r/PowerShell - PSRemoting pode ser bloqueado usando WinRM lista de hosts confiáveis ​​Meu gerente pediu que o PSremoting seja limitado a vir apenas dos "Servidores Mngmt", que é um grupo de cerca de 4 servidores Remoto de qualquer outro servidor para outro svr no domínio que não seja um dos svr de "gerenciamento"ser bloqueado

= O PSRemoting pode ser bloqueado usando a lista de hosts confiáveis ​​do WinRM Meu gerente solicitou que o PSremoting seja limitado a vir apenas dos "Servidores Mngmt", que é um grupo de cerca de 4 servidores Remotos de qualquer outro servidor para outro svr no domínio que não é um dos svr "management"deve ser bloqueado =


Você não usa hosts confiáveis, isso é apenas para conexões de saída

~~No gpo "Permitir gerenciamento de servidor remoto por meio do winrm", você pode definir os IPs ou intervalos de IP dos quais os computadores aceitarão conexões. Defina isso para cobrir apenas suas sub-redes de gerenciamento. Um gpupdate deve ser suficiente para atualizar as configurações nos computadores e: Em vez disso, use firewalls!
qual configuração de firewall eu usaria. Tudo o que li está me dizendo para abrir o gerenciamento remoto e usar o ouvinte ip no WinRM. Anteriormente, tentei definir a lista de aceitação no nível do firewall, mas nunca pareceu funcionar. Lista "Tentei adicionar Host_names aos computadores autorizados"Esta é a resposta. Basta bloquear o acesso às portas WinRM no nível da rede com um GPO do Firewall do Windows

Você precisa limitar os usuários administrativos e de gerenciamento remoto. E bloquear o gerenciamento remoto do Windows no firewall do host, permitindo apenas os hosts de gerenciamento autorizados

O firewall do host é a chave

Usamos firewalls para lidar com isso, é uma dor gigante na comparação com estar em um domínio

GPO seria o mais fácil, dependendo do tamanho da rede

Você também pode colocar um ACL na interface de roteamento (se houver apenas alguns) para permitir que os IPs do servidor de gerenciamento nas portas WinRM acessem esses dispositivos

Duas regras que você precisaria

Permita os IPs de gerenciamento nessas portas
Bloqueie todos os outros IPs nessas portas

Depende apenas de como você deseja gerenciar o acesso e como deseja que o acesso seja documentado

Obtendo resultados diferentes em máquinas diferentes no mesmo GPO de teste. Quando eu adiciono e removo o IP do servidor A do campo de escuta IP4, ele ativa a escuta nas portas 5985& 5986 desligado, mas quando faço o mesmo com o servidor B, não há diferença. Ele pode se conectar, não importa o quê.. não tenho certeza se são as configurações do gpo..

Como adiciono um endereço IP individual ao filtro IPV4 Estou vendo apenas intervalos sendo discutidos

== Sobre a Comunidade ==
Membros
Online