r/PowerShell - Можно ли заблокировать PSRemoting с помощью WinRM Список доверенных хостов Мой менеджер попросил, чтобы PSremoting был ограничен только исходящим от «Mngmt Servers», который представляет собой группу из примерно 4 серверов. Удаленное взаимодействие с любого другого сервера на другой svr в домене, который не является быть заблокированным

= Можно ли заблокировать PSRemoting с помощью списка доверенных хостов WinRM Мой менеджер попросил, чтобы PSremoting был ограничен только «серверами Mngmt», которые представляют собой группу из примерно 4 серверов, удаленных с любого другого сервера на другой svr на домене, не входящем в "управление"svr должен быть заблокирован =


Вы не используете доверенные хосты, то есть только для исходящих соединений

~~ В gpo «Разрешить удаленное управление сервером через winrm» вы можете установить IP-адреса или диапазоны IP-адресов, с которых компьютеры будут принимать подключения. Установите это, чтобы охватить только ваши подсети управления. Gpupdate должно быть достаточно для обновления настроек на компьютерах. e: Вместо этого используйте брандмауэры!
какую конфигурацию брандмауэра я бы использовал. Все, что я прочитал, говорит мне открыть удаленное управление и использовать прослушиватель ip в WinRM. Раньше я пытался настроить список разрешений на уровне брандмауэра, но, похоже, это никогда не работало. Список "Пытался добавить Host_names в авторизованные компьютеры"Это ответ. Просто заблокируйте доступ к портам WinRM на сетевом уровне с помощью объекта групповой политики брандмауэра Windows.

Вам необходимо ограничить пользователей администратора и удаленного управления. И заблокируйте удаленное управление Windows в брандмауэре хоста, разрешив только авторизованным хостам управления

Хост-брандмауэр является ключевым

Мы использовали брандмауэры, чтобы справиться с этим, это огромная проблема по сравнению с тем, чтобы быть в домене.

GPO будет самым простым в зависимости от размера сети.

Вы также можете поместить ACL на интерфейс маршрутизации (если их немного), чтобы разрешить IP-адресам сервера управления на портах WinRM доступ к этим устройствам.

Два правила, которые вам понадобятся

Разрешить IP-адреса управления на этих портах
Заблокируйте все остальные IP-адреса на этих портах.

Это просто зависит от того, как вы хотите управлять доступом и как вы хотите документировать этот доступ.

Получение разных результатов на разных машинах в одном и том же тестовом GPO. Когда я добавляю и удаляю IP-адрес сервера А из поля прослушивания IP4, он переключает прослушивание на порты 5985& 5986 выключен, но когда я делаю то же самое с сервером B, разницы нет. Он может подключиться, несмотря ни на что ... не уверен, что это настройки gpo ...

Как добавить отдельный IP-адрес в фильтр IPV4? Я всегда вижу, что обсуждаются только диапазоны

== О сообществе ==
Члены
Online