Jinsi ya kudhibiti PC yako kutoka kwa simu yako ya mkononi kwa kutumia PowerShell Remoting

Unaweza tayari kufanyia kazi kazi nyingi otomatiki ukitumia PowerShell ndani ya nchi, lakini uko wapi kwa kweli Uondoaji wa PowerShell hufanya tofauti Ni wakati unapoendesha amri kwenye mashine za mbali, iwe chache au mamia, kwa maingiliano au kwa sambamba. Teknolojia hii, inayopatikana tangu Windows PowerShell 2.0 na kuboreshwa tangu 3.0, inategemea WS-Management (WinRM) na ubadilishaji. PowerShell katika chaneli thabiti, inayoweza kupanuka na salama ya usimamizi wa mbali.

Kwanza kabisa, ni muhimu kuelewa mawazo mawili muhimu: cmdlets na -Kigezo cha Jina la Kompyuta (k.m., Pata Mchakato au Pata Huduma) sio njia ya muda mrefu inayopendekezwa na Microsoft, na Uondoaji wa PowerShell haufanyi kazi kama "udukuzi." Kwa kweli, hutekeleza uthibitishaji wa pande zote, kagua kumbukumbu na uheshimu ruhusa zako za kawaida, bila kuhifadhi kitambulisho au kuendesha kitu chochote kwa upendeleo wa hali ya juu.

PowerShell Remoting ni nini na kwa nini utumie?

na Utoaji wa PowerShell unaweza tekeleza karibu amri yoyote kwa mbali ambayo unaweza kuzindua katika kipindi cha ndani, kutoka kwa huduma za kuuliza maswali hadi kupeleka usanidi, na kufanya hivyo kwenye mamia ya kompyuta mara moja. Tofauti na cmdlets zinazokubali -ComputerName (nyingi hutumia DCOM/RPC), Kuondoa husafiri kupitia WS-Man (HTTP/HTTPS), ambayo ni rafiki zaidi ya ngome, huruhusu usawazishaji na upakiaji kufanya kazi kwa seva pangishi ya mbali, si mteja.

Hii inatafsiri katika faida tatu za vitendo: utendaji bora katika utekelezaji mkubwa, msuguano mdogo katika mitandao na sheria zenye vizuizi na muundo wa usalama unaolingana na Kerberos/HTTPS. Zaidi ya hayo, kwa kutotegemea kila cmdlet kutekeleza kijijini chake, Kuondoa Inafanya kazi kwa hati au jukumu lolote ambayo inapatikana kwenye marudio.

Kwa chaguo-msingi, Seva za Windows za hivi karibuni zinakuja na Uondoaji umewezeshwa; katika Windows 10/11 unaiwasha na cmdlet moja. Na ndiyo, unaweza kutumia vitambulisho mbadala, vipindi vinavyoendelea, vidokezo maalum na zaidi.

Kumbuka: Kuondoa si sawa na kufungua kila kitu. Kwa chaguo-msingi, wasimamizi pekee Wanaweza kuunganishwa, na vitendo vinatekelezwa chini ya utambulisho wao. Iwapo unahitaji uwakilishi wa hali ya juu, miisho maalum hukuruhusu kufichua tu amri muhimu.

Jinsi inavyofanya kazi ndani: WinRM, WS-Man na bandari

Uondoaji wa PowerShell hufanya kazi katika mfano wa seva ya mteja. Mteja hutuma maombi ya Usimamizi wa WS kupitia HTTP (5985/TCP) au HTTPS (5986/TCP). Kwenye lengwa, huduma ya Windows Remote Management (WinRM) husikiliza, kutatua sehemu ya mwisho (usanidi wa kipindi), na kupangisha kipindi cha PowerShell chinichini (mchakato wa wsmprovhost.exe), kurudisha matokeo ya mfululizo kwa mteja katika XML kupitia SOAP.

