Настройка подключения по WinRM
Для корректного подключения к узлам под управлением Windows с помощью задач «Инвентаризация» и «Аудит» необходимо предварительно настроить службу удаленного управления Windows (WinRM) на целевых машинах.
Настройка с помощью поставляемого скрипта (Рекомендуемый способ)
Этот метод подходит для современных систем Windows с PowerShell 5.1 и .Net Framework 4 (или новее).
-
Подготовка:
- Скопируйте скрипты из директории
/var/lib/echelon/0/scanner/scripts
(на сервере «Сканер-ВС») на целевую Windows-машину. - Либо скачайте их по ссылке
https://<IP-адрес-сканера>/winrm/
.
- Скопируйте скрипты из директории
-
Базовая настройка (для аутентификации по паролю):
- Запустите PowerShell от имени администратора.
- Выполните скрипт:
Powershell.exe -ExecutionPolicy Bypass -File winrm.ps1
После этого подключение по протоколу WinRM через
basic
аутентификацию станет возможным. -
Настройка для аутентификации по ключу (WinRM KeyPair):
- Сгенерируйте секрет типа
WinRM KeyPair
в интерфейсе «Сканер-ВС» и скопируйте публичный ключ. - Сохраните публичный ключ в файл с расширением
.cer
или.pem
на целевой машине. - Выполните скрипт, указав путь к ключу и учетные данные пользователя:
Powershell.exe -ExecutionPolicy Bypass -File clientCert.ps1 <путь_к_файлу_с_ключом> <имя_пользователя> <пароль>
- Сгенерируйте секрет типа
Ручная настройка
Если автоматизированный способ не подходит (например, из-за политик безопасности или особенностей системы), выполните настройку вручную в PowerShell (от имени администратора).
-
Включите удаленное управление:
Enable-PSRemoting -force
-
Быстрая конфигурация службы WinRM (создает HTTP-прослушиватель):
winrm qc
-
Сгенерируйте и установите самоподписанный сертификат для HTTPS. Для этого можно использовать командлет
New-SelfSignedCertificate
или следовать инструкциям вашей организации по работе с сертификатами. -
Создайте HTTPS-Listener. Это ключевой шаг для включения безопасного соединения. Необходимо создать новый прослушиватель WinRM для транспорта HTTPS, указав отпечаток сертификата, созданного на предыдущем шаге.
-
Включите необходимые типы аутентификации:
Set-Item -Path "WSMan:\localhost\Service\Auth\Basic" -Value $true
Set-Item -Path "WSMan:\localhost\Service\Auth\Certificate" -Value $true -
Настройте правила Брандмауэра Windows для разрешения входящих подключений на порт WinRM (по умолчанию 5986 для HTTPS).
Для Windows Server 2008 и Windows 7 требуется дополнительная сложная настройка, включающая установку обновлений и редактирование реестра для включения поддержки TLS 1.2. Подробная пошаговая инструкция для этих систем приведена в «Руководстве администратора», раздел 1.2 (Приложение 1).
Отмена изменений
Для отката изменений, внесенных автоматическим скриптом, запустите на целевой машине PowerShell от имени администратора и выполните:
Powershell.exe -ExecutionPolicy Bypass -File remove.ps1
Disable-PSRemoting -Force
Команда Disable-PSRemoting отключает все виды удаленного управления через PowerShell, а не только WinRM.