r/PowerShell — Czy PSRemoting można zablokować za pomocą WinRM lista zaufanych hostów Mój menedżer poprosił, aby PSremoting był ograniczony tylko do „Serwerów Mngmt”, czyli grupy około 4 serwerów. zostać zablokowany

= Czy PSRemoting można zablokować za pomocą listy zaufanych hostów WinRM Mój menedżer poprosił o ograniczenie PSRemoting tylko do „Serwerów Mngmt”, czyli grupy około 4 serwerów. w domenie, która nie jest jedną z „zarządzających” svr, należy zablokować =


Nie używasz zaufanych hostów, to znaczy tylko dla połączeń wychodzących

~~W "Zezwalaj na zdalne zarządzanie serwerem przez winrm"gpo możesz ustawić adresy IP lub zakresy adresów IP, z których komputery będą akceptować połączenia. Ustaw to tak, aby obejmowało tylko podsieci zarządzania. gpupdate powinno wystarczyć do aktualizacji ustawień na komputerach e: Zamiast tego używaj zapór ogniowych!
jakiej konfiguracji zapory użyłbym. Wszystko, co przeczytałem, mówi mi, aby otworzyć zdalne zarządzanie i użyć odbiornika IP w WinRM. Wcześniej próbowałem ustawić listę akceptacji na poziomie zapory, ale nigdy nie działało. „Próbowałem dodać nazwy_hostów do listy autoryzowanych komputerów”.
Oto odpowiedź. Po prostu zablokuj dostęp do portów WinRM na poziomie sieci za pomocą obiektu zasad grupy Zapory systemu Windows

Musisz ograniczyć administratorów i użytkowników zdalnego zarządzania. I zablokuj zdalne zarządzanie systemem Windows w zaporze hosta, zezwalając tylko na autoryzowane hosty zarządzania

Zapora sieciowa hosta jest kluczowa

Użyliśmy zapór ogniowych, aby sobie z tym poradzić, to gigantyczny ból w porównaniu do bycia w domenie

GPO byłoby najłatwiejsze w zależności od tego, jak duża jest sieć

Możesz także umieścić listę ACL w interfejsie routingu (jeśli jest ich tylko kilka), aby umożliwić adresom IP serwera zarządzania na portach usługi WinRM dostęp do tych urządzeń

Przydałyby ci się dwie zasady

Zezwalaj na adresy IP zarządzania na tych portach
Zablokuj wszystkie inne adresy IP na tych portach

Zależy to tylko od tego, jak chcesz zarządzać dostępem i jak chcesz udokumentować ten dostęp

Uzyskiwanie różnych wyników na różnych komputerach w tym samym testowym GPO. Kiedy dodaję i usuwam adres IP Serwera A z pola nasłuchiwania IP4, zmienia to nasłuchiwanie na portach 5985& 5986 wyłączone, ale kiedy robię to samo z serwerem B, nie ma różnicy. Może się łączyć bez względu na wszystko… nie jestem pewien, czy to ustawienia gpo…

Jak dodać indywidualny adres IP do filtra IPV4 Widzę, że omawiane są tylko zakresy

== O społeczności ==
Członkowie
Online