r/PowerShell - Kan PSRemoting worden vergrendeld met WinRM lijst met vertrouwde hosts Mijn manager heeft gevraagd om PSremoting te beperken tot alleen afkomstig van de "Mngmt Servers", een groep van ongeveer 4 servers. Remoting van een andere server naar een andere svr op het domein dat niet tot de "management"svr behoort worden geblokkeerd

= Kan PSRemoting worden vergrendeld met behulp van de WinRM-lijst met vertrouwde hosts. Mijn manager heeft gevraagd om PSremoting te beperken zodat deze alleen afkomstig is van de "Mngmt-servers", een groep van ongeveer 4 servers. Externe toegang vanaf een andere server naar een andere svr op het domein dat niet tot de "management"behoort, moet svr worden geblokkeerd =


Je maakt geen gebruik van vertrouwde hosts, dat is alleen voor uitgaande verbindingen

~~In het gpo "Extern serverbeheer toestaan ​​via winrm"kunt u de IP's of IP-bereiken instellen waarvan computers verbindingen accepteren. Stel dit zo in dat alleen uw beheersubnetten worden gedekt. Een gpupdate zou voldoende moeten zijn om de instellingen op de computers bij te werken. Gebruik in plaats daarvan firewalls!
welke firewallconfiguratie zou ik gebruiken. Alles wat ik heb gelezen, vertelt me ​​dat ik extern beheer moet openen en de ip-listener in WinRM moet gebruiken. Ik heb eerder geprobeerd de acceptatielijst op firewallniveau in te stellen, maar het leek nooit te werken. "Geprobeerd hostnamen toe te voegen aan de geautoriseerde computers"lijst
Dit is het antwoord. Blokkeer gewoon de toegang tot WinRM-poorten op netwerkniveau met een Windows Firewall GPO

U moet het aantal beheerders en gebruikers voor extern beheer beperken. En blokkeer Windows-beheer op afstand in de hostfirewall, zodat alleen geautoriseerde beheerhosts worden toegestaan

Hostfirewall is de sleutel

We gebruikten firewalls om het aan te pakken, het is een enorme pijn in vergelijking met het werken op een domein

GPO zou het gemakkelijkst zijn, afhankelijk van hoe groot het netwerk is

U kunt ook een ACL op de routeringsinterface plaatsen (als er maar een paar zijn) om beheerserver-IP's op WinRM-poorten toegang te geven tot die apparaten

Twee regels die je nodig zou hebben

Sta de beheer-IP's op die poorten toe
Blokkeer alle andere IP's op die poorten

Het hangt er maar vanaf hoe u de toegang wilt beheren en hoe u die toegang wilt documenteren

Verschillende resultaten verkrijgen op verschillende machines in hetzelfde test-GPO. Wanneer ik het IP-adres van server A uit het IP4-luisterveld toevoeg en verwijder, wordt het luisteren naar poort 5985 ingeschakeld.& 5986 uitgeschakeld, maar als ik hetzelfde doe met server B, is er geen verschil. Het kan hoe dan ook verbinding maken. Ik weet niet zeker of het gpo-instellingen zijn.

Hoe voeg ik een individueel IP-adres toe aan het IPV4-filter? Ik zie dat er alleen maar bereiken worden besproken

== Over gemeenschap ==
Leden
Online