r/PowerShell - PSRemoting, WinRM kullanılarak kilitlenebilir mi güvenilir ana bilgisayar listesi Yöneticim, PSremoting'in yalnızca yaklaşık 4 sunucudan oluşan bir grup olan "Mngmt Sunucuları"ndan gelecek şekilde sınırlandırılmasını istedi. engellenecek

= PSRemoting, WinRM güvenilir ana bilgisayarlar listesi kullanılarak kilitlenebilir mi Yöneticim, PSremoting'in yalnızca yaklaşık 4 sunucudan oluşan bir grup olan "Mngmt Sunucularından"gelecek şekilde sınırlandırılmasını istedi Başka herhangi bir sunucudan başka bir svr'ye uzaktan erişim "yönetim"svr'lerinden biri olmayan etki alanında engellenmelidir =


Güvenilir ana bilgisayarlar kullanmıyorsunuz, bu yalnızca giden bağlantılar içindir

~~"Winrm aracılığıyla uzak sunucu yönetimine izin ver"gpo'sunda, bilgisayarların bağlantı kabul edeceği IP'leri veya IP Aralıklarını ayarlayabilirsiniz. Bunu yalnızca yönetim alt ağlarınızı kapsayacak şekilde ayarlayın. Bilgisayarlardaki ayarları güncellemek için bir gpupdate yeterli olmalıdır e: Bunun yerine güvenlik duvarlarını kullanın!
hangi güvenlik duvarı yapılandırmasını kullanırdım. Okuduğum her şey bana uzaktan yönetimi açmamı ve WinRM'de ip dinleyicisini kullanmamı söylüyor. Daha önce kabul listesini güvenlik duvarı düzeyinde ayarlamayı denedim ama hiçbir zaman işe yaramadı. "Yetkili bilgisayarlara Host_names eklemeye çalışıldı"listesi
Cevap bu. Windows Güvenlik Duvarı GPO'su ile ağ düzeyinde WinRM bağlantı noktalarına erişimi engellemeniz yeterli

Yönetici ve uzaktan yönetim kullanıcılarını sınırlamanız gerekir. Ve yalnızca yetkili yönetim ana bilgisayarlarına izin vererek, ana bilgisayar güvenlik duvarında Windows uzaktan yönetimini engelleyin

Ana bilgisayar güvenlik duvarı anahtardır

Bununla başa çıkmak için güvenlik duvarları kullandık, bir etki alanında olmaya kıyasla çok büyük bir acı.

GPO, ağın ne kadar büyük olduğuna bağlı olarak en kolayı olacaktır.

WinRM bağlantı noktalarındaki yönetim sunucusu IP'lerinin bu aygıtlara erişmesine izin vermek için yönlendirme arabirimine (yalnızca birkaç tane varsa) bir ACL de koyabilirsiniz.

İhtiyacınız olan iki kural

Bu bağlantı noktalarında yönetim IP'lerine izin ver
Bu bağlantı noktalarındaki diğer tüm IP'leri engelleyin

Erişimi nasıl yönetmek istediğinize ve bu erişimin nasıl belgelenmesini istediğinize bağlıdır.

Aynı test GPO'sunda farklı makinelerde farklı sonuçlar alınıyor. Sunucu A'nın IP'sini IP4 dinleme alanından eklediğimde ve kaldırdığımda, 5985 numaralı bağlantı noktalarında dinlemeyi başlatıyor& 5986 kapalı ama aynısını sunucu B ile yaptığımda hiçbir fark yok. Ne olursa olsun bağlanabilir .. gpo ayarlarından emin değilim ..

IPV4 filtresine bireysel bir IP adresini nasıl eklerim? Yalnızca tartışılan aralıkları görüyorum

== Topluluk Hakkında ==
Üyeler
Çevrimiçi