Mara ya kwanza unapowasha Kipengele cha Kuondoa, wasikilizaji husanidiwa, ubaguzi unaofaa wa ngome hufunguliwa, na usanidi wa kipindi huundwa. Kutoka kwa PowerShell 6+, matoleo mengi yanaishi pamoja, na Washa-PSRemoting Husajili vituo kwa majina yanayoakisi toleo (kwa mfano, PowerShell.7 na PowerShell.7.xy).

Ukiruhusu HTTPS tu katika mazingira yako, unaweza kuunda a salama msikilizaji na cheti kilichotolewa na CA inayoaminika (inapendekezwa). Vinginevyo, mbadala mwingine ni kutumia TrustedHosts kwa njia finyu, inayotambua hatari, kwa matukio ya kikundi cha kazi au kompyuta zisizo za kikoa.

Kumbuka kuwa Uondoaji wa Powershell unaweza kuishi pamoja na cmdlets na -ComputerName, lakini Microsoft inasukuma WS-Man kama njia ya kawaida na ya uthibitisho wa siku zijazo kwa usimamizi wa mbali.

Kuwasha Uondoaji wa PowerShell na Vigezo Muhimu

Kwenye Windows, fungua tu PowerShell kama msimamizi na uendeshe Washa-PSRemoting. Mfumo huanza WinRM, husanidi autostart, huwezesha msikilizaji, na kuunda sheria zinazofaa za firewall. Kwa wateja walio na wasifu wa mtandao wa umma, unaweza kuruhusu hii kwa makusudi na -SkipNetworkProfileCheck (na kisha uimarishe na sheria maalum):

Enable-PSRemoting
Enable-PSRemoting -Force
Enable-PSRemoting -SkipNetworkProfileCheck -Force

Sintaksia pia inaruhusu, - Thibitisha y -NiniKama kwa udhibiti wa mabadiliko. Kumbuka: Inapatikana tu kwenye Windows, na lazima uendeshe koni iliyoinuliwa. Sheria zilizoundwa hutofautiana kati ya matoleo ya Seva na Mteja, hasa kwenye mitandao ya umma, ambapo kwa chaguo-msingi yanadhibitiwa kwa subnet ya ndani isipokuwa ukipanua wigo (kwa mfano, kwa Set-NetFirewallRule).

Ili kuorodhesha usanidi wa kikao kilichorekodiwa na uthibitishe kuwa kila kitu kiko tayari, tumia Pata-PSSessionConfigurationIwapo ncha za PowerShell.x na Mtiririko wa Kazi zitaonekana, mfumo wa Uondoaji unafanya kazi.

Njia za matumizi: 1 hadi 1, 1 hadi nyingi, na vipindi vinavyoendelea

Unapohitaji koni inayoingiliana kwenye kompyuta moja, fungua Ingiza-PSSessionKidokezo kitaonekana, na kila kitu utakachotekeleza kitaenda kwa seva pangishi ya mbali. Unaweza kutumia tena vitambulisho kwa Pata-Kitambulisho ili kuepuka kuviingiza tena kila mara:

$cred = Get-Credential
Enter-PSSession -ComputerName dc01 -Credential $cred
Exit-PSSession

Ikiwa unachotafuta ni kutuma amri kwa kompyuta kadhaa mara moja, chombo ni Omba-Amri na kizuizi cha maandishi. Kwa chaguo-msingi, inazindua hadi miunganisho 32 inayofanana (inayoweza kurekebishwa na -ThrottleLimit). Matokeo yanarejeshwa kama vitu vilivyoharibiwa (bila njia za "live"):

Invoke-Command -ComputerName dc01,sql02,web01 -ScriptBlock { Get-Service -Name W32Time } -Credential $cred

Je, unahitaji kutumia mbinu kama vile .Stop() au .Start()? Fanya hivyo. ndani ya kizuizi cha maandishi katika muktadha wa mbali, sio kitu cha ndani kilichotengwa, na ndivyo hivyo. Ikiwa kuna cmdlet sawa (Simamisha-Huduma/Anza-Huduma), kwa kawaida ni vyema kuitumia kwa uwazi.

