Для эффективной работы любой операционной системы необходимо вести мониторинг ее состояния, для того, чтобы своевременно выявлять проблемы и узкие места в производительности. Еще лучше лучше, когда такой мониторинг ведется в автоматическом режиме, с помощью скриптов.
В операционных системах семейства Windows для автоматизации выполнения задач мониторинга лучше всего использовать Powershell. И далее в этой статье мы рассмотрим несколько полезных скриптов, которые могут упростить мониторинг состояния различных компонентов ОС.
Начнем с мониторинга состояния сетевых портов и взаимодействующих с ними процессов.
Windows PowerShell — программа, который объединяет в себе командную оболочку и среду для написания сценариев. Она базируется на .NET и предоставляет средства для управления компьютером и автоматизации рутинных задач. Платформа обладает функциональностью полноценного объектно-ориентированного языка, включая поддержку переменных, функций, классов и объектов.
В отличие от многих других командных оболочек, PowerShell при работе оперирует не строками, а объектами. Это позволяет разрабатывать и применять сложные логические конструкции. Важно отметить, что интерпретатор PowerShell полностью совместим со стандартными командами cmd.exe и способен выполнять их функции без ограничений.
Взаимодействие с командами осуществляется в интерактивном режиме внутри терминала. Однако, если требуется сохранить используемый скрипт, более удобным вариантом станет использование среды ISE.
Windows PowerShell ISE представляет собой интегрированное средство разработки сценариев для языка PowerShell. Здесь можно создавать, сохранять и запускать скрипты с выделением синтаксиса, автоматическим дополнением, справочником команд и инструментами отладки. PowerShell ISE является легаси-инструментом, специфичным для версий языка до 5.1 включительно. В более поздних версиях предпочтение отдается универсальным интегрированным средам разработки с плагинами.
С начала 2016 года язык получил кросс-платформенную поддержку. Теперь его можно применять не только в операционных системах Windows 7, 8, 10, и 11, но и на macOS (начиная с версии 10.13), а также на различных популярных дистрибутивах Linux (подробная информация о совместимых дистрибутивах доступна в официальной документации).
Массивы, хеш-таблицы, функции и классы
В PowerShell есть множество возможностей для создания сложных структур данных и алгоритмов. Вот краткое описание некоторых из них:
- Массивы (Arrays): позволяют хранить набор элементов одного типа. Элементы могут быть доступны по индексам. Создаются массивы с использованием квадратных скобок
[ ]
.
$fruits = "Apple", "Banana", "Orange" $fruits[0] # Доступ к элементу массива по индексу
- Хеш-таблицы (Hash Tables): представляют собой пары ключ-значение, где ключи уникальны. Они полезны для хранения и быстрого доступа к данным по ключу.
$person = @{ Name = "John" Age = 30 City = "New York" } $person["Name"] # Доступ к значению по ключу
- Пользовательские функции: Вы можете определить собственные функции для группировки кода и повторного использования. Их определение происходит с использованием ключевого слова
function
.
function Get-Sum { param($a, $b) return $a + $b } $result = Get-Sum 5 3
- Пользовательские классы: PowerShell также поддерживает создание пользовательских классов, что позволяет создавать более сложные объекты с различными свойствами и методами.
class Person { [string] $Name [int] $Age Person([string] $name, [int] $age) { $this.Name = $name $this.Age = $age } [string] GetInfo() { return "$($this.Name), $($this.Age) years old" } } $person = [Person]::new("Alice", 25) $info = $person.GetInfo()
Переменные
Для сохранения данных и обращения к ним в будущем в PowerShell используются переменные. Перед названием переменной ставится символ доллара $
, и переменные могут содержать латинские буквы (как заглавные, так и строчные), цифры и символ нижнего подчеркивания.
Переменные в могут хранить данные различных типов, и значения в них можно изменять (перезаписывать).
Создадим переменную со строкой 2023
и преобразуем её в число. Для того чтобы узнать тип данных, воспользуемся методом .GetType()
:
$stringValue = "2023" $intValue = [int]$stringValue $intValue.GetType()
Для удаления переменной используется метод .Clear()
.
Переменные можно вставлять в строки, если строки оформлены двойными кавычками. В случае одинарных кавычек, PowerShell воспринимает символы в строке буквально. Давайте сравним два примера:
$number = 42 Write-Host "The number is $number" # Вывод: The number is 42 Write-Host 'The number is $number' # Вывод: The number is $number
В первом случае, используя двойные кавычки, значение переменной $number
подставляется в строку. Во втором случае, с использованием одинарных кавычек, строка остается буквальной, и $number
не интерпретируется как переменная.
Кроме пользовательских переменных, существуют и системные переменные. Например, $PSVersionTable
содержит информацию о версии PowerShell.
Объекты и конвейеры (пайплайны) в PowerShell
Когда вы работаете с командлетами в PowerShell, они возвращают не просто строки, а объекты — структуры данных, содержащие набор свойств и методов.
То, что отображается в терминале после выполнения команды в виде строки, на самом деле является визуальным представлением объекта. Программа PowerShell отображает определенные свойства объектов в виде таблицы, но далеко не все свойства могут быть отображены таким образом.
Аналогично тому, как командлеты могут возвращать объекты, они также могут принимать и обрабатывать их. Вы можете создать команду, которая возвращает объект, передать этот объект другому командлету, получить объект из него и так далее — этот процесс и называется конвейерами или пайплайнами.
Пример работы конвейера в PowerShell
Команда Get-Process
возвращает список запущенных процессов на компьютере. При передаче ей имени процесса (или шаблона, созданного с помощью регулярных выражений), команда выведет только соответствующие элементы списка.
Рассмотрим пример, где вызываем запущенный процесс PowerShell
:
Get-Process powershell
Мы получаем объект и таблицу, отображающую некоторые его свойства. Чтобы узнать все свойства и методы, давайте передадим этот объект командлету Get-Member
. Для этого используется конвейер:
Get-Process powershell | Get-Member
Команда Get-Member
получает объект от команды Get-Process
и выводит таблицу со всеми его свойствами и методами. Результат работы Get-Member
также представляет собой объект (точнее, список объектов), который можно передать по конвейеру дальше.
