= Kann PSRemoting mithilfe der WinRM-Liste vertrauenswürdiger Hosts gesperrt werden? Mein Vorgesetzter hat darum gebeten, dass PSRemoting nur von den "Mngmt Servers"kommt, einer Gruppe von etwa 4 Servern, die von jedem anderen Server zu einem anderen svr remoten auf der domain die nicht zum "management"gehört sollte svr = blockiert werden
Sie verwenden keine vertrauenswürdigen Hosts, das heißt nur für ausgehende Verbindungen
~~Im Gruppenrichtlinienobjekt "Remote-Serververwaltung über winrm zulassen"können Sie die IPs oder IP-Bereiche festlegen, von denen Computer Verbindungen akzeptieren. Stellen Sie das so ein, dass es nur Ihre Verwaltungssubnetze abdeckt. Ein gpupdate sollte ausreichen, um die Einstellungen auf den Computern zu aktualisieren. e: Verwenden Sie stattdessen Firewalls!
welche Firewall-Konfiguration würde ich verwenden. Alles, was ich gelesen habe, sagt mir, dass ich die Remoteverwaltung öffnen und den IP-Listener in WinRM verwenden soll. Ich habe zuvor versucht, die Akzeptanzliste auf Firewall-Ebene festzulegen, schien aber nie zu funktionieren. "Hinzufügen von Hostnamen zu den autorisierten Computern versucht"-Liste
Das ist die Antwort. Blockieren Sie einfach den Zugriff auf WinRM-Ports auf Netzwerkebene mit einem Windows-Firewall-Gruppenrichtlinienobjekt
Sie müssen Administrator- und Fernverwaltungsbenutzer einschränken. Und blockieren Sie die Windows-Fernverwaltung in der Host-Firewall, sodass nur die autorisierten Verwaltungshosts zugelassen werden
Host-Firewall ist der Schlüssel
Wir haben Firewalls verwendet, um damit umzugehen, es ist ein riesiger Schmerz im Vergleich zu einer Domäne
GPO wäre am einfachsten, je nachdem, wie groß das Netzwerk ist
Sie könnten auch eine ACL auf der Routing-Schnittstelle platzieren (wenn es nur wenige gibt), um Verwaltungsserver-IPs an WinRM-Ports den Zugriff auf diese Geräte zu ermöglichen
Zwei Regeln, die Sie brauchen würden
Lassen Sie die Verwaltungs-IPs auf diesen Ports zu
Blockieren Sie alle anderen IPs an diesen Ports
Es hängt nur davon ab, wie Sie den Zugriff verwalten und wie dieser Zugriff dokumentiert werden soll
Unterschiedliche Ergebnisse auf verschiedenen Computern im selben Test-GPO erhalten. Wenn ich die IP von Server A aus dem IP4-Listening-Feld hinzufüge und entferne, wird das Listening auf Ports 5985& 5986 aus, aber wenn ich dasselbe mit Server B mache, gibt es keinen Unterschied. Es kann eine Verbindung herstellen, egal was. Ich bin mir nicht sicher, ob es an den gpo-Einstellungen liegt.
Wie füge ich dem IPV4-Filter eine einzelne IP-Adresse hinzu? Ich sehe immer nur besprochene Bereiche
== Über die Gemeinschaft ==
Mitglieder
Online