r/PowerShell - Kann PSRemoting mit WinRM gesperrt werden Liste vertrauenswürdiger Hosts Mein Manager hat darum gebeten, dass PSremoting nur von den „Mngmt Servern“ kommt, die eine Gruppe von etwa 4 Servern sind blockiert werden

= Kann PSRemoting mithilfe der WinRM-Liste vertrauenswürdiger Hosts gesperrt werden? Mein Vorgesetzter hat darum gebeten, dass PSRemoting nur von den "Mngmt Servers"kommt, einer Gruppe von etwa 4 Servern, die von jedem anderen Server zu einem anderen svr remoten auf der domain die nicht zum "management"gehört sollte svr = blockiert werden


Sie verwenden keine vertrauenswürdigen Hosts, das heißt nur für ausgehende Verbindungen

~~Im Gruppenrichtlinienobjekt "Remote-Serververwaltung über winrm zulassen"können Sie die IPs oder IP-Bereiche festlegen, von denen Computer Verbindungen akzeptieren. Stellen Sie das so ein, dass es nur Ihre Verwaltungssubnetze abdeckt. Ein gpupdate sollte ausreichen, um die Einstellungen auf den Computern zu aktualisieren. e: Verwenden Sie stattdessen Firewalls!
welche Firewall-Konfiguration würde ich verwenden. Alles, was ich gelesen habe, sagt mir, dass ich die Remoteverwaltung öffnen und den IP-Listener in WinRM verwenden soll. Ich habe zuvor versucht, die Akzeptanzliste auf Firewall-Ebene festzulegen, schien aber nie zu funktionieren. "Hinzufügen von Hostnamen zu den autorisierten Computern versucht"-Liste
Das ist die Antwort. Blockieren Sie einfach den Zugriff auf WinRM-Ports auf Netzwerkebene mit einem Windows-Firewall-Gruppenrichtlinienobjekt

Sie müssen Administrator- und Fernverwaltungsbenutzer einschränken. Und blockieren Sie die Windows-Fernverwaltung in der Host-Firewall, sodass nur die autorisierten Verwaltungshosts zugelassen werden

Host-Firewall ist der Schlüssel

Wir haben Firewalls verwendet, um damit umzugehen, es ist ein riesiger Schmerz im Vergleich zu einer Domäne

GPO wäre am einfachsten, je nachdem, wie groß das Netzwerk ist

Sie könnten auch eine ACL auf der Routing-Schnittstelle platzieren (wenn es nur wenige gibt), um Verwaltungsserver-IPs an WinRM-Ports den Zugriff auf diese Geräte zu ermöglichen

Zwei Regeln, die Sie brauchen würden

Lassen Sie die Verwaltungs-IPs auf diesen Ports zu
Blockieren Sie alle anderen IPs an diesen Ports

Es hängt nur davon ab, wie Sie den Zugriff verwalten und wie dieser Zugriff dokumentiert werden soll

Unterschiedliche Ergebnisse auf verschiedenen Computern im selben Test-GPO erhalten. Wenn ich die IP von Server A aus dem IP4-Listening-Feld hinzufüge und entferne, wird das Listening auf Ports 5985& 5986 aus, aber wenn ich dasselbe mit Server B mache, gibt es keinen Unterschied. Es kann eine Verbindung herstellen, egal was. Ich bin mir nicht sicher, ob es an den gpo-Einstellungen liegt.

Wie füge ich dem IPV4-Filter eine einzelne IP-Adresse hinzu? Ich sehe immer nur besprochene Bereiche

== Über die Gemeinschaft ==
Mitglieder
Online