Допустим, нужно вывести только те строки, в которых MemberType
равно Property
. Для этого используем команду Where-Object
:
Get-Process powershell | Get-Member | Where-Object {$_.MemberType -eq 'Property'}
Команда Where-Object
последовательно обходит каждый объект, полученный от команды Get-Member
. Выражение в фигурных скобках — логическое:
$_
ссылается на текущий объект (то есть на отдельную строку в таблице);.MemberType
обращается к значению свойстваMemberType
в этом объекте;-eq
выполняет сравнение между выражением слева и выражением справа от него;'Property'
представляет значение, которое ожидаем увидеть у свойстваMemberType
.
Более подробно о логических выражениях рассказано ниже.
Форматирование таблиц с помощью конвейеров
Командлет Format-Table
в PowerShell предоставляет возможность настроить вывод таблицы в терминале: выбирать нужные свойства и методы, устанавливать ширину столбцов, группировать данные по нескольким таблицам и т. д.
Форматируем таблицу, полученную с помощью командлета Get-Member
. Следует использовать следующий синтаксис:
Get-Process powershell | Get-Member | Format-Table -AutoSize -Wrap -GroupBy MemberType -Property Name, Definition
Разберем параметры командлета Format-Table
:
-AutoSize
выравнивает ширину столбцов в соответствии с размерами их содержимого. Это позволяет оптимально использовать ширину экрана.-Wrap
переносит содержимое ячейки на новую строку, если оно не помещается в текущих размерах экрана. По умолчанию, если текст не помещается, он обрезается.-GroupBy
позволяет разделить одну таблицу на несколько, сгруппированных по значению определенного свойства. В данном случае, для каждого значенияMemberType
будет создана отдельная таблица.-Property
определяет, какие свойства объекта будут отображены в таблице в качестве столбцов. В данном примере, мы указали свойстваName
иDefinition
.
Эти параметры позволяют настраивать внешний вид таблицы, сделать вывод более читабельным и структурированным.
Сортировка таблиц с помощью конвейеров
Командлет Sort-Object
в PowerShell позволяет сортировать список объектов (таблицу) по значениям их свойств (столбцов). Давайте отсортируем результат, полученный с помощью командлета Get-Member
, по столбцу Name
в алфавитном порядке. Для этого воспользуемся параметром -Property
, который действует аналогично параметру у командлета Format-Table
:
Get-Process powershell | Get-Member | Sort-Object -Property Name
Командлет Sort-Object в PowerShell имеет также другие полезные параметры:
-Descending
сортирует объекты в порядке убывания. Например:
Get-Process powershell | Get-Member | Sort-Object -Property Name -Descending
-Unique
удаляет дубликаты и возвращает только уникальные объекты. Например:
Get-Process powershell | Get-Member | Sort-Object -Property Name -Unique
- Параметр
-Top
получает число N и отображает первые N объектов в таблице. Например:
Get-Process | Sort-Object -Property CPU -Top 10
- Параметр
-Bottom
получает число N и отображает последние N объектов в таблице. Например:
Get-Process | Sort-Object -Property Memory -Descending -Bottom 5
Эти параметры позволяют более гибко настраивать сортировку и отображение объектов в выводе.
Команды (командлеты) PowerShell
В языке программы PowerShell команды носят название командлеты (от английского «cmdlet»). Все они формируются с использованием шаблона «Глагол-Существительное», или «Действие-Объект». Например, Get-Services
и Start-Process
. Благодаря такой структуре, можно легко понять предназначение команды, даже если вы с ней ещё не работали ранее.
Синтаксис командлетов
После имени самого командлета следует указание параметров и их значений. Между всеми частями команды следует проставлять пробелы. Вот пример синтаксиса командлета, который позволяет перейти в директорию C:\
:
Set-Location -LiteralPath C:\ -PassThru
Разберем его на составные части:
Set-Location
— буквально «вызвать команду». Этот командлет позволяет выполнять указанный блок сценария.-LiteralPath C:\
— здесь передаем блок сценария, в котором используется командаSet-Location
для перехода в каталогC:\
.-PassThru
— по умолчанию командлетInvoke-Command
не возвращает результат выполнения. Этот параметр указывает на необходимость вывода информации о местоположении, в которое был выполнен переход с помощью командыSet-Location
.
Важно отметить, что регистр букв в командах PowerShell не имеет значения. Таким образом, данную команду можно записать в виде заглавных букв, строчных букв или даже смешанного регистра, и она все равно будет выполняться:
sEt-loCATion -PATH c:\ -passthru
Когда в одной строке объединены несколько команд, они разделяются точкой с запятой
.;
Иногда команда может быть слишком длинной. Для разделения на несколько строк можно использовать символ обратного апострофа `
в месте переноса. Новую строку можно создать, нажав Shift + Enter (для переноса строки ниже текущей) или Ctrl + Enter (для переноса строки выше текущей).
Разделим предыдущую команду:
Set-Location ` -LiteralPath C:\ ` -PassThru
Алиасы
В процессе работы с терминалом иногда может быть неудобно постоянно вводить полные названия командлетов. Именно поэтому у наиболее часто используемых командлетов существуют псевдонимы (алиасы) — их сокращенные варианты.
Чтобы получить список доступных алиасов, вы можете воспользоваться командой Get-Alias
. Кроме того, данной команде также доступен псевдоним gal
.
Чтобы получить список алиасов для конкретного командлета, вы можете использовать параметр -Definition
. Пример:
Get-Alias -Definition Set-Location
Если вам нужно узнать полное название командлета по его алиасу, используйте параметр -Name
. Этот параметр необязателен, так как он является аргументом по умолчанию.
