Перейти к основному содержимому
Версия: 7.x

Настройка подключения по WinRM

Для корректного подключения к узлам под управлением Windows с помощью задач «Инвентаризация» и «Аудит» необходимо предварительно настроить службу удаленного управления Windows (WinRM) на целевых машинах.

Настройка с помощью поставляемого скрипта (Рекомендуемый способ)

Этот метод подходит для современных систем Windows с PowerShell 5.1 и .Net Framework 4 (или новее).

  1. Подготовка:

    • Скопируйте скрипты из директории /var/lib/echelon/0/scanner/scripts (на сервере «Сканер-ВС») на целевую Windows-машину.
    • Либо скачайте их по ссылке https://<IP-адрес-сканера>/winrm/.
  2. Базовая настройка (для аутентификации по паролю):

    • Запустите PowerShell от имени администратора.
    • Выполните скрипт:
      Powershell.exe -ExecutionPolicy Bypass -File winrm.ps1

    После этого подключение по протоколу WinRM через basic аутентификацию станет возможным.

  3. Настройка для аутентификации по ключу (WinRM KeyPair):

    • Сгенерируйте секрет типа WinRM KeyPair в интерфейсе «Сканер-ВС» и скопируйте публичный ключ.
    • Сохраните публичный ключ в файл с расширением .cer или .pem на целевой машине.
    • Выполните скрипт, указав путь к ключу и учетные данные пользователя:
      Powershell.exe -ExecutionPolicy Bypass -File clientCert.ps1 <путь_к_файлу_с_ключом> <имя_пользователя> <пароль>

Ручная настройка

Если автоматизированный способ не подходит (например, из-за политик безопасности или особенностей системы), выполните настройку вручную в PowerShell (от имени администратора).

  1. Включите удаленное управление:

    Enable-PSRemoting -force
  2. Быстрая конфигурация службы WinRM (создает HTTP-прослушиватель):

    winrm qc
  3. Сгенерируйте и установите самоподписанный сертификат для HTTPS. Для этого можно использовать командлет New-SelfSignedCertificate или следовать инструкциям вашей организации по работе с сертификатами.

  4. Создайте HTTPS-Listener. Это ключевой шаг для включения безопасного соединения. Необходимо создать новый прослушиватель WinRM для транспорта HTTPS, указав отпечаток сертификата, созданного на предыдущем шаге.

  5. Включите необходимые типы аутентификации:

    Set-Item -Path "WSMan:\localhost\Service\Auth\Basic" -Value $true
    Set-Item -Path "WSMan:\localhost\Service\Auth\Certificate" -Value $true
  6. Настройте правила Брандмауэра Windows для разрешения входящих подключений на порт WinRM (по умолчанию 5986 для HTTPS).

Особенности для старых ОС

Для Windows Server 2008 и Windows 7 требуется дополнительная сложная настройка, включающая установку обновлений и редактирование реестра для включения поддержки TLS 1.2. Подробная пошаговая инструкция для этих систем приведена в «Руководстве администратора», раздел 1.2 (Приложение 1).

Отмена изменений

Для отката изменений, внесенных автоматическим скриптом, запустите на целевой машине PowerShell от имени администратора и выполните:

Powershell.exe -ExecutionPolicy Bypass -File remove.ps1
Disable-PSRemoting -Force
предупреждение

Команда Disable-PSRemoting отключает все виды удаленного управления через PowerShell, а не только WinRM.