= สามารถล็อค PSRemoting โดยใช้รายการโฮสต์ที่เชื่อถือได้ของ WinRM ผู้จัดการของฉันขอให้ PSremoting ถูกจำกัดให้มาจาก "เซิร์ฟเวอร์ Mngmt"ซึ่งเป็นกลุ่มของเซิร์ฟเวอร์ประมาณ 4 เครื่องเท่านั้น ระยะไกลจากเซิร์ฟเวอร์อื่นไปยัง svr อื่น บนโดเมนที่ไม่ใช่หนึ่งใน "การจัดการ"svr ควรถูกบล็อก =


คุณไม่ได้ใช้โฮสต์ที่เชื่อถือได้ นั่นคือสำหรับการเชื่อมต่อขาออกเท่านั้น

~~ใน gpo "อนุญาตการจัดการเซิร์ฟเวอร์ระยะไกลผ่าน winrm"คุณสามารถตั้งค่า IP หรือช่วง IP ที่คอมพิวเตอร์จะยอมรับการเชื่อมต่อจาก ตั้งค่าให้ครอบคลุมเฉพาะซับเน็ตการจัดการของคุณ gpupdate ควรจะเพียงพอที่จะอัปเดตการตั้งค่าบนคอมพิวเตอร์ e: ใช้ไฟร์วอลล์แทน!
ฉันจะใช้การกำหนดค่าไฟร์วอลล์แบบใด ทุกสิ่งที่ฉันได้อ่านบอกให้ฉันเปิดการจัดการระยะไกลและใช้ผู้ฟัง ip ใน WinRM ก่อนหน้านี้ฉันได้ลองตั้งค่ารายการยอมรับที่ระดับไฟร์วอลล์ แต่ดูเหมือนจะไม่ทำงาน รายการ "พยายามเพิ่ม Host_names ไปยังคอมพิวเตอร์ที่ได้รับอนุญาต"นี่คือคำตอบ เพียงบล็อกการเข้าถึงพอร์ต WinRM ที่ระดับเครือข่ายด้วย Windows Firewall GPO

คุณต้องจำกัดผู้ดูแลระบบและผู้ใช้การจัดการระยะไกล และบล็อกการจัดการระยะไกลของ windows ในไฟร์วอลล์ของโฮสต์ อนุญาตเฉพาะโฮสต์การจัดการที่ได้รับอนุญาตเท่านั้น

ไฟร์วอลล์โฮสต์เป็นกุญแจสำคัญ

เราใช้ไฟร์วอลล์ในการจัดการ มันเป็นความเจ็บปวดอย่างมากเมื่อเทียบกับการอยู่ในโดเมน

GPO จะง่ายที่สุดขึ้นอยู่กับขนาดของเครือข่าย

คุณยังสามารถใส่ ACL บนอินเทอร์เฟซการกำหนดเส้นทาง (หากมีเพียงเล็กน้อย) เพื่อให้ IP ของเซิร์ฟเวอร์การจัดการบนพอร์ต WinRM เข้าถึงอุปกรณ์เหล่านั้นได้

กฎสองข้อที่คุณต้องการ

อนุญาต IP การจัดการบนพอร์ตเหล่านั้น
บล็อก IP อื่น ๆ ทั้งหมดในพอร์ตเหล่านั้น

ขึ้นอยู่กับวิธีที่คุณต้องการจัดการการเข้าถึงและวิธีที่คุณต้องการให้การเข้าถึงนั้นเป็นเอกสาร

ได้ผลลัพธ์ที่แตกต่างกันในเครื่องต่างๆ ในการทดสอบ GPO เดียวกัน เมื่อฉันเพิ่มและลบ IP ของเซิร์ฟเวอร์ A ออกจากฟิลด์การฟัง IP4 มันจะเปลี่ยนการฟังบนพอร์ต 5985& 5986 ปิด แต่เมื่อฉันทำเช่นเดียวกันกับเซิร์ฟเวอร์ B ก็ไม่มีความแตกต่าง ก็เชื่อมต่อได้ไม่ว่ากัน..ไม่แน่ใจว่าเป็นที่การตั้งค่า gpo..

ฉันจะเพิ่มที่อยู่ IP แต่ละรายการในตัวกรอง IPV4 ได้อย่างไร ฉันเห็นแต่ช่วงที่มีการพูดถึงเท่านั้น

== เกี่ยวกับชุมชน ==
สมาชิก
ออนไลน์