r/PowerShell - ¿Se puede bloquear PSRemoting usando WinRM? lista de hosts confiables Mi gerente ha solicitado que PSremoting se limite a provenir solo de los "Servidores Mngmt", que es un grupo de aproximadamente 4 servidores Remoting desde cualquier otro servidor a otro svr en el dominio que no es uno de los svr de "administración"debería ser bloqueado

= ¿Se puede bloquear PSRemoting usando la lista de hosts confiables de WinRM? Mi gerente ha solicitado que PSRemoting se limite a provenir solo de los "Servidores Mngmt", que es un grupo de aproximadamente 4 servidores Remoting desde cualquier otro servidor a otro svr en el dominio que no es uno de los svr de "administración"debe ser bloqueado =


No usa hosts confiables, eso es solo para conexiones salientes

~~En el gpo "Permitir la administración remota del servidor a través de winrm", puede configurar las IP o los rangos de IP desde los que las computadoras aceptarán conexiones. Configure eso para cubrir solo sus subredes de administración. Un gpupdate debería ser suficiente para actualizar la configuración de las computadoras e: ¡Use firewalls en su lugar!
qué configuración de firewall usaría. Todo lo que he leído me dice que abra la administración remota y use el ip listener en WinRM. Anteriormente intenté configurar la lista de aceptación en el nivel del firewall, pero nunca pareció funcionar. Lista "Intenté agregar Host_names a las computadoras autorizadas"Esta es la respuesta. Simplemente bloquee el acceso a los puertos WinRM a nivel de red con un GPO de Firewall de Windows

Debe limitar los usuarios administradores y de administración remota. Y bloquee la administración remota de Windows en el firewall del host, permitiendo solo los hosts de administración autorizados

El cortafuegos del host es clave

Usamos cortafuegos para manejarlo, es un gran dolor en comparación con estar en un dominio

GPO sería el más fácil según el tamaño de la red

También puede colocar una ACL en la interfaz de enrutamiento (si solo hay unas pocas) para permitir que las direcciones IP del servidor de administración en los puertos WinRM accedan a esos dispositivos.

Dos reglas que necesitarías

Permitir las direcciones IP de administración en esos puertos
Bloquee todas las demás IP en esos puertos

Solo depende de cómo desea administrar el acceso y cómo desea documentar ese acceso.

Obtener diferentes resultados en diferentes máquinas en el mismo GPO de prueba. Cuando agrego y elimino la IP del servidor A del campo de escucha IP4, enciende la escucha en los puertos 5985& 5986 apagado pero cuando hago lo mismo con el servidor B no hay diferencia. Se puede conectar pase lo que pase... no estoy seguro si es la configuración gpo...

¿Cómo agrego una dirección IP individual al filtro IPV4? Solo veo rangos que se discuten

== Acerca de la comunidad ==
miembros
En línea