# Оба следующих варианта эквивалентны: Get-Alias -Name clear Get-Alias clear
Особенности обработки путей к каталогам
Для многих командлетов необходимо предоставить путь к файлу или каталогу. Это делается с использованием строки, например: C:\Windows\System32
.
Однако, если в пути встречается пробел или другой специальный символ, PowerShell будет рассматривать его как разделитель. Например:
# Следующая команда не будет выполнена корректно Set-Location C:\Program Files
PowerShell «воспринимает» пробел и интерпретирует его так, будто путь к папке закончился на слове Program
, а files
— это уже значение другого параметра.
Чтобы избежать подобных ситуаций, существует два метода:
- Экранировать символы с помощью обратного апострофа
`
:C:\Program` Files
. Однако это может быть неудобным, если путь длинный. - Поместить весь путь в одинарные или двойные кавычки:
'C:\Program Files'
или"C:\Program Files"
(желательнее использовать одинарные кавычки).
Кроме того, в PowerShell существуют сокращения для быстрого доступа к ближайшим директориям:
- Точка
.
указывает на текущий каталог. Например,Get-ChildItem .
позволяет просмотреть содержимое текущего местоположения. - Две точки
..
указывают на родительский каталог. Например,Set-Location ..
позволяет перейти к родительскому каталогу. Это может быть полезно, если вы находитесь в глубоко вложенной директории.
Большинство командлетов имеют параметры -Path
и -LiteralPath
, позволяющие указать путь к файлу или папке. Разница между ними заключается в том, что в -Path
можно включать переменные, в то время как —LiteralPath
интерпретирует символы буквально, даже если они содержат имя переменной.
Get-Help: как изучать новые командлеты
Для получения подробной информации о конкретном командлете воспользуйтесь командой Get-Help Название-Командлета
. Пример:
Get-Help Get-Childitem
У команды Get-Help
имеется несколько полезных параметров:
-Detailed
предоставляет более подробную справку по командлету.-Full
предоставляет полную справку.-Examples
демонстрирует примеры использования командлета.-Online
перенаправляет пользователя на веб-страницу с соответствующей документацией.
Администрирование компьютеров Windows 10 и 11 с помощью PowerShell
С помощью PowerShell вы можете конфигурировать различные параметрами в пользовательских операционных системах (Windows 10 и 11):
Циклы
В PowerShell существует несколько видов циклов:
- Цикл с предусловием
while
:
$counter = 0 while ($counter -lt 5) { Write-Host "Counter is $($counter)" $counter++ }
- Цикл с постусловием истинным
do while
:
$counter = 0 do { Write-Host "Counter is $($counter)" $counter++ } while ($counter -lt 5)
- Цикл с постусловием ложным
do until
:
$counter = 0 do { Write-Host "Counter is $($counter)" $counter++ } until ($counter -ge 5)
- Цикл с известным числом итераций
for
:
for ($i = 0; $i -lt 5; $i++) { Write-Host "Iteration is $i" }
- Цикл с перебором элементов коллекции
foreach
:
$numbers = 1..5 foreach ($num in $numbers) { Write-Host "Number is $num" }
Во всех случаях синтаксис похож на синтаксис условных операторов: в круглых скобках указывается условие или параметры, а в фигурных скобках — код, который выполняется внутри цикла.
Как открыть PowerShell в Windows
Как правило, PowerShell уже установлен на вашем компьютере по умолчанию. Однако, если по какой-то причине его нет, вы можете воспользоваться инструкциями, предоставленными Microsoft. В дополнение, в официальной документации имеются подробные руководства по установке на macOS и Linux.
PowerShell является независимым от версии операционной системы инструментом и работает одинаково стабильно как на Windows 10, так и на Windows Server.
Существует два основных метода для запуска PowerShell или PowerShell ISE в системе Windows: через меню «Пуск» и с помощью приложения «Выполнить».
- Для того чтобы открыть PowerShell через меню «Пуск», пройдите к папке Windows PowerShell, откройте её и выберите необходимое приложение. В этой директории доступны как 32-разрядные версии (отмечены как x86 в скобках), так и 64-разрядные версии терминала и ISE.
- Чтобы запустить PowerShell через приложение «Выполнить», используйте комбинацию клавиш Win + R. Когда появится окно, введите
powershell
илиpowershell ise
(в зависимости от того, какое приложение вам нужно) и нажмите кнопку ОК.
Про безопасность
Продолжая тему безопасности давайте рассмотрим еще несколько скриптов, позволяющих выявлять в системе не слишком желательные процессы. В частности, процесс Psexec.
PsExec позволяет выполнять процессы в других системах с полным взаимодействием для консольных приложений, не устанавливая клиентское программное обеспечение вручную. То есть, мы можем подключаться к удаленным системам, и выполнять на них необходимые команды.
Psexec в общем случае не является хакерской утилитой (хотя в Metasploit есть эксплоиты, реализующие функционал данной утилиты), и с ее помощью администраторы могут выполнять массу полезных задач в клиентских системах. Поэтому просто запретить ее использование мы не можем, но хотелось бы мониторить появление соответствующего процесса в системе.
Для этого можно воспользоваться следующим скриптом.
$PSExecmon = get-process | Where-Object { $_.description -like "*psexec*" }
if (!$PSExecmon) {
$PSExecHealth = "Healthy - no PSExec service found."
} else {
$PSExecHealth = "Unhealthy - PSExec service found"
}
write-host $PSExecHealth
Здесь мы специально ищем по маске, на случай переименования с помощью команды psexec -r
. Но злоумышленники могут пойти дальше и в принципе изменить персональные идентификаторы процесса. В таком случае, мы можем попробовать поискать psexec по сертификату Майкрософт, которым он подписан.
$Procs = Get-Process | Where-Object { $_.Path -ne $null }
$PSExecmon = foreach ($Proc in $procs) {
$Sig = Get-AuthenticodeSignature $proc.path
if ($Sig.SignerCertificate.Thumbprint -eq "3BDA323E552DB1FDE5F4FBEE75D6D5B2B187EEDC") { $proc }
}
if (!$PSExecmon) {
$PSExecHealth = "Healthy - no PSExec service found."