Ili kuepuka gharama ya kuanzisha na kumalizia vipindi kwa kila simu, tengeneza a PSSession ya kudumu na uitumie tena katika maombi mengi. Tumia New-PSSession kuunda muunganisho, na utumie Invoke-Command-Session kutumia tena njia. Usisahau kuifunga kwa Ondoa-PSSession ukimaliza.

Kusasisha, mipaka na mazoea mazuri

Maelezo muhimu: wakati wa kusafiri, vitu "+ flatten" na kufika kama snapshots deserialized, na mali lakini hakuna njia. Hii ni ya kimakusudi na huhifadhi kipimo data, lakini inamaanisha huwezi kutumia washiriki wanaotekeleza mantiki (kama .Kill()) kwenye nakala ya ndani. Suluhisho ni dhahiri: omba njia hizo. kwa mbali na ikiwa unahitaji sehemu fulani pekee, chuja kwa Chagua-Object ili kutuma data kidogo.

Katika hati, epuka Enter-PSSession (inayolengwa kwa matumizi shirikishi) na utumie Invoke-Command na vizuizi vya hati. Ikiwa unatarajia simu nyingi au unahitaji kuhifadhi hali (vigezo, moduli zilizoingizwa), tumia vikao vinavyoendelea na, ikiwezekana, zikata/ziunganishe tena kwa Disconnect-PSSession/Connect-PSSession katika PowerShell 3.0+.

Uthibitishaji, HTTPS, na Matukio ya Nje ya Kikoa

Katika kikoa, uthibitishaji asilia ni Kerberos Na kila kitu kinapita. Wakati kifaa hakiwezi kuthibitisha jina la seva, au ukiunganisha kwa CNAME IP au lakabu, unahitaji mojawapo ya chaguo hizi mbili: 1) Msikilizaji. HTTPS yenye cheti iliyotolewa na CA unayemwamini, au 2) ongeza lengwa (jina au IP) kwa TrustedHosts na tumia vitambulishoChaguo la pili huzima uthibitishaji wa pande zote kwa seva pangishi, kwa hivyo inapunguza upeo kwa kiwango cha chini kinachohitajika.

Kuweka kisikilizaji cha HTTPS kunahitaji cheti (bora kutoka kwa PKI yako au CA ya umma), iliyosakinishwa kwenye duka la timu na kufungwa kwa WinRM. Bandari ya 5986/TCP inafunguliwa kwenye ngome na, kutoka kwa mteja, inatumiwa. -Tumia SSL kwenye cmdlets za mbali. Kwa uthibitishaji wa cheti cha mteja, unaweza kuweka cheti kwenye akaunti ya karibu nawe na uunganishe nayo -Alama ya Kidole cha Cheti (Enter-PSSession haikubali hii moja kwa moja; fungua kipindi kwanza na New-PSSession.)

Hop ya pili na ujumbe wa sifa

"Double hop" maarufu inaonekana wakati, baada ya kuunganisha kwenye seva, unahitaji seva hiyo kufikia a rasilimali ya tatu kwa niaba yako (k.m., mgao wa SMB). Kuna mbinu mbili za kuruhusu hili: CredSSP na ujumbe wa Kerberos uliozuiliwa kulingana na rasilimali.

na CredSSP Unamwezesha mteja na mpatanishi kukabidhi vitambulisho kwa uwazi, na unaweka sera (GPO) ili kuruhusu utumaji kwa kompyuta mahususi. Ni haraka kusanidi, lakini salama kidogo kwa sababu vitambulisho husafirishwa kwa maandishi wazi ndani ya njia iliyosimbwa kwa njia fiche. Daima punguza vyanzo na unakoenda.

