r/PowerShell - Poate PSRemoting să fie blocat folosind WinRM Lista gazdelor de încredere Managerul meu a cerut ca PSremoting să fie limitat să provină numai de la „Servere de gestionare” care este un grup de aproximativ 4 servere. să fie blocat

= Poate PSRemoting să fie blocat folosind lista de gazde de încredere WinRM Managerul meu a cerut ca PSremoting să fie limitat să provină doar de la „Servere Mngmt” care este un grup de aproximativ 4 servere. pe domeniul care nu este unul dintre "management"svr ar trebui să fie blocat =


Nu folosiți gazde de încredere, aceasta este doar pentru conexiunile de ieșire

~~În gpo „Permite gestionarea serverului la distanță prin winrm” poți seta IP-urile sau intervalele IP de la care computerele vor accepta conexiuni. Setați-l pentru a acoperi numai subrețelele dvs. de gestionare. Un gpupdate ar trebui să fie suficient pentru a actualiza setările de pe computere e: Folosiți firewall-uri în schimb!
ce configurație de firewall aș folosi. Tot ceea ce am citit îmi spune să deschid managementul de la distanță și să folosesc ascultătorul ip în WinRM. Am încercat anterior să setez lista de accept la nivel de firewall, dar nu părea să funcționeze. „Am încercat să adaug nume de gazdă la lista computerelor autorizate”.
Acesta este răspunsul. Doar blocați accesul la porturile WinRM la nivel de rețea cu un GPO Windows Firewall

Trebuie să limitați utilizatorii de administrare și de gestionare la distanță. Și blocați gestionarea de la distanță Windows în firewall gazdă, permițând doar gazdelor de gestionare autorizate

Firewall gazdă este cheia

Am folosit firewall-uri pentru a face față, este o durere uriașă în comparație cu a fi pe un domeniu

GPO ar fi cel mai ușor, în funcție de cât de mare este rețeaua

De asemenea, puteți pune un ACL pe interfața de rutare (dacă sunt doar câteva) pentru a permite adreselor IP ale serverului de management de pe porturile WinRM să acceseze acele dispozitive

Două reguli de care ai avea nevoie

Permiteți IP-urile de gestionare pe acele porturi
Blocați toate celelalte IP-uri de pe acele porturi

Depinde doar de modul în care doriți să gestionați accesul și de cum doriți să fie documentat acel acces

Obținerea de rezultate diferite pe mașini diferite în același GPO de testare. Când adaug și elimin IP-ul serverului A din câmpul de ascultare IP4, porturile de ascultare sunt 5985& 5986 dezactivat, dar când fac același lucru cu serverul B, nu există nicio diferență. Se poate conecta indiferent de ce.. nu sunt sigur dacă este setări gpo..

Cum adaug o adresă IP individuală la filtrul IPV4, văd doar intervale discutate

== Despre comunitate ==
Membrii
Online