئ د PSS غونډې ته ننوتلپرامپټ به راښکاره شي، او هر هغه څه چې تاسو یې اجرا کوئ لرې کوربه ته به ځي. تاسو کولی شئ د Get-Credential سره اسناد بیا وکاروئ ترڅو په دوامداره توګه د دوی د بیا ننوتلو څخه مخنیوی وکړئ:

$cred = Get-Credential
Enter-PSSession -ComputerName dc01 -Credential $cred
Exit-PSSession

که هغه څه چې تاسو یې په لټه کې یاست په یو وخت کې څو کمپیوټرونو ته امرونه لیږل دي، وسیله دا ده د قوماندې غوښتنه وکړئ د سکریپټ بلاک سره. په ډیفالټ ډول، دا تر 32 پورې هممهاله اړیکې پیلوي (د -ThrottleLimit سره تنظیم کیدونکی). پایلې د غیر سیریل شوي شیان (پرته له "ژوندۍ" میتودونو):

Invoke-Command -ComputerName dc01,sql02,web01 -ScriptBlock { Get-Service -Name W32Time } -Credential $cred

د .Stop() یا .Start() په څیر میتود کارولو ته اړتیا لرئ؟ دا کار وکړئ. د سکریپټ بلاک دننه په لرې پرتو شرایطو کې، نه د محلي غیر سیریل شوي شی، او بس. که چیرې یو مساوي cmdlet (Stop-Service/Start-Service) وي، نو معمولا غوره ده چې د وضاحت لپاره یې وکاروئ.

د هرې زنګ وهلو په وخت کې د غونډو د پیل او پای لګښت څخه د مخنیوي لپاره، یو جوړ کړئ دوامداره PSS غونډه او په ګڼو انووکیشنونو کې یې بیا وکاروئ. د اړیکې جوړولو لپاره New-PSSession وکاروئ، او د تونل بیا کارولو لپاره Invoke-Command-Session وکاروئ. کله چې کار بشپړ شي نو د Remove-PSSession سره یې وتړئ مه هیروئ.

پرله پسې کول، محدودیتونه او ښې کړنې

یو مهم جزئیات: کله چې سفر کوئ، شیان "+چپ شوي" وي او د ډیسیریل شوي سنیپ شاټونه، د ملکیتونو سره مګر هیڅ میتودونه نلري. دا قصدي دی او بینډ ویت خوندي کوي، مګر دا پدې مانا ده چې تاسو نشئ کولی هغه غړي وکاروئ چې منطق اجرا کوي (لکه .Kill()) په محلي کاپي کې. حل روښانه دی: دا میتودونه وکاروئ. له لرې څخه او که تاسو یوازې ځینو ځانګړو ساحو ته اړتیا لرئ، د لږ معلوماتو لیږلو لپاره د Select-Object سره فلټر کړئ.

په سکریپټونو کې، د Enter-PSSession څخه ډډه وکړئ (د متقابل کارونې لپاره ټاکل شوی) او د سکریپټ بلاکونو سره Invoke-Command وکاروئ. که تاسو ډیری زنګونه تمه لرئ یا د حالت ساتلو ته اړتیا لرئ (متغیرات، وارد شوي ماډلونه)، دوامداره ناستې وکاروئ او، که چیرې د تطبیق وړ وي، نو په پاورشیل 3.0+ کې یې د Disconnect-PSSession/Connect-PSSession سره منقطع/بیا وصل کړئ.

تصدیق، HTTPS، او د ډومین څخه بهر سناریوګانې

په یوه ډومین کې، اصلي تصدیق دی کرربوس او هر څه روان دي. کله چې وسیله د سرور نوم تایید نشي کولی، یا تاسو د CNAME IP یا عرف سره وصل شئ، تاسو د دې دوو انتخابونو څخه یو ته اړتیا لرئ: 1) اوریدونکی د سند سره HTTPS د هغه CA لخوا صادر شوی چې تاسو یې باور لرئ، یا 2) منزل (نوم یا IP) ټرسټډ هوسټ ته اضافه کړئ او د اسنادو کارولدوهم انتخاب د هغه کوربه لپاره دوه اړخیز تصدیق غیر فعالوي، نو دا ساحه لږترلږه اړین ته راټیټوي.

د HTTPS اوریدونکي تنظیم کول یو سند ته اړتیا لري (په مثالي توګه ستاسو د PKI یا عامه CA څخه)، چې په ټیم سټور کې نصب شوی او WinRM پورې تړلی دی. پورټ 5986/TCP بیا په فایر وال کې پرانستل کیږي او د مراجع څخه کارول کیږي. - د ایس ایس ایل کارول په لرې پرتو cmdlets کې. د مراجعینو د سند تصدیق لپاره، تاسو کولی شئ یو سند محلي حساب ته نقشه کړئ او ورسره وصل شئ - سند د ګوتو نښه (Enter-PSSession دا په مستقیم ډول نه مني؛ لومړی د New-PSSession سره غونډه جوړه کړئ.)