Njia mbadala inayopendekezwa katika kikoa ni ilizuia ujumbe wa Kerberos (ujumbe wenye vikwazo kwa msingi wa rasilimali) katika AD ya kisasa. Hii inaruhusu sehemu ya mwisho kutegemea kupokea ujumbe kutoka katikati kwa huduma mahususi, kuepuka kufichua utambulisho wako kwenye muunganisho wa awali. Inahitaji vidhibiti vya hivi majuzi vya kikoa na RSAT iliyosasishwa.

Miisho Maalum (Mipangilio ya Kipindi)

Moja ya vito vya Kuondoa ni kuweza kusajili vituo vya unganisho na uwezo na mipaka iliyolengwa. Kwanza unatengeneza faili na New-PSSessionConfigurationFile (moduli za kupakia mapema, utendakazi zinazoonekana, lakabu, ExecutionPolicy, LanguageMode, n.k.), kisha unaisajili kwa Register-PSSessionConfiguration, ambapo unaweza kuweka. RunAsCredential na ruhusa (kiolesura cha SDDL au GUI kilicho na -ShowSecurityDescriptorUI).

Kwa uwakilishi salama, onyesha tu kile kinachohitajika na -VisibleCmdlets/-VisibleFunctions na uzime uandishi bila malipo ikiwa inafaa na Lugha Iliyowekewa Mipaka au Lugha No. Ukiacha FullLanguage, mtu anaweza kutumia kizuizi cha hati kuomba amri ambazo hazijafichuliwa, ambazo, pamoja na RunAs, lingekuwa shimo. Tengeneza ncha hizi kwa kuchana kwa meno laini na uandike upeo wao.

Vikoa, GPO na Groupware

Katika AD unaweza kupeleka Uondoaji wa Powershell kwa kiwango na GPO: ruhusu usanidi otomatiki wa wasikilizaji wa WinRM, weka huduma kuwa Otomatiki, na unda ubaguzi wa ngome. Kumbuka kwamba GPO hubadilisha mipangilio, lakini huwa haziwashi huduma mara moja; wakati mwingine unahitaji kuanzisha upya au kulazimisha gpupdate.

Katika vikundi vya kazi (zisizo za kikoa), sanidi Kuondoa na Washa-PSRemoting, weka TrustedHosts kwenye mteja (winrm set winrm/config/client @{TrustedHosts=»host1,host2″}) na utumie vitambulisho vya ndani. Kwa HTTPS, unaweza kupachika vyeti vya kujiandikisha, ingawa inashauriwa kutumia CA na thibitisha jina utakayotumia katika -ComputerName kwenye cheti (mechi ya CN/SAN).

cmdlets muhimu na syntax

Makomando wachache wanafunika 90% ya matukio ya kila siku. Ili kuwezesha/kuzima:

Enable-PSRemoting    
Disable-PSRemoting

Kipindi cha mwingiliano 1 hadi 1 na utoke:

Enter-PSSession -ComputerName SEC504STUDENT 
Exit-PSSession

1 kwa wengi, pamoja na ulinganifu na vitambulisho:

Invoke-Command -ComputerName dc01,sql02,web01 -ScriptBlock { Get-Service W32Time } -Credential $cred

Vipindi vinavyoendelea na utumie tena:

$s = New-PSSession -ComputerName localhost -ConfigurationName PowerShell.7
Invoke-Command -Session $s -ScriptBlock { $PSVersionTable }
Remove-PSSession $s

Upimaji na WinRM muhimu:

Test-WSMan -ComputerName host
winrm get winrm/config
winrm enumerate winrm/config/listener
winrm quickconfig -transport:https

Vidokezo vya vitendo kwenye firewall, mtandao na bandari

Fungua 5985/TCP kwa HTTP na 5986/TCP kwa HTTPS kwenye kompyuta lengwa na uwashe. firewall yoyote ya katiKwenye wateja wa Windows, Wezesha-PSRemoting huunda sheria kwa wasifu wa kikoa na wa kibinafsi; kwa wasifu wa umma, ni mdogo kwa subnet ya ndani isipokuwa urekebishe upeo na Set-NetFirewallRule -RemoteAddress Any (thamani unayoweza kutathmini kulingana na hatari yako).