} else {
$PSExecHealth = "Unhealthy - PSExec service found"
}
write-host $PSExecHealth
Здесь правда есть риск столкнуться с ложными срабатываниями, так как данную подпись используют также другие решения Майкрософт, например .NET.
Продолжая эту тему, также хотелось бы рассмотреть еще один скрипт для мониторинга, который отслеживает любое приложение, запущенное из под SYSTEM и у которого нет идентификатора сеанса 0. Идентификатор сеанса 0 обычно используется только для служб и процессов, которые должны запускаться как системные. Если у вас есть приложение, запущенное под любым другим идентификатором сеанса, это означает, что оно использовало интерактивный вход в систему.
Также возможна ситуация, когда некоторые приложения запускаются в режиме интерактивного сеанса, и тогда нужно будет исключить эти процессы.
Для списка исключений мы используем переменную $ExcludedList
. Далее получаем общий список процессов, извлекаем из него запущенные с правами SYSTEM и с ненулевым идентификатором.
$ExcludedList = "RtkAuduService64","Winlogon","SomeRMMApp"
$StrangeProcesses = get-process -IncludeUserName | Where-Object {$_.username -like "\*SYSTEM" -and $_.SessionId -ne 0 -and $\_.ProcessName -notin $ExcludedList}
if($StrangeProcesses){
Write-Host "Processes found running as system inside an interactive session. Please investigate"
$StrangeProcesses
} else {
write-host "Healthy. No processes found."
}
Таким образом, мы можем обнаруживать попытки поднятия привилегий на ранних стадиях..
Использование PowerShell для администрирования и автоматизации задач
PowerShell – это командная оболочка и полноценный объектно-ориентированный язык сценариев основанный на .NET, который можно использовать для управления компьютерами и созданий скриптов автоматизации различных задач администрирования. Среда PowerShell предустановлена в Windows.
Команды PowerShell (называются командлеты) можно запускать в командной строке
powershell.exe
(
pwsh.exe
для PowerShell Core 6.7, 7.x), или можно использовать встроенный в Windows редактор сценариев PowerShell ISE (с подсветкой кода, справочником команд, средствами отладки). Еще больше возможностей для работы с кодом PoweShell дает бесплатный редактор Visual Studio Code (VSCode). В консоли PowerShell доступна история выполненных ранее команд.
На данный момент есть две ветки PowerShell:
- Windows PowerShell до версии 1 — встроенная в Windows классическая версия PowerShell, основанная на .NET Framework. На данный момент PowerShell 5.1 не развивается Microsoft.
- PowerShell Core x, 7.x — актуальная кроссплатформенная версия PowerShell, основанная на .NET Core. Активно развивается. Эту версию PowerShell нужно устанавливать и обновлять отдельно. Возможна установка на PowerShell Core на Linux.
PowerShell позволяет системным администраторам автоматизировать и управлять различными компонентам дестопных версий Windows, ролями Windows Server, и другими компонентами инфраструктуры Microsoft и сторонними продуктами.
Управление Exchange с помощью PowerShell
Командлеты PowerShell это важный инструмент администрирования и автоматизации on-premises Exchange Server и Exchange Online (Microsoft 365). Для подключения к Exchange Online нужно установить модуль EXO. К Exchange Server можно подключиться удаленно с любого компьютера и импортировать командлеты PowerShell для Exchange в свою сессию.
- Перевод Exchange Server в режим обслуживания, очистка и перемещение логов Exchange
- Настройка ящиков пользователей: включить/отключить переадресацию почты в ящике Exchange, предоставить права доступа к ящику Exchange или календарю, настроить региональные параметры ящика Exchange; создать/удалить правило в ящике пользователя; поиск и удаление писем в ящиках Exchange; разрешить автоподключение ящиков Exchange в Outlook; включить и настроить автоответ в почтовом ящике
- Проверить размер почтового ящика, задать квоты в Exchange Server
- Конвертировать ящик пользователя в общий и наоборот
- Управление группами рассылок (distribution group)
- Как удалить или переименовать почтовую базу в Exchange
- Аудит действий пользователя в ящике Exchange
-
Get-MessageTrackingLog
– анализов журналов доставки писем в Exchange
Условия
Условные операторы в PowerShell создаются с использованием ключевых слов if
, elseif
и else
. В круглых скобках указывается само условие, а в фигурных скобках содержится код, который выполняется при выполнении условия. Например:
$Number = 123 if ($Number -gt 0) { Write-Host 'Число больше нуля' } elseif ($Number -lt 0) { Write-Host 'Число меньше нуля' } else { Write-Host 'Число равно нулю' } Результат выполнения кода: Число больше нуля
Кроме того, условия также можно задавать с помощью ключевого слова switch
. Например:
$Day = 5 switch ($Day) { 1 { Write-Host 'Понедельник' } 2 { Write-Host 'Вторник' } 3 { Write-Host 'Среда' } 4 { Write-Host 'Четверг' } 5 { Write-Host 'Пятница' } 6 { Write-Host 'Суббота' } 7 { Write-Host 'Воскресенье' } } Результат выполнения кода: Пятница
Автоматизация PowerShell в сторонних продуктах
Как узнать общее время работы (uptime) Windows?
Ограничение на количество одновременных сетевых подключений в Windows 10 и 11
Автоматизация любых действий в браузере с помощью PowerShell и Selenium
Настройка режима киоска в Windows 11
Проверка учетных данных пользователя AD из скрипта PowerShell
Как заблокировать программе доступ в Интернет в Windows?
