Powershell スクリプトがウイルス対策を通過することを許可する - Support and Troubleshooting

Powershell スクリプトがウイルス対策を通過することを許可する Issue .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } span { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } h2 { font-size: 24pt; font-family: Lato; color: var(--now-color--text-primary, black); } h3 { font-size: 18pt; font-family: Lato; color: var(--now-color--text-primary, black); } h4 { font-size: 14pt; font-family: Lato; color: var(--now-color--text-primary, black); } a { font-size: 12pt; font-family: Lato; color: var(--now-color--link-primary, #00718F); } a:hover { font-size: 12pt; color: var(--now-color--link-primary, #024F69); } a:target { font-size: 12pt; color: var(--now-color--link-primary, #032D42); } a:visited { font-size: 12pt; color: var(--now-color--link-primary, #00718f); } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } アラートは、Powershell スクリプトのウイルス対策によって生成されます。 ウイルス対策ソフトウェアが、MID サーバーからの着信 PS セッションをブロックしています。 Release .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } span { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } h2 { font-size: 24pt; font-family: Lato; color: var(--now-color--text-primary, black); } h3 { font-size: 18pt; font-family: Lato; color: var(--now-color--text-primary, black); } h4 { font-size: 14pt; font-family: Lato; color: var(--now-color--text-primary, black); } a { font-size: 12pt; font-family: Lato; color: var(--now-color--link-primary, #00718F); } a:hover { font-size: 12pt; color: var(--now-color--link-primary, #024F69); } a:target { font-size: 12pt; color: var(--now-color--link-primary, #032D42); } a:visited { font-size: 12pt; color: var(--now-color--link-primary, #00718f); } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } すべて Resolution .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } span { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } h2 { font-size: 24pt; font-family: Lato; color: var(--now-color--text-primary, black); } h3 { font-size: 18pt; font-family: Lato; color: var(--now-color--text-primary, black); } h4 { font-size: 14pt; font-family: Lato; color: var(--now-color--text-primary, black); } a { font-size: 12pt; font-family: Lato; color: var(--now-color--link-primary, #00718F); } a:hover { font-size: 12pt; color: var(--now-color--link-primary, #024F69); } a:target { font-size: 12pt; color: var(--now-color--link-primary, #032D42); } a:visited { font-size: 12pt; color: var(--now-color--link-primary, #00718f); } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } 設計上、PowerShell プローブの実行中に一部の PowerShell スクリプトがその場で作成されます。 ディスカバリー中に実行するすべての Powershell プローブについて、プローブはプローブパラメーターとして .ps ファイルを渡し、MID の temp フォルダーの下に「 NameOfParameter.RandomNumber.ps1 」のような PowerShell スクリプトが作成されます。 たとえば、プローブ 「Windows - JBoss Get jboss-service.xml」の場合 パラメーター findjbossservicexml.ps1 があり、次の 「findjbossservicexml.1031966753134230570.PS1 」は、MID での.exe実行中にその場で作成されます。これは以下のスクリーンショットから確認できます。 "Key" : "\\Device\\HarddiskVolume2\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe", "KeyScriptModule" : "{ [Console]::OutputEncoding = [Text.UTF8Encoding]::UTF8; Write-Output SNC_PowerShell_PID=$pid; & 'scripts\\PowerShell\\PSScript.ps1' -computer '161.36.55.237' -script 'C:\\Windows\\TEMP\\findjbossservicexml.1031966753134230570.PS1' -useCred $true -ismid $false -isDiscovery $true -debug $false -logInfo $false -skipTest $false -executeRemote $false -copyScriptToTarget $false; exit $LASTEXITCODE ", そのため、ファイルをパラメーターとして渡すすべての Powershell プローブ.ps、temp フォルダの下にスクリプトが作成されます。このようなすべてのパラメーターのリストは、以下にあります https:// .service-now.com/discovery_probe_parameter_list.do?sysparm_query=nameLIKE.ps&sysparm_first_row=1&sysparm_view=&sysparm_choice_query_raw=&sysparm_list_header_search=true すべての WMIRunner プローブについて、プローブで定義されている WMI フィールドに基づいて、「 WMI_FetchData_RANDOMNUMBER.ps1 」の形式でいくつかのスクリプトを作成します。 MID の一時下でいくつかの内部スクリプトが並列に実行されます。 これらのスクリプトに名前を付けるための一般的な形式はありません。それぞれ、PowerShell、WMIRunner、および内部スクリプトで異なる形式に従います。 MID で実行するスクリプトでは、常に「 scripts\\PowerShell\\PSScript.ps 」を使用し、temp フォルダーの下のファイルをこのスクリプトのパラメーターとして渡します。 ウイルス対策では、任意のパラメーターを指定して「 scripts\\PowerShell\\PSScript.ps 」を実行した場合、このスクリプトは MID サーバーに属しているため、スクリプトは安全です。 以下の点を考慮することができます MID サーバーは " Process" を使用してコマンドを実行しています:"\\Device\\HarddiskVolume3\\ServiceNow\\agent\jre\\bin\\java.exe " コマンドは「 scripts\\PowerShell\\PSScript.ps 」です (このスクリプトは MID サーバーに属しており、MID サーバーはこのスクリプトのみを実行できます) コマンドでは、ディスカバリーがスクリプトのみを実行していることを確認するために、パラメーターに常に「 -isDiscovery $true 」が含まれています "Process" : "\\Device\\HarddiskVolume3\\ServiceNow\\agent\\jre\\bin\\java.exe", ..... "Key" : "\\Device\\HarddiskVolume2\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe", "KeyScriptModule" : "{ [Console]::OutputEncoding = [Text.UTF8Encoding]::UTF8; Write-Output SNC_PowerShell_PID=$pid; & 'scripts\\PowerShell\\PSScript.ps1' -computer 'ams-p-rdsgsd01' -script 'C:\\Users\\SVC-SN~1\\AppData\\Local\\Temp\\script.4422133186211577577.PS1' 'use_mid_service_account' $false -useCred $true -ismid $false -isDiscovery $true -debug $false -logInfo $false -skipTest $false -executeRemote $false -copyScriptToTarget $false; exit $LASTEXITCODE ", "MountPoint" : "", したがって、ウイルス対策ソフトウェアの構成は、上記の点に従って調整し、プロセスがブロックされないように上記が有効であると考慮する必要があります。