Ikiwa unatumia miunganisho ya SOAR/SIEM inayoendesha amri za mbali (k.m. kutoka XSOAR), hakikisha kuwa seva ina Ubora wa DNS kwa seva pangishi, muunganisho kwa 5985/5986, na vitambulisho vilivyo na ruhusa za kutosha za ndani. Katika baadhi ya matukio, uthibitishaji wa NTLM/Basic unaweza kuhitaji marekebisho (k.m., kutumia mtumiaji wa ndani katika Msingi na SSL).

Washa-PSRemoting Parameta (Muhtasari wa Uendeshaji)

-Thibitisha anauliza uthibitisho kabla ya kutekeleza; -Nguvu hupuuza maonyo na kufanya mabadiliko muhimu; -SkipNetworkProfileCheck huwezesha Kuondoa kwenye mitandao ya mteja wa umma (imezuiliwa kwa chaguo-msingi kwa subnet ya ndani); -WhatIf inakuonyesha nini kingetokea bila kutumia mabadiliko. Kwa kuongeza, kama cmdlet yoyote ya kawaida, inasaidia vigezo vya kawaida (-Verbose, -ErrorAction, nk.).

Kumbuka kwamba "Washa" haikuundi visikilizaji au vyeti vya HTTPS kwa ajili yako; ikiwa unahitaji usimbaji fiche kutoka mwanzo hadi mwisho kutoka mwanzo na uthibitishaji kulingana na kuthibitishwa, sanidi kisikilizaji cha HTTPS na uidhinishe CN/SAN dhidi ya jina litakalotumia katika -ComputerName.

Amri Muhimu za WinRM na PowerShell za Kuondoa

Baadhi vitu muhimu vya kitanda kwa maisha ya kila siku:

winrm get winrm/config
winrm enumerate winrm/config/listener
Set-NetFirewallRule -Name 'WINRM-HTTP-In-TCP' -RemoteAddress Any
Test-WSMan -ComputerName host -Authentication Default -Credential (Get-Credential)
New-PSSession -ComputerName host 
Enter-PSSession -ComputerName host 
Enable-PSRemoting -SkipNetworkProfileCheck -Force

Wakati wa kudhibiti Windows kwa kiwango, Kuondoa hukuruhusu kuhama kutoka "kompyuta hadi kompyuta" hadi kwa njia ya kutangaza na salama. Kwa kuchanganya vipindi vinavyoendelea, uthibitishaji thabiti (Kerberos/HTTPS), sehemu za mwisho zilizowekewa vikwazo, na ufuatiliaji wazi wa uchunguzi, unapata kasi na udhibiti bila kutoa dhabihu usalama au ukaguzi. Ikiwa pia utasawazisha kuwezesha GPO na bwana kesi maalum (TrustedHosts, hop mbili, vyeti), utakuwa na jukwaa thabiti la mbali kwa shughuli za kila siku na majibu ya matukio.

Nakala inayohusiana:

Jinsi ya kulinda Kompyuta yako dhidi ya programu hasidi isiyoonekana kama XWorm na NotDoor

Daniel Terrasa

Mhariri aliyebobea katika masuala ya teknolojia na intaneti akiwa na tajriba ya zaidi ya miaka kumi katika midia tofauti ya dijiti. Nimefanya kazi kama mhariri na muundaji wa maudhui kwa biashara ya mtandaoni, mawasiliano, uuzaji mtandaoni na makampuni ya utangazaji. Pia nimeandika kwenye tovuti za uchumi, fedha na sekta nyinginezo. Kazi yangu pia ni shauku yangu. Sasa, kupitia makala yangu katika Tecnobits, Ninajaribu kuchunguza habari zote na fursa mpya ambazo ulimwengu wa teknolojia hutupatia kila siku ili kuboresha maisha yetu.