د باورلیکونو دوهم هپ او سپارل

مشهور "ډبل هاپ" هغه وخت څرګندیږي کله چې، د سرور سره وصل کیدو وروسته، تاسو اړتیا لرئ چې هغه سرور ته لاسرسی ومومئ دریمه سرچینه ستاسو په استازیتوب (د مثال په توګه، د SMB ونډه). د دې اجازه ورکولو لپاره دوه لارې شتون لري: CredSSP او د سرچینو پر بنسټ محدود کربروس استازیتوب.

con کریډ ایس ایس پی تاسو مراجع او منځګړي ته دا توان ورکوئ چې په څرګنده توګه اسناد وسپاري، او تاسو یوه پالیسي (GPO) جوړه کړئ ترڅو ځانګړو کمپیوټرونو ته د سپارلو اجازه ورکړي. دا تنظیم کول ګړندي دي، مګر لږ خوندي دي ځکه چې اسناد په کوډ شوي تونل کې په روښانه متن کې سفر کوي. تل سرچینې او منزلونه محدود کړئ.

په ډومین کې غوره بدیل دا دی محدود کربروس پلاوی (د سرچینو پر بنسټ محدود استازیتوب) په عصري AD کې. دا د پای ټکی ته اجازه ورکوي چې د ځانګړو خدماتو لپاره د مینځنۍ نقطې څخه د استازیتوب ترلاسه کولو باندې تکیه وکړي، په لومړني اړیکه کې ستاسو د هویت افشا کولو څخه مخنیوی وکړي. وروستي ډومین کنټرولرونو او تازه شوي RSAT ته اړتیا لري.

دودیز پای ټکي (د غونډې ترتیبونه)

د ریموټینګ یو له قیمتي شیانو څخه د دې وړتیا ده چې د اړیکې نقطې ثبت کړي ځانګړي شوي وړتیاوې او محدودیتونه. لومړی تاسو د New-PSSessionConfigurationFile (د پری لوډ کولو لپاره ماډلونه، لیدل شوي دندې، عرفونه، د اجرا کولو پالیسي، د ژبې حالت، او نور) سره یو فایل رامینځته کوئ، او بیا تاسو دا د Register-PSSessionConfiguration سره راجستر کوئ، چیرې چې تاسو کولی شئ تنظیم کړئ د چلولو اعتبار او اجازې (SDDL یا GUI انٹرفیس د -ShowSecurityDescriptorUI سره).

د خوندي سپارلو لپاره، یوازې هغه څه ښکاره کړئ چې د -VisibleCmdlets/-VisibleFunctions سره اړین دي او که مناسب وي نو وړیا سکریپټینګ غیر فعال کړئ د ژبې حالت محدود شوی ژبه یا NoLanguage. که تاسو FullLanguage پریږدئ، نو څوک کولی شي د سکریپټ بلاک څخه کار واخلي ترڅو ناڅرګند شوي قوماندې وغواړي، کوم چې د RunAs سره یوځای کیږي، دا به یو سوری ويدا پای ټکي د یوې ښې غاښ لرونکې کنگح سره ډیزاین کړئ او د دوی ساحه مستند کړئ.

ډومینونه، GPOs، او ګروپ ویئر

په AD کې تاسو کولی شئ د GPO سره په پیمانه د پاورشیل ریموټینګ ځای په ځای کړئ: د WinRM اوریدونکو اتوماتیک ترتیب ته اجازه ورکړئ، خدمت په اتوماتیک ډول تنظیم کړئ، او د فایر وال استثنا رامینځته کړئ. په یاد ولرئ چې GPOs تنظیمات بدلوي، مګر دوی تل خدمت سمدلاسه نه فعالوي؛ ځینې وختونه تاسو اړتیا لرئ چې بیا پیل کړئ یا gpupdate مجبور کړئ.

په کاري ګروپونو (غیر ډومین) کې، د ریموټینګ سره تنظیم کړئ د PSRemoting فعالول، په مراجع باندې TrustedHosts تنظیم کړئ (winrm set winrm/config/client @{TrustedHosts=»host1,host2″}) او محلي اسناد وکاروئ. د HTTPS لپاره، تاسو کولی شئ ځان لاسلیک شوي سندونه نصب کړئ، که څه هم دا سپارښتنه کیږي چې د باور وړ CA وکاروئ او نوم تایید کړئ چې تاسو به یې په سند کې -ComputerName کې وکاروئ (CN/SAN میچ).

