Accès distant PowerShell pour Découverte

  • Rversion finale: Australia
  • Mis à jour 24 mars 2026
  • 2 minutes de lecture

    • Les développeurs de sondes peuvent utiliser le cadre de travail d’exécution à distance PowerShell pour gérer automatiquement l’exécution à distance de scripts sur les appareils cibles. Le cadre de travail unifié supprime les incohérences dans l’exécution à distance, augmente l’efficacité et améliore la stabilité.

    Besoins

    Pour utiliser le cadre de travail d’exécution à distance de PowerShell, les conditions requises suivantes doivent être remplies :
    • Il Serveur MID doit être capable d’écrire et de lire à partir du partage réseau de la cible.
    • La cible distante doit disposer de PowerShell 3 ou version ultérieure (jusqu’à 7).
    • Pour Serveurs MID l’utilisation de WinRM ou WMI qui choisissent de copier le script sur la cible distante, les champs d’application MachinePolicy et UserPolicy doivent être définis sur Non défini. Si le script n’est pas copié, la politique d’exécution peut être n’importe quelle autre configuration jusqu’à Restrictive.

    Consultez Configurer les serveurs MID pour utiliser PowerShell pour plus d'informations.

    Découverte d’applications

    L’infrastructure d’exécution à distance PowerShell dispose d’options permettant de copier des fichiers vers la cible distante lors de l’exécution d’une analyse. La copie des fichiers sur la cible est importante pour les sondes telles que Windows la découverte de fichiers, car son script s’appelle sur la cible distante pour générer un nouveau processus. Serveurs MID l’utilisation de WMI pour exécuter des scripts à distance peut rencontrer une erreur avec launchProcess si le script est trop long. La copie du script sur la cible distante résout cette erreur. La copie d’un script sur une cible distante peut entraîner le marquage du script par un logiciel antivirus sur la cible. Pour éviter les problèmes avec les logiciels antivirus, ajoutez les scripts à la liste d’autorisation dans l’application antivirus.

    Configuration de la sonde

    Voici la page de configuration de la Windows sonde — Active Connections, qui est incluse dans la Windows multisonde — ADM.

    Windows : page de configuration de la sonde Connexions actives

    La case à cocher Exécuter le script à distance est visible lorsque la rubrique de file d’attente ECC est WMIRunner ou PowerShell. Lorsque cette option est activée, le script s’exécute sur la cible distante. Sinon, le script s’exécute sur le fichier Serveur MID.

    La case à cocher Copier le script vers la cible est visible lorsque l’option Exécuter le script à distance est cochée. Si l’option Copier le script sur la cible est cochée, le script est copié sur la cible et exécuté sur celle-ci. Si l’option Copier le script sur la cible n’est pas cochée, le script est exécuté sur la cible sans la copier.

    Développement de sondes PowerShell

    L’infrastructure d’exécution à distance PowerShell est une méthode unifiée d’exécution de scripts PowerShell, contenus dans un paramètre de sonde, sur un serveur cible distant. Le cadre élimine la nécessité pour les développeurs de sondes d’écrire leur propre code d’exécution à distance, ce qui peut entraîner des incohérences entre les développeurs. Le développeur de sonde écrit le script comme si la sonde collectait des informations localement, car le cadre de travail d’exécution distante gère automatiquement l’exécution de script distant.

    Le cadre de travail gère l’exécution à distance, qu’il Serveur MID soit configuré pour utiliser WMI ou WinRM. Si le Serveur MID est configuré pour WMI, la sonde utilise launchProcess pour exécuter des commandes sur la cible distante. L’utilisation de launchProcess complique l’exécution à distance et peut entraîner des échecs. Cependant, un Serveur MID configuré pour WinRM n’utilise pas launchProcess, et est donc plus efficace et stable.