在扫描中使用PowerShell
Windows PowerShell是一种命令行shell和脚本语言,专为系统管理和自动化而设计。从PowerShell 2.0开始,您可以使用Windows Remote Management在一台或多台远程计算机上运行命令。通过使用PowerShell和Windows Remote Management进行扫描,您可以像在本地登录一样扫描到每台机器。PowerShell支持对于SCAP 1.2中的一些策略检查至关重要,并且更有效地为一些其他检查返回数据。
为了使用PowerShell的Windows远程管理,您必须在您要扫描的所有机器上启用它。如果您有大量的Windows资产要扫描,那么通过Windows域的组策略启用它可能会更有效。
虽然可以通过HTTP将Windows远程管理与PowerShell结合使用,但使用HTTPS服务更安全。为了利用HTTPS协议,需要正确配置WinRM服务。这可以通过阅读以下文章来实现:
https://support.microsoft.com/en-us/help/2019527/how-to-configure-winrm-for-https
对于使用PowerShell的Windows Remote Management进行扫描,扫描模板必须提供5985 (HTTP)或5986 (HTTPS)端口。DISA、CIS、USGCB策略扫描模板默认包含该端口;对于其他人,您需要手动添加它。
要将端口添加到扫描模板,请执行以下操作:
- 去政府翻页并选择管理在模板. 选择您正在使用的扫描模板。在服务发现选项卡中,添加5985年或5986年到额外的港口在TCP扫描部分。
您还需要指定适当的服务和凭据。
如果要在配置新站点时添加凭据,请单击创建网站按钮家页面。
如果要为现有站点添加凭据,请单击该站点的编辑中的图标网站表上的家页面。
- 选择身份验证.
- 点击添加凭据.
- 在添加凭据表单,如有必要,输入一组新凭证的名称和描述。
- 点击账户在下面添加凭据.
- 选择Microsoft Windows/Samba(SMB/CIFS)服务。
- 输入服务的域、用户名和密码。
- 完成凭证配置后,单击创建如果它是一个新的集合保存如果它是以前创建的集。
有关其他可选步骤,请参阅以下主题:
如果启用了正确的端口,并且指定了正确的Microsoft Windows/Samba (SMB/CIFS)凭据,应用程序将自动使用PowerShell。
如果已启用PowerShell,但不想将其用于扫描,则可能需要定义不包括端口5985的自定义端口列表。
关闭对该端口的访问。
- 去政府翻页并选择管理在模板.
- 选择您正在使用的扫描模板。
- 在服务发现选项卡,在TCP扫描对于端口扫描中,选择自定义(仅使用“附加端口”).
- 在额外的港口,指定不包括端口5985的端口列表。