Тест скорости Интернета в Windows из CMD/PowerShell
PowerShell скрипт для проверки совместимости компьютеров с Windows 11
Включаем аудит доступа к папкам и файлам в Windows
Добавление хоста ESXi в VMware vCenter
Копирование (синхронизация) файлов из SharePoint в локальную папку
Создание, удаление, управление точками восстановления в Windows 10 и 11
Работа с файлами
PowerShell предоставляет удобные средства для работы с файлами. Вот некоторые ключевые методы:
Для создания файла используйте командлет New-Item
с указанием пути к файлу:
New-Item -Path "C:\путь\к\файлу\новыйфайл.txt" -ItemType File
Чтобы записать данные в файл, используйте Out-File
или Set-Content
:
"Содержимое файла" | Out-File -FilePath "C:\путь\к\файлу\новыйфайл.txt" Set-Content -Path "C:\путь\к\файлу\новыйфайл.txt" -Value "Новое содержимое файла"
Для чтения содержимого файла в массив используйте Get-Content
:
$содержимое = Get-Content -Path "C:\путь\к\файлу\новыйфайл.txt"
Для получения информации о файле (размер, дата создания и др.) используйте Get-Item
:
$информацияОФайле = Get-Item -Path "C:\путь\к\файлу\новыйфайл.txt"
Для копирования файла в другое место используйте Copy-Item
:
Copy-Item -Path "C:\путь\к\файлу\новыйфайл.txt" -Destination "C:\путь\к\копия\новыйфайл.txt"
Для удаления файла воспользуйтесь командлетом Remove-Item
:
Remove-Item -Path "C:\путь\к\файлу\новыйфайл.txt" -Force
Помните, что операции удаления файлов необратимы, поэтому будьте осторожны при их использовании.
Для чего нужен PowerShell
PowerShell — это мощный инструмент для автоматизации задач, управления операционной системой и взаимодействия с различными приложениями и сервисами. Он широко используется администраторами систем, разработчиками, а также специалистами в области IT для решения разнообразных задач. Вот некоторые из основных применений PowerShell:
- Автоматизация задач: PowerShell позволяет создавать сценарии (скрипты) для автоматизации повторяющихся и рутинных задач, таких как установка программ, настройка системных параметров, копирование файлов и многие другие операции.
- Управление системой: PowerShell предоставляет доступ к широкому спектру системных функций, позволяя администраторам управлять пользователями, группами, службами, процессами, реестром и другими системными ресурсами.
- Конфигурация и развертывание: С помощью PowerShell можно создавать и применять конфигурации для развертывания и управления серверами и компьютерами, что делает процесс управления парком устройств более эффективным.
- Мониторинг и анализ: PowerShell позволяет анализировать системные данные, собирать статистику, мониторить производительность и события, что помогает администраторам быстро реагировать на проблемы.
- Взаимодействие с внешними приложениями и службами: PowerShell может взаимодействовать с другими приложениями и службами, используя API, веб-службы, REST API и другие протоколы, что позволяет автоматизировать процессы, связанные с сторонними приложениями.
- Разработка и тестирование: Разработчики используют PowerShell для создания сценариев тестирования, сборки проектов, управления версиями и других задач, связанных с разработкой ПО.
- Обработка данных: PowerShell предоставляет мощные инструменты для обработки и анализа данных, таких как текстовые файлы, CSV, XML и другие форматы данных.
- Безопасность: PowerShell может использоваться для управления политиками безопасности, мониторинга событий безопасности, а также для проведения аудитов безопасности системы.
PowerShell в администрировании ролей Windows Server
PowerShell – это отличное средство автоматизации настройки и управления платформой Windows Server. Практически все действия, которые вы выполняете с помощью графических оснасток можно сделать с помощью PowerShell. PowerShell значительно упрощает одновременное администрирование десятков и сотен серверов с Windows Server 2022/2019/2016/2012R2.
- Установка и удаление ролей в Windows Server через PowerShell
- Файловый сервер: управление общими сетевыми папками с помощью PowerShell
- Установка, настройка и администрирование роли Remote Desktop Services (RDS): развертывание фермы серверов RDS; настройка шлюза RD Gateway; перенос ролей RDS на другой сервер;
- Включить поддержку Wi-Fi адаптеров в Windows Server
- Установка и настройка службы SNMP в Windows
- Основные команды настройки Windows Server Core из консоли PowerShell
- Администрирование роли Hyper-V требует наличия установленного PowerShell модуля Hyper-V. Он позволяет: установить Windows в виртуальную машину Hyper-V; настроить автозапуск ВМ; клонирование, экспорт и импорт виртуальных машин в Hyper-V
- Использование iSCSI дисков в Windows Server
- Установка и настройка роли DHCP сервера в Windows Server
Работа со строками в PowerShell
PowerShell — мощный инструмент для автоматизации задач на платформе Windows. Работа со строками играет важную роль при обработке текстовых данных. Вот некоторые ключевые аспекты:
- Объединение строк: Чтобы объединить строки, используйте оператор
+
или метод.Concat()
. Пример:
$firstString = "Привет, " $secondString = "мир!" $combinedString = $firstString + $secondString
- Форматирование строк: Используйте оператор
-f
или метод.Format()
для вставки значений в строку. Пример:
$name = "Alice" $age = 30 $formattedString = "Привет, меня зовут {0} и мне {1} лет." -f $name, $age
- Интерполяция строк: С помощью символа
$
и фигурных скобок{}
можно вставлять значения переменных в строки. Пример:
$city = "Москва" $interpolatedString = "Я живу в городе $($city)."
- Разделение строк: Метод
.Split()
используется для разделения строки на подстроки. Пример:
$text = "яблоко,груша,банан" $fruits = $text.Split(",")
- Замена подстрок: С помощью метода
.Replace()
можно заменить подстроку в строке. Пример:
$text = "Привет, мир!" $modifiedText = $text.Replace("мир", "вселенная")
- Обрезка строк: Методы
.Trim()
,.TrimStart()
и.TrimEnd()
удаляют пробелы и другие символы в начале и конце строки.
