= Чи можна заблокувати PSRemoting за допомогою списку довірених хостів WinRM. Мій менеджер попросив обмежити PSremoting лише надходженням із «серверів Mngmt», що є групою з приблизно 4 серверів Віддалене з будь-якого іншого сервера на інший svr на домені, який не є одним із "управлінських"svr, слід заблокувати =
Ви не використовуєте довірені хости, тобто лише для вихідних з’єднань
~~У gpo «Дозволити керування віддаленим сервером через winrm» ви можете встановити IP-адреси або діапазони IP-адрес, з яких комп’ютери прийматимуть підключення. Встановіть це так, щоб охоплювати лише підмережі керування. Gpupdate має бути достатньо для оновлення налаштувань на комп’ютерах. e: замість цього використовуйте брандмауери!
яку конфігурацію брандмауера я буду використовувати. Усе, що я прочитав, говорить мені відкрити дистанційне керування та використовувати IP-прослуховувач у WinRM. Раніше я намагався налаштувати список прийнятих на рівні брандмауера, але, здається, ніколи не спрацював. «Спроба додати Host_names до списку авторизованих комп’ютерів».
Це відповідь. Просто заблокуйте доступ до портів WinRM на мережевому рівні за допомогою групової політики брандмауера Windows
Потрібно обмежити адміністраторів і користувачів віддаленого керування. І заблокуйте віддалене керування Windows у брандмауері хоста, дозволяючи лише авторизовані хости керування
Брандмауер хоста є ключовим
Ми використовували брандмауери, щоб впоратися з цим, це величезний біль у порівнянні з перебуванням у домені
GPO буде найпростішим залежно від розміру мережі
Ви також можете розмістити ACL на інтерфейсі маршрутизації (якщо їх лише кілька), щоб дозволити IP-адресам сервера керування на портах WinRM отримати доступ до цих пристроїв
Вам знадобляться два правила
Дозвольте IP-адреси керування на цих портах
Заблокуйте всі інші IP-адреси на цих портах
Це залежить лише від того, як ви хочете керувати доступом і як ви хочете, щоб цей доступ був задокументований
Отримання різних результатів на різних машинах в одному тестовому GPO. Коли я додаю та видаляю IP-адресу сервера A з поля прослуховування IP4, це вмикає прослуховування на портах 5985& 5986 вимкнено, але коли я роблю те саме з сервером B, різниці немає. Він може підключатися незалежно від того.. не впевнений, що це налаштування gpo..
Як додати окрему IP-адресу до фільтра IPV4? Я завжди бачу лише обговорення діапазонів
== Про спільноту ==
Члени
Онлайн