= Можно ли заблокировать PSRemoting с помощью списка доверенных хостов WinRM Мой менеджер попросил, чтобы PSremoting был ограничен только «серверами Mngmt», которые представляют собой группу из примерно 4 серверов, удаленных с любого другого сервера на другой svr на домене, не входящем в "управление"svr должен быть заблокирован =
Вы не используете доверенные хосты, то есть только для исходящих соединений
~~ В gpo «Разрешить удаленное управление сервером через winrm» вы можете установить IP-адреса или диапазоны IP-адресов, с которых компьютеры будут принимать подключения. Установите это, чтобы охватить только ваши подсети управления. Gpupdate должно быть достаточно для обновления настроек на компьютерах. e: Вместо этого используйте брандмауэры!
какую конфигурацию брандмауэра я бы использовал. Все, что я прочитал, говорит мне открыть удаленное управление и использовать прослушиватель ip в WinRM. Раньше я пытался настроить список разрешений на уровне брандмауэра, но, похоже, это никогда не работало. Список "Пытался добавить Host_names в авторизованные компьютеры"Это ответ. Просто заблокируйте доступ к портам WinRM на сетевом уровне с помощью объекта групповой политики брандмауэра Windows.
Вам необходимо ограничить пользователей администратора и удаленного управления. И заблокируйте удаленное управление Windows в брандмауэре хоста, разрешив только авторизованным хостам управления
Хост-брандмауэр является ключевым
Мы использовали брандмауэры, чтобы справиться с этим, это огромная проблема по сравнению с тем, чтобы быть в домене.
GPO будет самым простым в зависимости от размера сети.
Вы также можете поместить ACL на интерфейс маршрутизации (если их немного), чтобы разрешить IP-адресам сервера управления на портах WinRM доступ к этим устройствам.
Два правила, которые вам понадобятся
Разрешить IP-адреса управления на этих портах
Заблокируйте все остальные IP-адреса на этих портах.
Это просто зависит от того, как вы хотите управлять доступом и как вы хотите документировать этот доступ.
Получение разных результатов на разных машинах в одном и том же тестовом GPO. Когда я добавляю и удаляю IP-адрес сервера А из поля прослушивания IP4, он переключает прослушивание на порты 5985& 5986 выключен, но когда я делаю то же самое с сервером B, разницы нет. Он может подключиться, несмотря ни на что ... не уверен, что это настройки gpo ...
Как добавить отдельный IP-адрес в фильтр IPV4? Я всегда вижу, что обсуждаются только диапазоны
== О сообществе ==
Члены
Online