Примеры использования методов для обрезки строк в PowerShell:
# Обрезка пробелов в начале и конце строки $rawString = " Пример строки с пробелами " $trimmedString = $rawString.Trim() Write-Host "Исходная строка: '$rawString'" Write-Host "Обрезанная строка: '$trimmedString'" # Обрезка только в начале строки $leftTrimmedString = $rawString.TrimStart() Write-Host "Строка после обрезки в начале: '$leftTrimmedString'" # Обрезка только в конце строки $rightTrimmedString = $rawString.TrimEnd() Write-Host "Строка после обрезки в конце: '$rightTrimmedString'"
При выполнении этого кода в консоли PowerShell вы увидите следующий вывод:
Исходная строка: ' Пример строки с пробелами '
Обрезанная строка: 'Пример строки с пробелами'
Строка после обрезки в начале: 'Пример строки с пробелами '
Строка после обрезки в конце: ' Пример строки с пробелами'
В данном примере видно, как методы .Trim()
, .TrimStart()
и .TrimEnd()
удаляют пробелы в начале и конце строки, соответственно.
Фоновое выполнение команд
Определенные задачи могут требовать значительного времени на выполнение. Примеры таких задач включают установку и обновление программного обеспечения или поиск файлов в обширной директории. Важно помнить, что во время выполнения одной команды в PowerShell нельзя вводить другие команды.
Рассмотрим пример: предположим, нужно найти файл powershell.exe
на всем диске C. Для этой цели воспользуемся командлетом Get-ChildItem
с параметром -Recurse
. Это позволит ему искать файл не только в текущем каталоге, но и во всех его подкаталогах.
Следует учитывать, что PowerShell может столкнуться с папками, к которым у него нет доступа. Чтобы обойти возможные ошибки, добавим параметр -ErrorAction SilentlyContinue
. Это означает, что в случае ошибки команда не будет генерировать уведомления, а просто продолжит выполнение.
Таким образом, данная ситуация выглядит следующим образом:
Get-ChildItem -Path C:\ -Name powershell.exe -Recurse -ErrorAction SilentlyContinue
Очевидно, что во время выполнения задачи, командная строка становится недоступной. Для принудительного прерывания выполнения задачи можно воспользоваться сочетанием клавиш Ctrl + C. Важно убедиться, что при этом ничего не выделено, чтобы избежать возможного восприятия компьютером как команды «Копировать».
Start-Job {Get-ChildItem -Path C:\ -Name powershell.exe -Recurse -ErrorAction SilentlyContinue}
Параллельно возможно выполнение любого числа фоновых задач. В дополнение к командлету Start-Job
, предназначенному для управления фоновыми задачами, существуют и другие командлеты:
Get-Job
предоставляет отчет о состоянии фоновых задач.Wait-Job
блокирует консоль до завершения фоновой задачи.Stop-Job
прекращает выполнение фоновой задачи.Receive-Job
выводит результаты выполнения фоновой задачи и очищает их из памяти. Для сохранения результатов в памяти используйте параметр-Keep
.
Опции Wait-Job
, Stop-Job
и Receive-Job
требуют указания имени Name
или идентификатора Id
конкретной задачи или задач (в случае нескольких). Это можно сделать непосредственно или в связке с командлетом Get-Job
.
Get-Job Job1
Чем PowerShell отличается от cmd
Рассмотрим сравнение двух основных инструментов командной строки в операционной системе Windows: PowerShell и командной строки (cmd). Оба инструмента позволяют взаимодействовать с операционной системой через команды и сценарии, однако они существенно различаются по своим характеристикам и функциональности.
Аспект | PowerShell | Командная строка (cmd) |
---|---|---|
Язык сценариев | Мощный язык на основе .NET Framework | Ограниченный язык для выполнения команд |
Объектная модель | Работа с объектами и конвейерная обработка | Работа с текстовыми строками и потоками |
Управление системой | Обширный набор командлетов для управления | Ограниченный набор команд для управления |
Синтаксис | Современный и читаемый синтаксис | Простой синтаксис команд и аргументов |
Поддержка модулей | Поддержка модулей для организации функциональности | Отсутствие концепции модулей |
Про сети
Типичная история – это использование одного порта несколькими процессами. Ну, точнее попытки использования, так как, естественно порт займет первый процесс, а все остальные уже не смогут это сделать.
Приведенный скрипт достаточно многофункционален, то есть, вы можете настроить его на оповещение об измененных слушателях порта, вы можете настроить его на оповещение о конкретном слушателе, которого вы ожидаете там увидеть, или вы можете оповещать о приложениях, которые не должны прослушиваться.
В приведенном ниже примере, в переменной $ExpectedApplication
мы определяем процесс, который мы ожидаем увидеть в списке слушающих порты, $NotAllowedApplication
это соответственно тот процесс, который мы не хотим видеть в списке слушателей. Здесь Teamviewer это как раз то самое нежелательное приложение.
Результат работы скрипта представляется сообщениями со статусами Healthy/Unhealthy и соответствующей информацией. Так отсутствие процесса из $ExpectedApplication это Unhealthy, а отсутствие $NotAllowedApplication это наоборот Healthy.
$ExpectedApplication = "svchost"
$NotAllowedApplication = "Teamviewer"
$CompareToPrevious = $true
$Connections = Get-NetTCPConnection | Where-Object { $_.LocalAddress -eq "0.0.0.0" -and $_.State -eq "Listen" }
$Processes = Get-Process
$CurrentListeners = foreach ($Connection in $Connections) {
[PSCustomObject]@{
Process = ($Processes | Where-Object id -eq $Connection.OwningProcess).Name
Port = ($Connection.LocalPort)
Path = ($Processes | Where-Object id -eq $Connection.OwningProcess).Path
}
}
if ($ExpectedApplication -notin $CurrentListeners.Process) {
write-host "Unhealthy - The expected application was not found in the current process list"
} else {
write-host "Healthy - The expected application was found in the current process list"
}
if ($NotAllowedApplication -in $CurrentListeners.Process) {
write-host "Unhealthy - The non-allowed application was found in the current process list"
} else {
write-host "Healthy - The non-allowed application was not found in the current process list"
}
if ($CompareToPrevious -eq $true) {
$PreviousResult = Get-content -Path "C:\ProgramData\ListenerMonitor.txt" | ConvertFrom-Json
$Result = Compare-Object $CurrentListeners $PreviousResult -Property Process,Port,Path
if ($Result) {
write-host "Unhealthy - The Listener list has changed."