کلیدي cmdlets او نحو

یو څو کمانډو ځواکونه د د ورځني سناریوګانو ۹۰٪د فعالولو/غیر فعالولو لپاره:

Enable-PSRemoting    
Disable-PSRemoting

متقابل غونډه ۱ څخه ۱ ته او وتل:

Enter-PSSession -ComputerName SEC504STUDENT 
Exit-PSSession

۱ تر ډېرو پورې، د موازيتوب او اعتبار سره:

Invoke-Command -ComputerName dc01,sql02,web01 -ScriptBlock { Get-Service W32Time } -Credential $cred

دوامداره غونډې او بیا یې وکاروئ:

$s = New-PSSession -ComputerName localhost -ConfigurationName PowerShell.7
Invoke-Command -Session $s -ScriptBlock { $PSVersionTable }
Remove-PSSession $s

ازموینه او WinRM ګټور:

Test-WSMan -ComputerName host
winrm get winrm/config
winrm enumerate winrm/config/listener
winrm quickconfig -transport:https

د فایر وال، شبکې او پورټونو په اړه عملي یادښتونه

په هدف کمپیوټر او نورو کې د HTTP لپاره 5985/TCP او د HTTPS لپاره 5986/TCP خلاص کړئ هر منځنی فایر والپه وینډوز مراجعینو کې، Enable-PSRemoting د ډومین او شخصي پروفایلونو لپاره قواعد رامینځته کوي؛ د عامه پروفایلونو لپاره، دا په محلي سب نیټ پورې محدود دی پرته لدې چې تاسو د Set-NetFirewallRule -RemoteAddress Any (یو ارزښت چې تاسو یې د خپل خطر پراساس ارزولی شئ) سره ساحه بدله کړئ.

که تاسو د SOAR/SIEM ادغامونه کاروئ چې لرې پرتو قوماندې چلوي (د مثال په توګه د XSOAR څخه)، ډاډ ترلاسه کړئ چې سرور لري د DNS ریزولوشن کوربه ته، ۵۹۸۵/۵۹۸۶ ته اتصال، او د کافي محلي اجازې سره اعتبار. په ځینو مواردو کې، د NTLM/اساسي تصدیق ممکن سمون ته اړتیا ولري (د مثال په توګه، د SSL سره په اساس کې د محلي کارونکي کارول).

د فعالولو-PSRemoting پیرامیټرې (عملیاتي لنډیز)

- تایید د اجرا کولو دمخه د تایید غوښتنه کوي؛ - زور خبرداریو ته پام نه کوي او اړین بدلونونه راولي؛ -SkipNetworkProfileCheck د عامه مراجعینو شبکو کې ریموټینګ فعالوي (په ډیفالټ ډول محلي سب نیټ پورې محدود دی)؛ -WhatIf تاسو ته ښیې چې د بدلونونو پلي کولو پرته به څه پیښ شي. سربیره پردې، د هر معیاري cmdlet په څیر، دا ملاتړ کوي عام پیرامیټرې (-فعل، - تېروتنه عمل، او داسې نور).

په یاد ولرئ چې "فعال کړئ" ستاسو لپاره د HTTPS اوریدونکي یا سندونه نه جوړوي؛ که تاسو د پیل څخه تر پایه کوډ کولو او تصدیق پر بنسټ اړتیا لرئ سندونه، د HTTPS اوریدونکی تنظیم کړئ او CN/SAN د هغه نوم په وړاندې تایید کړئ چې تاسو به یې په -ComputerName کې کاروئ.

د WinRM او PowerShell د ریموټ کولو ګټورې قوماندې

ځینې د بستر اړین توکي د ورځني ژوند لپاره:

winrm get winrm/config
winrm enumerate winrm/config/listener
Set-NetFirewallRule -Name 'WINRM-HTTP-In-TCP' -RemoteAddress Any
Test-WSMan -ComputerName host -Authentication Default -Credential (Get-Credential)
New-PSSession -ComputerName host 
Enter-PSSession -ComputerName host 
Enable-PSRemoting -SkipNetworkProfileCheck -Force

کله چې په پیمانه وینډوز اداره کوئ، ریموټینګ تاسو ته اجازه درکوي چې له "کمپیوټر څخه کمپیوټر ته" یو اعلاناتي او خوندي چلند ته لاړ شئ. د دوامداره غونډو، قوي تصدیق (Kerberos/HTTPS)، محدود شوي پای ټکي، او د تشخیص لپاره روښانه نښې سره یوځای کولو سره، تاسو سرعت او کنټرول ترلاسه کوئ پرته له دې چې امنیت یا تفتیش قرباني کړئ. که تاسو د GPO فعالول هم معیاري کړئ او ځانګړي قضیې (ټرسټډ هوسټز، ډبل هاپ، سندونه) ماسټر کړئ، نو تاسو به د ورځني عملیاتو او پیښو غبرګون لپاره یو قوي ریموټ پلیټ فارم ولرئ.