r/PowerShell - PSRemoting peut-il être verrouillé à l'aide de la liste d'hôtes de confiance WinRM Mon responsable a demandé que PSremoting soit limité pour ne provenir que des "serveurs Mngmt", qui est un groupe d'environ 4 serveurs distants de tout autre serveur vers un autre svr sur le domaine qui ne fait pas partie de la "gestion"svr doit être bloqué

 = PSRemoting peut-il être verrouillé à l'aide de la liste d'hôtes de confiance WinRM Mon responsable a demandé que PSremoting soit limité pour provenir uniquement des "serveurs Mngmt"qui est un groupe d'environ 4 serveurs distants de tout autre serveur vers un autre svr sur le domaine qui n'est pas un des svr "management"doit être bloqué =


Vous n'utilisez pas d'hôtes de confiance, c'est-à-dire uniquement pour les connexions sortantes

~~ Dans le gpo "Autoriser la gestion de serveur distant via winrm", vous pouvez définir les adresses IP ou les plages d'adresses IP à partir desquelles les ordinateurs accepteront les connexions. Définissez-le pour couvrir uniquement vos sous-réseaux de gestion. Un gpupdate devrait suffire à mettre à jour les paramètres sur les ordinateurs e : Utilisez plutôt des pare-feux !
quelle configuration de pare-feu dois-je utiliser. Tout ce que j'ai lu me dit d'ouvrir la gestion à distance et d'utiliser l'écouteur IP dans WinRM. J'ai déjà essayé de définir la liste d'acceptation au niveau du pare-feu, mais cela n'a jamais semblé fonctionner. Liste « J'ai essayé d'ajouter des noms d'hôte aux ordinateurs autorisés »
C'est la réponse. Bloquez simplement l'accès aux ports WinRM au niveau du réseau avec un GPO de pare-feu Windows

Vous devez limiter les utilisateurs administrateurs et de gestion à distance. Et bloquez la gestion à distance de Windows dans le pare-feu de l'hôte, en n'autorisant que les hôtes de gestion autorisés

Le pare-feu de l'hôte est la clé

Nous avons utilisé des pare-feu pour le gérer, c'est une douleur géante par rapport à être sur un domaine

GPO serait le plus simple en fonction de la taille du réseau

Vous pouvez également mettre une ACL sur l'interface de routage (s'il n'y en a que quelques-unes) pour permettre aux adresses IP du serveur de gestion sur les ports WinRM d'accéder à ces périphériques.

Deux règles dont vous auriez besoin

Autoriser les adresses IP de gestion sur ces ports
Bloquer toutes les autres IP sur ces ports

Cela dépend simplement de la manière dont vous souhaitez gérer l'accès et de la manière dont vous souhaitez que cet accès soit documenté

Obtenir des résultats différents sur différentes machines dans le même GPO de test. Lorsque j'ajoute et supprime l'adresse IP du serveur A du champ d'écoute IP4, cela active l'écoute sur les ports 5985& 5986 off mais quand je fais la même chose avec le serveur B, il n'y a pas de différence. Il peut se connecter quoi qu'il arrive .. je ne sais pas s'il s'agit de paramètres gpo ..

Comment puis-je ajouter une adresse IP individuelle au filtre IPV4 Je ne vois que des plages en cours de discussion

== À propos de la communauté ==
Membres
En ligne