$Result
} else {
write-host "Healthy - The Listener list is still the same."
}
$CurrentListeners | ConvertTo-Json |out-file "C:\ProgramData\ListenerMonitor.txt"
}
Результаты выполнения скрипта сохраняются в текстовом файле C:\ProgramData\ListenerMonitor.txt
и при каждом следующем запуске мы сравниваем текущий список процессов с предыдущим, полагая, что сохраненный список является правильным. В файле хранится название процесса, номер порта и путь к файлу.
На основе этого сценария можно разработать собственные средства анализа состояния процессов и портов для того, чтобы с помощью этого скрипта мониторить не только сетевую активность процессов, но и безопасность системы в целом.
Удаленное подключение, получение данных с помощью PowerShell
- Удаленные подключения PowerShell Remoting через SSH
- Управление компьютерами в рабочей группе из PowerShell
- Удаленное подключение PowerShell через HTTPS
- Командлет
Enter-PSSession
– создать интерактивную PowerShell сессию с удаленным компьютером - Получить имя пользователя на удаленном компьютере
- Командлет
Invoke-Command
– запуск команд и скриптов PowerShell на удаленных компьютерах - Проверка открытых/закрытых портов на удаленном хосте с помощью PowerShell
-
Invoke-WebRequest
– получить данные с веб страницы, скачать файл с помощью PowerShell -
Send-MailMessage
– PowerShell командет для отправки писем по протоколу SMTP
Работа в PowerShell ISE
Командная оболочка PowerShell представляет собой удобный инструмент для выполнения малых, кратких однострочных задач. Однако для создания и сохранения более сложных сценариев существует интегрированная среда разработки скриптов PowerShell ISE.
PowerShell ISE представляет собой инструмент, состоящий из трех основных панелей:
- Область скриптов в верхней части экрана, предназначенная для написания сценариев.
- Консольная область в нижней части экрана, которая функционирует как обычный терминал, позволяя вводить команды в интерактивном режиме.
- Панель команд в правой части экрана, предоставляющая полное руководство по командам PowerShell. В ней также есть конструктор, который помогает задать значения нужных параметров.
Комментарии в коде
Вот пример PowerShell скрипта с комментариями:
# Это комментарий в одну строку, начинается с символа '#' и продолжается до конца строки. # Пример переменной $имя = "John" $возраст = 30 # Вывод информации Write-Host "Привет, $имя! Тебе $возраст лет." # Это многострочный комментарий, который начинается с '<#' и заканчивается '#>'. <# Этот блок комментария может быть многострочным и располагаться на нескольких строках, чтобы объяснить более сложные участки кода. #> # Функция для сложения двух чисел function Сложить-Числа { param( [int]$число1, [int]$число2 ) $результат = $число1 + $число2 return $результат } # Вызов функции и вывод результата $результатСложения = Сложить-Числа -число1 5 -число2 7 Write-Host "Результат сложения: $результатСложения"
Хорошая практика — комментировать код таким образом, чтобы другие разработчики (или вы в будущем) могли легко понять, как работает код и какие цели преследовались при его написании.
Советы по написанию хорошего кода:
- Применяйте нотацию PascalCase для названий командлетов, функций, параметров, свойств, методов, переменных и классов. Разработчики Powershell выпустили для этого гайд. Не рекомендуется:
get-service
,Get-service
,GET-SERVICE
. Рекомендуется:Get-Service
. - Используйте полные названия командлетов. Алиасы удобны для интерактивного режима, но в скриптах они могут затруднить понимание. Не рекомендуется:
dir
,gci
,ls
. Рекомендуется:Get-ChildItem
. - Применяйте стиль One True Brace для форматирования вложенных блоков кода. Если вы используете фигурные скобки, внутренний код отделяется табуляцией (четыре пробела), а фигурные скобки размещаются следующим образом:
if ($var1 -eq $var2) { # Код внутри условия } else { # Код внутри else # Еще код внутри else }
Исключение: когда код внутри фигурных скобок небольшой, его можно записать в одну строку:
Get-ChildItem | Where-Object { $_.Length -gt 10mb }
Запуск скриптов
В PowerShell ISE имеется возможность выполнять код как целиком, так и частично, а также предоставляются инструменты для отладки. Скрипты сохраняются в файлах с расширением .ps1
. Однако запустить скрипт, просто дважды щелкнув по нему, не получится. Вместо этого вы можете нажать правую кнопку мыши и выбрать опцию Выполнить с помощью PowerShell
.
Также существует возможность запуска скрипта из оболочки. Например, предположим, у вас есть файл скрипта test_script.ps1 в каталоге C:\Scripts
. Вы можете выполнить его двумя способами:
- Используя команду
PowerShell -File C:\Scripts\test_script.ps1
из любого места. Это позволяет запустить скрипт, указав полный путь к файлу. - Используя команду
.\test_script.ps1
, если вы находитесь в каталогеC:\Scripts
. Это запустит скрипт, находясь в том же каталоге, что и файл скрипта.
Такие методы позволяют управлять выполнением PowerShell скриптов из разных мест и с разных уровней оболочки.
Политика выполнения. Как разрешить выполнения скриптов
По умолчанию запрещено выполнение файлов с PowerShell-скриптами, и это сделано с целью обеспечения безопасности. Вы можете узнать текущую политику выполнения с помощью командлета Get-ExecutionPolicy
. Вот какие варианты политики выполнения могут быть доступны:
- Restricted (Установлена по умолчанию) — запрещено выполнение любых скриптов. Это означает, что нельзя будет запустить ни один скрипт.
