r/PowerShell - PSRemoting può essere bloccato utilizzando WinRM elenco di host attendibili Il mio manager ha chiesto che PSremoting sia limitato a provenire solo dai "Server Mngmt"che è un gruppo di circa 4 server Remoting da qualsiasi altro server a un altro svr sul dominio che non è uno degli svr di "gestione"dovrebbe essere bloccato

= PSRemoting può essere bloccato utilizzando l'elenco degli host attendibili WinRM Il mio manager ha chiesto che PSremoting sia limitato a provenire solo dai "Server Mngmt"che è un gruppo di circa 4 server Remoting da qualsiasi altro server a un altro svr sul dominio che non è uno dei "gestori"svr dovrebbe essere bloccato =


Non usi host fidati, cioè solo per le connessioni in uscita

~~Nell'oggetto Criteri di gruppo "Consenti la gestione remota del server tramite winrm"puoi impostare gli IP o gli intervalli IP da cui i computer accetteranno le connessioni. Impostalo in modo che copra solo le sottoreti di gestione. Dovrebbe bastare un gpupdate per aggiornare le impostazioni sui computer e: Usa invece i firewall!
quale configurazione del firewall dovrei usare. Tutto quello che ho letto mi dice di aprire la gestione remota e utilizzare l'ip listener in WinRM. In precedenza ho provato a impostare l'elenco di accettazione a livello di firewall, ma non sembrava funzionare. Elenco "Ho provato ad aggiungere nomi_host ai computer autorizzati".
Questa è la risposta. Basta bloccare l'accesso alle porte WinRM a livello di rete con un oggetto Criteri di gruppo di Windows Firewall

È necessario limitare gli utenti amministratori e di gestione remota. E blocca la gestione remota di Windows nel firewall host, consentendo solo agli host di gestione autorizzati

Il firewall dell'host è fondamentale

Abbiamo utilizzato i firewall per gestirlo, è un enorme problema rispetto all'essere su un dominio

L'oggetto Criteri di gruppo sarebbe il più semplice a seconda della dimensione della rete

Puoi anche inserire un ACL nell'interfaccia di routing (se ce ne sono solo pochi) per consentire agli IP del server di gestione sulle porte WinRM di accedere a quei dispositivi

Due regole di cui avresti bisogno

Consenti gli IP di gestione su tali porte
Blocca tutti gli altri IP su quelle porte

Dipende solo da come vuoi gestire l'accesso e da come vuoi documentare tale accesso

Ottenere risultati diversi su macchine diverse nello stesso oggetto Criteri di gruppo di test. Quando aggiungo e rimuovo l'IP del server A dal campo di ascolto IP4, l'ascolto viene attivato sulle porte 5985& 5986 spento ma quando faccio lo stesso con il server B non c'è differenza. Può connettersi indipendentemente da cosa .. non sono sicuro che si tratti di impostazioni GPO ..

Come aggiungo un singolo indirizzo IP al filtro IPV4 Vedo solo gli intervalli in discussione

== Informazioni sulla comunità ==
Membri
Online