r/PowerShell - Kan PSRemoting låsas med WinRM lista över betrodda värdar Min chef har bett om att PSremoting begränsas till att endast komma från "Mngmt-servrarna"som är en grupp på cirka 4 servrar. blockeras

= Kan PSRemoting låsas med WinRM lista över betrodda värdar Min chef har bett att PSremoting ska begränsas till att endast komma från "Mngmt-servrarna"som är en grupp på cirka 4 servrar som fjärrstyrs från vilken annan server som helst till en annan svr på domänen som inte är en av "hanteringen"ska svr blockeras =


Du använder inte betrodda värdar, det är bara för utgående anslutningar

~~I "Tillåt fjärrserverhantering genom winrm"-gpo kan du ställa in de IP-adresser eller IP-intervall som datorer accepterar anslutningar från. Ställ in det så att det bara täcker dina hanteringsundernät. En gpupdate borde räcka för att uppdatera inställningarna på datorerna e: Använd brandväggar istället!
vilken brandväggskonfiguration skulle jag använda. Allt jag har läst säger åt mig att öppna fjärrhantering och använda ip-lyssnaren i WinRM. Jag försökte tidigare ställa in acceptlistan på brandväggsnivå men verkade aldrig fungera. "Försökte lägga till Host_names till de auktoriserade datorerna"-listan
Detta är svaret. Blockera bara åtkomst till WinRM-portar på nätverksnivå med en Windows-brandvägg GPO

Du måste begränsa administratörs- och fjärrhanteringsanvändare. Och blockera fjärrhantering för Windows i värdbrandväggen, vilket endast tillåter de auktoriserade hanteringsvärdarna

Värdbrandväggen är nyckeln

Vi använde brandväggar för att hantera det, det är en enorm smärta i jämförelse med att vara på en domän

GPO skulle vara det enklaste beroende på hur stort nätverket är

Du kan också sätta en ACL på routinggränssnittet (om det bara finns ett fåtal) för att tillåta hanteringsserver-IP:er på WinRM-portar att komma åt dessa enheter

Två regler du skulle behöva

Tillåt hanterings-IP:er på dessa portar
Blockera alla andra IP-adresser på dessa portar

Det beror bara på hur du vill hantera åtkomst och hur du vill att åtkomsten ska dokumenteras

Få olika resultat på olika maskiner i samma test GPO. När jag lägger till och tar bort server A:s IP från IP4-lyssningsfältet aktiverar det lyssningen på portar 5985& 5986 av men när jag gör samma sak med server B är det ingen skillnad. Den kan ansluta oavsett vad.. osäker på om det är gpo-inställningar..

Hur lägger jag till en individuell IP-adress till IPV4-filtret Jag ser bara intervall diskuteras

== Om gemenskapen ==
Medlemmar
Online