- AllSigned — разрешено выполнение только тех скриптов, которые были подписаны доверенным разработчиком. Это обеспечивает повышенный уровень безопасности, так как только подписанные и проверенные скрипты могут быть выполнены.
- RemoteSigned — разрешено выполнение подписанных доверенным разработчиком скриптов, а также собственных скриптов. Это предоставляет баланс между безопасностью и удобством, позволяя запускать свои скрипты.
- Unrestricted — разрешено выполнение любых скриптов без каких-либо ограничений. Это предоставляет наивысший уровень гибкости, но может повысить риск безопасности.
Чтобы ваши файлы с расширением .ps1 запускались, вам следует изменить политику выполнения на RemoteSigned. Для этого выполните следующие шаги:
- Откройте PowerShell от имени администратора. Для этого щелкните правой кнопкой мыши по значку PowerShell на панели задач или в меню «Пуск» и выберите «Запуск от имени администратора».
- В открывшемся окне PowerShell введите следующую команду и нажмите Enter:
Set-ExecutionPolicy RemoteSigned
- Подтвердите изменение политики выполнения, нажав клавишу
Y
(Yes).
Теперь вы сможете запускать свои файлы .ps1 без ограничений. Однако, имейте в виду, что изменение политики выполнения может повлиять на безопасность системы, поэтому будьте осторожны и убедитесь, что вы запускаете только те скрипты, которые вы знаете и доверяете.
Использование PowerShell для администрирования Active Directory
Для администрирования леса/домена Active Directory используется модуль RSAT-AD-PowerShell:
Логические операторы
В PowerShell вы также можете выполнять арифметические операции над объектами и строками, сравнивать их друг с другом, используя логические операторы.
+
— сложение;-
— вычитание;*
— умножение;/
— деление;%
— деление по модулю;(
и)
— скобки для группировки операций.
Операторы сравнения оформляются так же, как параметры командлетов, и их названия произошли от английских выражений, указанных в скобках:
-eq
— равно (от «equal»);-ne
— не равно (от «not equal»);-gt
— больше (от «greater than»);-ge
— больше либо равно (от «greater than or equal»);-lt
— меньше (от «less than»);-le
— меньше либо равно (от «less than or equal»).
Работа с файлами в PowerShell
-
Import-CSV
,
Export-CSV
– чтение, экспорт данных в CSV файлы из скриптов PowerShell - Чтение и запись в Excel файл из PowerShell
Про заряд
Но отвлечемся от темы безопасности и посмотрим еще один интересный скрипт для мониторинга заряда батареи на ноутбуке. Основный принцип, на котором основан мониторинг довольно прост, сначала мы запускаем команду для проверки каждой батареи в системе. Далее мы добавляем полученные данные к объекту, содержащему отчетную информацию о батарее, сколько заряда у нее должно быть, по данным производителя, сколько заряда она на самом деле держит, информацию о производителе и некоторые идентифицирующие свойства.
$AlertPercent = "70"
& powercfg /batteryreport /XML /OUTPUT "batteryreport.xml"
Start-Sleep 1
[xml]$Report = Get-Content "batteryreport.xml"
$BatteryStatus = $Report.BatteryReport.Batteries |
ForEach-Object {
[PSCustomObject]@{
DesignCapacity = $_.Battery.DesignCapacity
FullChargeCapacity = $_.Battery.FullChargeCapacity
CycleCount = $_.Battery.CycleCount
Id = $_.Battery.id
}
}
if (!$BatteryStatus) {
Write-Host "This device does not have batteries, or we could not find the status of the batteries."
}
foreach ($Battery in $BatteryStatus) {
if ([int64]$Battery.FullChargeCapacity \* 100 [int64]$Battery.DesignCapacity -lt $AlertPercent) {
Write-host "The battery health is less than expect. The battery was designed for $($battery.DesignCapacity) but the maximum charge is $($Battery.FullChargeCapacity). The battery info is $($Battery.id)"
}
}
Стоит отметить, что этот скрипт был протестирован на ряде устройств, но, конечно, некоторые устройства могут не обнаруживать заряд батареи, или просто не сообщают о своей системе заряда. В этом случае скрипт просто выводит на консоль соответствующее сообщение.
Итоги
Windows PowerShell представляет собой программу и язык программирования, который применяется для управления операционными системами и автоматизации операций. Этот инструмент поддерживает концепции объектно-ориентированного программирования и обеспечивает возможность взаимодействия в интерактивном режиме, а также создания, сохранения и выполнения разнообразных скриптов.
- PowerShell изначально интегрирован в операционную систему Windows версий 7, 8, 10, 11 и Server, но также доступен для скачивания на платформах macOS и Linux. В дополнение к этому, для более старых версий языка (5.1 и ранее) имеется инструмент под названием PowerShell ISE — интегрированная среда сценариев.
- Центральной концепцией PowerShell является работа с объектами, а не с простыми строками. Взаимодействие с объектами осуществляется через командлеты, построенные в соответствии с принципом «Глагол-Существительное».
- Сила PowerShell заключается в возможности передачи результатов выполнения одного командлета в качестве входных данных для другого, используя конвейер. Этот подход способствует более эффективной и гибкой обработке данных.
- Помимо этого, PowerShell предоставляет функциональность для выполнения задач в фоновом режиме, что позволяет параллельно выполнять несколько операций.
- PowerShell является высокоуровневым языком программирования, который обеспечивает возможность работы с переменными, логическими операторами, условиями, циклами, массивами, хеш-таблицами, функциями и классами.
Заключение
В этой статье мы рассмотрели несколько полезных скриптов на Powershell, которые могут использоваться для решения различных задач мониторинга. Стоит отметить, что это лишь малая часть тех задач мониторинга, которые можно решить с помощью Powershell.
Хочу пригласить вас на бесплатный вебинар про инвентаризацию Active Directory с помощью Powershell, а также на вебинар про групповые политики Windows.