r/PowerShell - Μπορεί το PSRemoting να κλειδωθεί χρησιμοποιώντας το WinRM λίστα αξιόπιστων κεντρικών υπολογιστών Ο διευθυντής μου ζήτησε να περιοριστεί η PSremoting να προέρχεται μόνο από τους "Mngmt Servers"που είναι μια ομάδα περίπου 4 διακομιστών. be blocked

= Μπορεί το PSRemoting να κλειδωθεί χρησιμοποιώντας τη λίστα αξιόπιστων κεντρικών υπολογιστών του WinRM Ο διευθυντής μου ζήτησε να περιοριστεί το PSremoting μόνο από τους "Διακομιστές Mngmt"που είναι μια ομάδα περίπου 4 διακομιστών που απομακρυνθούν από οποιονδήποτε άλλο διακομιστή σε άλλο svr στον τομέα που δεν είναι ένα από τα "management"svr θα πρέπει να αποκλειστεί =


Δεν χρησιμοποιείτε αξιόπιστους κεντρικούς υπολογιστές, αυτό είναι μόνο για εξερχόμενες συνδέσεις

~~Στο gpo "Να επιτρέπεται η απομακρυσμένη διαχείριση διακομιστή μέσω winrm"μπορείτε να ορίσετε τις IP ή τις περιοχές IP από τις οποίες θα δέχονται συνδέσεις οι υπολογιστές. Ρυθμίστε το ώστε να καλύπτει μόνο τα υποδίκτυα διαχείρισης. Ένα gpupdate θα πρέπει να είναι αρκετό για να ενημερώσετε τις ρυθμίσεις στους υπολογιστές π.: Χρησιμοποιήστε τείχη προστασίας αντ'αυτού!
τι διαμόρφωση τείχους προστασίας θα χρησιμοποιούσα. Όλα όσα έχω διαβάσει μου λένε να ανοίξω την απομακρυσμένη διαχείριση και να χρησιμοποιήσω το πρόγραμμα ακρόασης ip στο WinRM. Προσπάθησα προηγουμένως να ρυθμίσω τη λίστα αποδοχής σε επίπεδο τείχους προστασίας, αλλά ποτέ δεν φάνηκε να λειτουργεί. "Δοκιμάστηκε να προσθέσω Host_names στους εξουσιοδοτημένους υπολογιστές".
Αυτή είναι η απάντηση. Απλώς αποκλείστε την πρόσβαση στις θύρες WinRM σε επίπεδο δικτύου με ένα GPO του Τείχους προστασίας των Windows

Πρέπει να περιορίσετε τους χρήστες διαχειριστή και απομακρυσμένης διαχείρισης. Και αποκλείστε την απομακρυσμένη διαχείριση των παραθύρων στο τείχος προστασίας κεντρικού υπολογιστή, επιτρέποντας μόνο τους εξουσιοδοτημένους κεντρικούς υπολογιστές διαχείρισης

Το τείχος προστασίας κεντρικού υπολογιστή είναι το κλειδί

Χρησιμοποιήσαμε τείχη προστασίας για να το χειριστούμε, είναι τεράστιος πόνος σε σύγκριση με το να είσαι σε έναν τομέα

Το GPO θα ήταν το πιο εύκολο ανάλογα με το πόσο μεγάλο είναι το δίκτυο

Θα μπορούσατε επίσης να βάλετε ένα ACL στη διεπαφή δρομολόγησης (αν υπάρχουν μόνο λίγες) για να επιτρέψετε στις IP διακομιστή διαχείρισης στις θύρες WinRM να έχουν πρόσβαση σε αυτές τις συσκευές

Δύο κανόνες θα χρειαστείτε

Επιτρέψτε τις διευθύνσεις IP σε αυτές τις θύρες
Αποκλείστε όλες τις άλλες IP σε αυτές τις θύρες

Εξαρτάται απλώς από το πώς θέλετε να διαχειριστείτε την πρόσβαση και πώς θέλετε να τεκμηριωθεί αυτή η πρόσβαση

Λήψη διαφορετικών αποτελεσμάτων σε διαφορετικά μηχανήματα στο ίδιο δοκιμαστικό GPO. Όταν προσθέτω και αφαιρώ την IP του διακομιστή Α από το πεδίο ακρόασης IP4, αλλάζει η ακρόαση στις θύρες 5985& 5986 off, αλλά όταν κάνω το ίδιο με τον διακομιστή Β δεν υπάρχει διαφορά. Μπορεί να συνδεθεί ό,τι κι αν γίνει.. δεν είμαι σίγουρος αν είναι ρυθμίσεις gpo..

Πώς μπορώ να προσθέσω μια μεμονωμένη διεύθυνση IP στο φίλτρο IPV4 Βλέπω ποτέ να συζητούνται μόνο εύρη

== Σχετικά με την Κοινότητα ==
Μέλη
Συνδεδεμένος