Windows PowerShellは、システム管理及び自動化のために設計されたコマンドライン・シェルおよびスクリプト言語です。PowerShell 2.0現在、Windows Remote Managementを使用して1つ以上の遠隔コンピュータ上でコマンドを実行できます。PowerShellとWindows Remote Managementをスキャンと併用して、各マシンへとローカルにログオンしているかのようにスキャン可能です。SCAP 1.2における一部のポリシーチェックにはPowerShellのサポートが不可欠です。またその他のチェックについても、より効率的にデータが返されます。
Windows Remote ManagementとPowerShellを併用するには、スキャンするすべてのマシン上で有効化を行う必要があります。スキャンすべきWindowsアセットが多数ある場合、Windowsドメイン上でグループポリシーを通して有効化するのがより効率的である可能性があります。
WindowsドメインでWindows Remote ManagementとPowerShellを有効化する方法の情報については、以下のリソースをご利用ください:
さらには、HTTP経由でWindows Remote ManagementとPowerShellを併用する場合、非暗号化トラフィックを許可する必要があります。
非暗号化トラフィックを許可するには:
ポリシー > 管理テンプレート > Windowsコンポーネント > Windows Remote Management (WinRM) > WinRMサービス
または
コマンドプロンプトから、以下を実行します:
winrm set winrm/config/service @{AllowUnencrypted="true"}
Windows Remote ManagementとPowerShellを併用するスキャンについては、当該スキャンテンプレート向けにポート5985を利用可能にしなければなりません。DISA、CIS、USGCBの各ポリシー向けのスキャンテンプレートにはデフォルトでこのポートが含まれています。その他については、手動で追加する必要があります。
ポートをスキャンテンプレートに追加するには:
ポート 5985 を追加する
また、適切なサービスおよび認証資格情報(credentials)を指定する必要があります。
サービスおよび認証資格情報(credentials)を指定するには、以下のステップを行います:
新規サイトを設定しながら認証資格情報を追加するには、ホーム ページで サイトを作成 をクリックします。
既存のサイトに認証資格情報を追加するには、ホームページのサイト表でそのサイトの編集アイコンをクリックします。
追加の任意ステップについては、以下のトピックをご覧ください:
正しいポートが有効化されている場合、および正しいMicrosoft Windows/Samba (SMB/CIFS)認証資格情報(credentials)が指定されている場合、本アプリケーションは自動的にPowerShellを使用します。
PowerShellが有効化されていて、しかしスキャンには利用したくない場合は、ポート5985を含めないようカスタムポートリストを定義する必要があります。
ポートへのアクセスを無効化するには: